Noticias
Google Chrome antepondrá HTTPS a HTTP al emplear la barra de direcciones
Que la seguridad es un elemento muy importante para los desarrolladores de Google Chrome no es una sorpresa para nadie. Para tranquilidad de los usuarios y como exigencia continua para los creadores de páginas web, en muchos aspectos Google, con las políticas de seguridad de su navegador, va marcando la pauta en lo que se refiere a los estándares de seguridad que se deben adoptar a la hora de diseñar y publicar páginas web que no comprometan la seguridad de sus usuarios.
Un ejemplo claro de ello lo tenemos en el momento en el que el Google Chrome empezó a alertar a los usuarios cuando se conectaban a páginas web a través de HTTP, informando de los riesgos de seguridad de dicho tipo de conexión. La falta de seguridad puede ser mostrada mediante un indicador en la barra de direcciones (Omnibox, tal y como la denominan sus desarrolladores) o, en casos más comprometidos, con alertas de mayor calado.
Aún así, y por sorprendente que pueda resultar, hasta ahora Google Chrome sigue empleando HTTP por defecto a la hora de intentar establecer una conexión. ¿Y en qué circunstancias ocurre esto? Cuando escribes la dirección de la página a la que quieres acceder sin precederla del protocolo de conexión a emplear. Puedes comprobarlo tú mismo, si escribes www.uam.es (la web de la Universidad Autónoma de Madrid) en la barra de direcciones de Google Chrome, por defecto la conexión se establecerá mediante HTTP. Sin embargo, si al escribir la dirección la precedes de https://, estarás accediendo mediante una conexión segura.
Esto tenía sentido hasta hace alrededor de dos-tres años, cuando una gran cantidad de sitios web no ofrecían conexiones seguras y, por lo tanto, lo más probable era encontrarse con conexiones HTTP. En ese contexto, y priorizando el rendimiento, Google Chrome primero comprueba si el servidor ofrece conexiones mediante HTTP, y solo si la respuesta es negativa, lo intenta con HTTPS. Una comprobación que también hace si indicas que te quieres conectar a un servidor empleando el protocolo no seguro, pero al intentarlo comprueba que no es posible (puedes probarlo intentando acceder a http://www.muyseguridad.net, como podrás comprobar, Google Chrome establecerá siempre una conexión HTTPS).
A día de hoy, sin embargo, no tiene sentido que Google Chrome priorice HTTP a HTTPS al establecer una conexión con un servidor web. No tiene sentido y, por ejemplo, en casos como el de la Universidad Autónoma de Madrid, que sigue ofreciendo conexión mediante HTTP (seguramente por cuestiones de compatibilidad, quiero pensar), éste es el protocolo elegido por el navegador, aún cuando también sea posible establecer la conexión mediante HTTPS.
La buena noticia es que esto está a punto de cambiar, tal y como podemos ver en el sitio de desarrollo de Chromium. Los desarrolladores ya han puesto el foco en este problema, Google también y se está empezando a trabajar:
Default typed omnibox navigations to HTTPS: Initial implementation
Presently, when a user types a domain name in the omnibox such as
«example.com», Chrome navigations to the HTTP version of the site
(http://example.com). However, the web is increasingly moving towards
HTTPS, and we now want to optimize omnibox navigations and first-load
performance for HTTPS, rather than HTTP.
Así, la hoja de ruta para Google Chrome es invertir el modo en el que se realiza esta acción, es decir, que cuando se haya implementado esta función, al escribir un dominio en la barra de direcciones sin indicar qué protocolo se quiere emplear, el primer intento de establecimiento de conexión se realizará empleando HTTPS, y solo si esta opción no está disponible, se intentará establecer una conexión HTTP, priorizando de este modo las conexiones seguras.
Al tratarse de una modificación introducida en Chromium, no solo Google Chrome se beneficiará de esta mejora de seguridad, sino que lo harán todos los navegadores basados en Chromium, es decir, la inmensa mayoría de los más empleados, excluyendo únicamente a Safari y a Mozilla, que ya cuenta con una función que permite indicar al usuario que solo se empleen conexiones bajo HTTPS.
Aunque no es un cambio inminente, esta es una señal más de que las conexiones no seguras bajo HTTP tienen los días contados. Son muchos, y muy relevantes, los problemas de seguridad a los que se puede enfrentar un usuario al emplear este tipo de conexión, por lo que las ventajas que ofrece HTTPS son más que evidentes. Es cuestión de unos pocos años, pero tarde o temprano empezaremos a hablar del momento en el que los navegadores empiecen a imponer limitaciones más férreas a las conexiones no seguras.