Llegamos a ustedes gracias a:



Reportajes y análisis

Es momento de prender el HTTPS

Los beneficios hacen que valga la pena el esfuerzo

[29/03/2017] Después de que Edward Snowden revelara que las comunicaciones en línea estaban siendo recolectadas en masa por algunas de las agencias de inteligencia más poderosas, los expertos en seguridad pidieron el cifrado de toda la página web. Cuatro años más tarde, parece que hemos pasado el punto de inflexión.

El número de páginas web que soportan HTTPS -la versión segura de HTTP- ha incrementado mucho en el último año. Hay muchos beneficios para prender el cifrado; así que, si su sitio web todavía no apoya la tecnología, es momento de hacer algo.

Los datos recientes de telemetría de Google Chrome y Mozilla Firefox muestra que el 50% del tráfico web está ahora cifrado, tanto en computadoras como en dispositivos móviles. La mayor parte del tráfico va a unas pocas grandes páginas web; pero, aun así, es un salto de más de 10 puntos porcentuales desde hace un año.

Mientras tanto, una encuesta realizada en febrero, reveló que de las un millón de páginas web más visitadas, el 20% de ellas soportan HTTPS, comparado con cerca del 14% en agosto. Esa es una tasa de crecimiento increíble de más de 40% en medio año.

Hay una serie de razones para la adopción acelerada de HTTPS. Algunos de los obstáculos de la implementación del pasado son más fáciles de superar, los costos han bajado y hay muchos incentivos para hacerlo ahora.

Impacto del rendimiento

Una de las preocupaciones principales sobre HTTPS es un impacto negativo percibido en los recursos del servidor y el tiempo de carga de las páginas. Después de todo, el cifrado normalmente viene con una penalidad por rendimiento, así que ¿por qué HTTPS sería diferente?

Como resultado, gracias a las mejoras del software del cliente y del servidor a lo largo de los años, el impacto del cifrado TLS (Transport Layer Security) es insignificante.

Después de que Google activara el HTTPS para Gmail en el 2010, la empresa observó que solo un 1% adicional de la CPU carga en sus servidores, bajo 10KB de memoria extra por conexión y menos de 2% de sobrecarga de red. La implementación no requirió ninguna máquina o hardware especial adicional.

El impacto no es solo menor en el backend, sino que la navegación es mucho más rápida para los usuarios cuando el HTTPS está activado. La razón es que los navegadores modernos soportan HTTP/2, una revisión importante del protocolo de HTTP que trae muchas mejoras en el rendimiento.

A pesar de que el cifrado no es un requerimiento en la especificación oficial de HTTP/2, los fabricantes de navegadores lo han hecho obligatorio en sus implementaciones. La conclusión es que, si desea que sus usuarios se beneficien con el aumento de la velocidad en HTTP/2, necesita implementar HTTPS en su página web.

Siempre es cuestión de dinero

El costo de obtener y renovar los certificados digitales requeridos para implementar HTTPS han sido una preocupación en el pasado, y con toda razón. Muchas pequeñas empresas y entidades no comerciales se han mantenido lejos de HTTPS por esta misma razón, e incluso las grandes empresas con muchos sitios web y dominios en su administración podrían haber estado preocupados por el impacto financiero.

Afortunadamente, ese ya no tiene que ser un problema, al menos para sitios web que no requieren los certificados de validación extendida (EV). La autoridad del certificado sin fines de lucro Let's Encrypt, lanzada el año pasado, proporciona certificados de validación de dominio (DV) gratuitos, a través de un proceso completamente automatizado y fácil de usar.

Desde el punto de vista criptográfico y de seguridad, no hay ninguna diferencia entre los certificados DV y EV. La única diferencia es que esta última requiere una verificación más estricta de la organización que solicita el certificado, y permite que el nombre del dueño del certificado aparezca en la barra de direcciones del navegador junto al indicador visual HTTPS.

Además de Let's Encrypt, algunas redes de entrega de contenidos y proveedores de servicios de nube, incluyendo CloudFlare y Amazon, ofrecen certificados TLS gratuitos a sus clientes. Los sitios web alojados en la plataforma WordPress.com, por defecto, también reciben HTTPS y certificados gratuitos, incluso si utilizan dominios personalizados.

No hay nada peor que una mala implementación

La implementación de HTTPS solía estar llena de peligros. Debido a la pobre documentación, el continuo apoyo de algoritmos débiles en las bibliotecas criptográficas y los nuevos ataques descubiertos constantemente, solía haber una alta probabilidad de que los administradores de los servidores terminaran con implementaciones vulnerables de HTTPS. Y un mal HTTPS es peor que la carencia de este, porque da una falsa idea de seguridad a los usuarios.

Algunos de esos problemas están siendo resueltos. Actualmente, hay sitios web como Qualys SSL Labs que proporciona documentación gratuita sobre las mejores prácticas de TLS, así como herramientas de prueba para descubrir errores de configuración y debilidades en las implementaciones existentes. Mientras tanto, otros sitios web proporcionan recursos para las optimizaciones de rendimiento de TLS.

El contenido mixto puede ser una fuente de dolores de cabeza

La extracción de recursos externos, tales como imágenes, videos y códigos de JavaScript a través de conexiones no cifradas en un sitio web HTTPS, activará alertas de seguridad en los navegadores de los usuarios. Y debido a que muchos sitios web dependes de contenido externo para su funcionalidad -sistemas de comentarios, análisis web, publicidad, etc.-, el problema del contenido mixto ha evitado que muchos migren a HTTPS.

La buena noticia es que un gran número de otros servicios, incluyendo redes publicitarias, han añadido soporte HTTPS en los últimos años. La prueba de que este no es un problema tan malo como solía ser, es que muchos sitios web de medios en línea ya se han cambiado a HTTPS, a pesar de que tales páginas web son altamente dependientes de los ingresos por publicidad.

Los webmasters puede usar el encabezado de Content Security Policy (CSP) para descubrir recursos inseguros en sus páginas web, y ya sea reescribir su origen de inmediato o bloquearlos. El HTTP Strict Transport Security (HSTS) también puede ser usado para evitar problemas de contenido mixto, como lo explica, Scott Helme, investigador de seguridad, en un post de su blog.

Otras posibilidades incluyen usar un servicio como CloudFlare, que actúa como un proxy frontal entre los usuarios y el servidor web que realmente aloja el sitio web. CloudFlare cifra el tráfico web entre los usuarios finales y su servidor de proxy, incluso si la conexión entre este último y los servidores web de alojamiento permanece sin cifrar. Esto asegura solo la mitad de la conexión, pero eso sigue siendo mejor que nada, y evitará la interrupción y manipulación cerca al usuario.

HTTPS añade seguridad y confianza

Uno de los mayores beneficios de HTTPS es que protege a los usuarios contra ataques man-in-the-middle (MitM) que pueden ser lanzados desde redes comprometidas o inseguras. Los hackers usan esas técnicas para robar información importante, o inyectar contenido malicioso en el tráfico web. Los ataques de MitM también pueden ser realizados desde mucho más arriba en la infraestructura de Internet, por ejemplo, a nivel de país -el gran firewall de china- o incluso a uno continental, así como con las actividades de vigilancia de la NSA.

Además, algunos operadores de puntos de acceso de Wi-Fi, e incluso algunos ISPs, utilizan técnicas para inyectar anuncios o varios mensajes en el tráfico web sin cifrar de los usuarios. HTTPS puede prevenir esto -incluso si este contenido no es malicioso por naturaleza, los usuarios podrían asociarlo con la página web que están visitando, lo que podría afectar la reputación de la página web.

No tener HTTPS viene con penalidades

Google comenzó a usar HTTPS como una señal de clasificación de búsqueda en el 2014, lo que significa que los sitios web disponibles que cuentan con HTTPS tienen una ventaja en los resultados de búsqueda, sobre aquellas que no cifran sus conexiones. Aunque el impacto de esta señal de clasificación es pequeño, Google planea reforzarlo con el tiempo para alentar la adopción de HTTPS.

Los fabricantes de navegadores también están impulsando el HTTPS de manera bastante agresiva. Las últimas versiones de Chrome y Firefox muestran advertencias si es que los usuarios tratan de introducir contraseñas o datos de tarjetas de crédito en formularios cargados en páginas que no sean de HTTPS.

En Chrome, se evita que las páginas que no usan HTTPS accedan a funciones como geoubicación, movimiento y orientación del dispositivo, o el caché de la aplicación. Los desarrolladores de Chrome planean ir más allá y eventualmente mostrar un indicador de No Seguro en la barra de direcciones para todos los sitios web no cifrados.

Mire al futuro

"Como comunidad siento que hemos hecho mucho bien en esta área, explicando por qué todos tienen que usar HTTPS", señala Ivan Ristic, ex jefe de Qualys SSL Labs y autor del libro Bulletproof SSL y TLS. "Especialmente los navegadores, con sus indicadores y mejoras constantes, están haciendo que el cambio sea atractivo para las empresas".

Según Ristic, permanecen algunos obstáculos para la adopción, tales como tener que lidiar con sistemas heredados, o con los servicios de terceros que todavía no apoyan HTTPS. Sin embargo, él siente que ahora hay más incentivos -así como presión del público general- para apoyar el cifrado, haciendo que el esfuerzo valga la pena.

"Siento que a medida que más sitios migran más fácil se hace", añade.

La próxima especificación, que sigue siendo un borrador, pero ya ha sido implementada y activada por defecto en las últimas versiones de Chrome y Firefox, hará que la implementación de HTTPS sea mucho más fácil: esta nueva versión del protocolo elimina la compatibilidad con antiguos e inseguros algoritmos criptográficos, haciendo que sea mucho más difícil terminar con configuraciones vulnerables. También trae mejoras significativas en la velocidad, debido al simplificado mecanismo de handshake.

Sin embargo, vale la pena tener en mente que desde que HTTPS se hizo fácil de implementar, también puede ser fácilmente abusado, por lo que es importante educar a los usuarios sobre qué ofrece la tecnología y qué no.

La gente tiende a confiar más en una página web cuando ven el candado verde que indica la presencia de HTTPS en el navegador. Desde que los certificados son ahora fácilmente obtenibles, muchos atacantes están aprovechando esta confianza equivocada, y están configurando sitios web HTTPS maliciosos.

"Cuando se trata de una cuestión de confianza, una de las cosas que tenemos que tener clara es que la presencia de un candado y de HTTPS no significa nada acerca de la fiabilidad de una página web, y tampoco dice nada sobre quién la está operando", señala Troy Hunt, experto y entrenador en seguridad web.

Las organizaciones también van a tener que lidiar con el abuso de HTTPS y es probable que comiencen a inspeccionar ese tráfico en sus redes locales, si no lo están haciendo todavía, porque las conexiones cifradas podrían esconder malware.