Hablaba de ello hace unos meses al hilo del surgimiento de Let’s Encrypt, respaldado por la EFF y Mozilla, y que intentaba democratizar de esta manera el acceso a certificados SSL para cualquier web que así lo pidiera.
Estos días, lo que en principio salió como beta cerrada, ha pasado a beta abierta (EN), lo que significa que cualquier administrador de un site puede pedir a este nuevo organismo una certificación segura de su página, que a priori será convenientemente marcada como tal por la mayoría de servicios de descubrimiento informativo (buscadores, navegadores,…). Todo de forma relativamente sencilla, casi al alcance de cualquier usuario de hosting, sin grandes conocimientos de administración de sistemas.
Algo que precisamente un organismo tan crítico como Google lleva tiempo empujando. Primero con la decisión de pasar todos sus servicios a SSL (EN), y más tarde con el anuncio de que a partir de entonces consideraría el ofrecer o no HTTPs como una medida más de rankeo en su buscador.
La noticia, por tanto, es buena. De esta manera, se fuerza a que la mayoría (todos los que quieran seguir saliendo en las búsquedas) pasemos a utilizar conexiones HTTPs para navegar por nuestras páginas, y no el HTTP básico que usábamos hasta ahora.
Aunque como todo en esta vida, tiene un gran pero, y ese pasa por los sacrificios que hacemos con el cambio.
Hacia una web menos menos independiente
Jose lo definía muy bien en su último artículo (ES):
Hay aspectos más importantes, como el de la marginalización de la web verdaderamente independiente. Un certificado vale tanto como la reputación de la entidad certificadora. Puedes producir tu propio certificado SSL pero tus lectores y usuarios han de confiar en ti, dado que el certificado lo firmas tú mismo. Para quien no te conoce, es manifiestamente mejor que te avale una entidad reputada como VeriSign, por poner un ejemplo.
La medida me recuerda muchísimo a aquella que vivimos con la estandarización del correo. Antiguamente, cualquiera con ganas (y conocimientos) podía montarse un servidor de correo en casa. Pero entonces, empezaron a necesitarse cada vez más elementos. Que si una IP fija, que si una resolución inversa de dominio,… En caso de no poder ofrecer alguno de estos elementos, o directamente el correo no era viable, o era tachado como potencialmente peligroso por el resto de grandes proveedores de correo.
Y con ello, aunque el forzado era a priori para interés del usuario (evitar que cualquiera se pudiera montar un servicio de phishing vía email en su casa), se consiguió que algo que podía ser independiente del sistema, entrara en él.
hoy en día, por facilidad, por funcionalidad, y casi por necesidad, la mayoría de usuarios utilizamos correos que nos ofrecen “gratuitamente” empresas como Google, Microsoft, Apple,… E incluso aquellos correos que tenemos con nuestro propio dominio los sincronizamos con estas plataformas.
Se pierde entonces independencia, y se gana en centralización.
Justo igual que ocurre con ese nuevo estándar impulsado por Google para rehabilitar la web en entornos de mobilidad. Algo que recalco, es necesario, pero que también conlleva unos sacrificios a considerar.
Con el caso de las entidades certificadoras pasa exactamente igual.
De un escenario en el que cualquiera se puede montar una web y ofrecer un servicio, pasamos a otro en el que para hacerlo (y ser competitivos en el mercado), tenemos que o bien contratar a una entidad certificadora de prestigio, o bien apostar por un ente a priori neutral como será Let’s Encrypt.
Cualquiera puede autofirmarse un certificado, pero el problema es que la mayoría de buscadores y navegadores como Chrome lo van a tachar como potencialmente peligroso.
Por detrás, el interés de un regulador por, en efecto, hacer de Internet un paraje más seguro (así evitamos que cualquiera se monte una web bancaria fail con “candadito” seguro), y de paso, un elemento más para centralizar lo que a priori iba a ser un proyecto abierto y accesible a cualquiera.
Porque ¿cuántos organismos de certificados digitales hay con buena reputación en todo el planeta? No tantos, se lo puedo asegurar.
Un sistema de confianza y reputación para dominarnos a todos
Iría aún más lejos. El riesgo ya no solo pasa por esa pérdida de control, esa suerte de intermediación reputacional, tan compleja de mantener, que pasa de recomendable a obligatoria.
La cuestión es qué pasará con todos aquellos proyectos que, aunque siguen ofreciendo un canal digital de mucho valor (informativo) para sus clientes, ya han sido abandonados.
Jose enlaza a un artículo de Locusmag sobre el internet de los muertos (EN), que aunque sea antiguo (muy al hilo de lo comentado), le insto a leer.
Toda esa parte de la web que ya no se actualiza, y que aunque siga sirviendo de gran valor para los usuarios, irá paulatinamente desapareciendo del alcance de todos nosotros.
Si los buscadores le rebajan su rankeo por cuestiones puramente técnicas que ya no están contempladas, si los navegadores lanzan un popup en rojo vivo alertando de todo el peligro que conlleva entrar en una página que quizás esté desarrollada únicamente en XHTML y CSS, no habrá muchos interesados en aventurarse en sus dominios.
Pese a que siga siendo tan inofensiva como antaño. Pese a que el contenido que tiene aporta aún muchísimo valor. Simplemente porque no ha sido actualizada a los estándares centralizados y dependientes que dicta el nuevo Sistema en la red.
Lo peor es que no se me ocurre ningún punto medio aceptable. O bien apostamos por una internet más centralizada y segura, o bien mantenemos la independencia. Y en los dos casos, hay riesgos asociados que conviene tener en cuenta.
Quizás algo como Let’s Encrypt sea una salida hasta cierto punto aceptable. Un organismo en principio neutral, con la EFF y Mozilla por detrás (lo cual me da bastante tranquilidad, sinceramente), accesible por cualquiera (aunque ahora haya que pedirlo y sea un paso extra) y gratuito.
Eso siempre y cuando obviemos cómo demonios va a mantener el sistema de confianza Let’s Encrypt cuando millones de páginas lo utilicen.
Va siendo hora que reconozcamos que Internet no es un escenario permanente, donde algo puede seguir funcionando mientras los dueños no le quiten el cable.
Un Internet que ya no es totalmente neutral, y que irá paulatinamente siéndolo menos.
¿En dónde está el límite? Sinceramente, no lo sé ¿Alguna opinión al respecto?
Buenas Pablo. Muy interesante ésto que nos comentas, yo también andaba siguiendo desde hace varios meses el asunto éste de Let\’s Encrypt, ya que me parecía un avance importante. Sin embargo no lo había mirado con los ojos de la pérdida de neutralidad que nos comentas. La verdad es que tienes razón, no hay punto medio: o Internet neutral, o Internet seguro.
Yo creo que el problema es que ha evolucionado todo tanto que ha pasado algo así como las casas: Hace no demasiados años (hablo de 30-40 años, y en ocasiones menos), las puertas de las casas se dejaban abiertas. De hecho, quien cerraba la puerta, tenía una cuerdecita de la cual tirabas y se abría el pasador (sistema ingenioso donde los haya), de esa forma evitaban la entrada del frío o de animales, permitiendo la entrada de las personas. Sin embargo hoy en día todas las puertas se cierran a cal y canto, ya sea en ciudades o pueblos, de forma que cualquier visita, por mucha confianza que tenga, debe llamar para poder entrar. Me acuerdo de mi pueblo en una casa que tenían el sistema de la cuerdecita (tengo 28 años, por lo que no soy tan viejo), y nunca tuvieron un robo. Simplemente, el vecino que iba de visita, entraba y decía bien alto: ¡Hola! de forma que se sabía que alguien había entrado en casa. Hoy en día se cierra todo por que, si te descuidas, te roban hasta los calzoncillos que llevas puestos.
Con las web pasa lo mismo: hay tanta mala intención en Internet que necesito tu permiso para entrar en tu ordenador y que me leas. Y dicho permiso pasa por instalar un certificado que garantice que no te voy a “robar la casa”. Solución difícil, tal como nos comentas: o blanco o negro, aquí no hay YingYang.
Muy buen anacronismo Rubén, y en efecto.
Creo que queda patente en el artículo, que al menos bajo mi punto de vista, Let’s Encrypt es un gran avance. Es más, sin una propuesta semejante, sí que me posicionaría en contra de un movimiento así (pese a que entiendo que es más seguro). Pero sabes que me gusta ver todo desde distintos ángulos, y con el cambio, también sacrificamos algunas cosas.
Internet ha cambiado mucho desde que fue desarrollada, y los nuevos tiempos requieren nuevos escenarios. Aún así, echaremos seguramente de menos esa descentralización e independencia que sí, era más insegura a nivel genérico, pero que para según qué proyectos, los nuevos vientos pasan a ser más un impedimento que una mejora.
Empezando por todas esas webs 1.0, en las que ni siquiera puede haber malware, siguiendo por blogs como éste, cuya única exposición de datos podría darse en el formulario de comentarios y/o de contacto, y siguiendo por todas aquellas páginas cuyo único papel es informar y no gestionar información personal.