Joaquín Pi, periodista freelance que colabora habitualmente en merca2, me escribía hace poco al hilo de una pieza que estaba preparando sobre el anuncio de Google de listar como «no seguros» los sitios que no tengan el certificado SSL (EN) para su web.
Es, de facto, un tema que he tratado hasta la saciedad, que creo que tiene puntos fuertes y también puntos débiles a considerar, y del que sinceramente, no tengo tan claro que se esté llevando a cabo de la mejor manera posible.
Así que aprovecho que ya tiene publicada la pieza (ES) para exponer por estos lares mis respuestas, con algún que otro retoque para el formato habitual de este blog, a las preguntas que me hacía:
Sabiendo lo que supone tener implementado el protocolo https, ¿es tan seguro como lo pintan? Tanto en Google como en otros sitios lo ponen como la panacea de la navegación segura, ¿qué matices establecerías en esta percepción?
Ahí está el quid de la cuestión. Realmente una conexión HTTPs y una conexión HTTP tradicional no es más o menos segura. Lo que sí es es más privada, algo necesario sobre todo cuando pasamos información confidencial, como puede ser en páginas de casinos legales como 888sport (ES), y me temo que por decisiones de diseño se está llevando a engaño.
Además, parte de la culpa la tenemos aquellos que nos dedicamos desde hace años al mundo de la seguridad. Antes era muy habitual decir, por simplificar, que una página que tuviera el candadito verde y esa coletilla de «Es seguro» era una página en efecto segura, habida cuenta de que los controles para obtener un certificado SSL normalmente dejaban fuera a cualquier intento de usurpación de webs legítimas o fraudes cibernéticos.
El problema es que hoy en día, AFORTUNADAMENTE (y lo explicaré a continuación) se ha democratizado el acceso a un SSL. Proyectos como Let’s Encrypt o CloudFlare ofrecen de forma gratuita certificados SSL que además cuentan con el apoyo de la industria. Pero no pasan los controles de seguridad de un certificado SSL tradicional, y por tanto, ya se han conocido muchísimos casos en los que campañas de phishing vienen firmadas por conexiones HTTPs, simplemente porque en efecto la conexión es privada entre el usuario y el servidor. Otro tema es que ese servidor esté en manos de ciberdelincuentes…
Dicho esto, ese «AFORTUNADAMENTE» de antes viene dado porque aún a sabiendas de que en efecto una conexión SSL y una conexión HTTP no son más o menos seguras, sí estamos ganando a nivel de privacidad, y como la industria parece interesada en forzar conexiones SSL como el protocolo de comunicación por defecto en Internet, es algo que a grosso modo es beneficioso para todos.
No es la panacea a todos los males que azotan el tercer entorno, pero es un buen punto desde el que partir.
Y a los SEOs les viene que ni pintado, ya de que con HTTPs entran en juego algunas nuevas maneras de gestionar el tráfico que hace que al final la navegación sea más fluida. Ergo, menos tiempos de espera entre carga y carga, más comodidad a la hora de navegar…
¿Es cierto que ha habido casos de páginas clonadas que imitaban tan bien a las originales de un banco o de un comercio en línea que tenían implementado el https? ¿Cómo hacen para conseguir que la página clonada se parezca en la original hasta en eso?
No hablamos de casos aislados. Hablamos de miles de campañas de phishing que se están aprovechando de esa asociación equivocada entre SSL y legitimidad.
Una página con SSL solo asegura que la conexión entre el usuario y el servidor se hace de forma cifrada. Es decir, que no puede haber nadie en el medio (man in the middle en el argot) que lea lo que estamos haciendo.
Pero nosotros podemos conectarnos a un servidor legítimo, o a un servidor de cibercriminales. Con o sin SSL.
El problema es que como al lado del candadito verde a Chrome le ha dado por poner «Es Seguro» en vez de «Es Privado», la gente puede llegar a pensar que está en la página del banco, cuando podría tratarse perfectamente de un clonado.
También te digo que si pinchamos en el candado nos da información sobre el certificado contratado. Algo tan importante como una página bancaria va a tener un certificado firmado por el propio banco y certificado por una agencia certificadora mundial. No va a tener un Let’s Encrypt, como es el caso de mi web, o un CloudFlare. Pero claro, ya estamos pidiendo que el usuario le de click y mire la información, hasta cierto punto técnica, de una cosa que ya de por sí ni entiende…
Esta tendencia de Google a exigir el protocolo https en todas las webs aunque no recojan datos personales de carácter sensible, ¿puede tener otra motivación más cercana a los intereses comerciales de Google a corto plazo que a la seguridad pura y dura de la navegación en Internet?
A ver, todo lo que hace una gran corporación está sujeto a múltiples lecturas…
En este caso, con la que un servidor prefiere quedarse es que a Google le interesa, como una de las empresas más importantes de Internet, mejorar la confianza que tienen los usuarios al utilizar la tecnología. Y eso pasa por apoyar movimientos que llevan años siendo necesarios.
El HTTP se creó en su día para comunicarse entre investigadores universitarios. Es decir, por aquel entonces no se tuvo en cuenta que alguien fuera a utilizar la Red para cosas malas…, porque, sinceramente, los únicos que la iban a utilizar…, eran ellos.
De aquella época a lo que es hoy en día, Internet ha cambiado muchísimo. El HTTP se ha ido parcheando de la mejor manera posible, y una de las últimas es incluirle la coletilla del SSL para mejorar la privacidad de las comunicaciones, a sabiendas que el entorno actual es muchísimo más salvaje.
¿Que Google además quiera meterse en el negocio de las certificaciones de conexiones? Realmente ya lo está… Y en todo caso, apoyando iniciativas como Let’s Encrypt, estaría barriendo en contra suya.
Sin embargo, también son conscientes de los retos que supone seguir escalando el tercer entorno. Y uno de ellos se minimiza apoyando las conexiones SSL. Para colmo pueden meter presión como pocos, a sabiendas que su buscador se ha conseguido posicionar como la puerta de entrada a Internet de buena parte de la sociedad.
¿Por qué no abusar de su poder y forzar un cambio que a la larga es bueno para todos? Incluidos ellos mismos, y por supuesto, también su negocio.
También hablamos, ya off the record, de qué cosas hay que considerar para habilitar un SSL en una página web, de las opciones que hay en el mercado, y de qué hay que hacer una vez se ha migrado a nivel de posicionamiento en buscadores.
Dejo los enlaces por aquí por si a alguien le surgen las mismas dudas después de haber leído todo esto.
Gracias Pablo, muy bueno el articulo. He tenido una mala experiencia al migrar a https ya que en muchas paginas no me carga los ads de adsense y bajo el posicionamiento..
Espero entonces que te sirva la pieza Max. Mucho ánimo, y muchas gracias por el apoyo!
Muy buen artículo Pablo.
Yo supe de la existencia de Let’s Encrypt hace apenas 2 meses y, en un principio, me pareció una maravilla poder contar con un certificado SSL gratis y, además, respaldado por grandes compañias. Entonces me puse manos a la obra a tratar de implementarlo en una web que le mantengo a un cliente. Pero «la receta» de instalación de la web oficial no funcionó, no hizo el trabajo de instalación completo. Así que, luego de dedicarle varias horas (mas bien, días) de estudio para aprender a configurarlo, googlear mucho mucho, hasta pregunté en stackoverflow.com (sin recibir respuesta de nadie [tal vez no supe elaborar bien mi pregunta 🙁 ]) no pude implementarlo y, aún no lo he implementado hasta el día de hoy (no he seguido intentándolo más).
Y con Let’s Encrypt también me han surgido dudas de seguridad: ¿Cómo saben que mi página es segura? ¿Cómo garantizan que voy a respetar los datos de los clientes? ¿Son los otros certificados de pago más seguros que Let’s Encrypt?. Pareciera no ser muy útil implementarlo, a menos, claro, que queramos dar la impresión de «web segura». Además, me arriesgo a que tal vez dejen de funcionar correctamente algunas cosas de la web. ¿Qué opinas?
El certificado (Let’s Encrypt, o cualquier otro) lo único que certifica es que en efecto la comunicación con el servidor se hace cifrada. Es decir, que es privada.
Ahora bien, no asegura que sea segura, o que los administradores vayan a darle un uso adecuado a esa información. Y no lo hacía tampoco ningún otro certificado. La única diferencia es que, salvando casos de errores (que los ha habido y los sigue habiendo), los certificados de pago suelen pasar algún que otro control que hasta cierto punto evita que una página de phishing, por ejemplo, pudiera firmarse con ellos. Como Let’s Encrypt lo puede instalar quien quiera, ese control ya no existe, y de ahí vienen los problemas.
Es algo que siempre ha ocurrido, solo que ahora se hace más palpable por este motivo.