Y todas las páginas abrazaron el protocolo seguro

Podría ser uno de los capítulos históricos de Google. Ayer, el gigante de las búsquedas sorprendía a todos con un artículo en su blog para webmasters (ES) en el que explicaba los beneficios de forzar comunicaciones HTTPs en las páginas.

PHP HTML Website

Y la forma que tiene para “impulsar” su expansión, es tomando esta variable como señal de ranking, esto es, favoreciendo a las páginas HTTPs frente a las HTTP en las búsquedas:

Por estos motivos, durante los últimos meses hemos estado haciendo pruebas teniendo en cuenta si los sitios utilizan conexiones seguras cifradas como señal para nuestros algoritmos de ranking. Los resultados han sido positivos, de modo que empezaremos a utilizar HTTPS como señal del ranking.

Como suele ocurrir, desde el portal anuncian que a día de hoy solo afecta al 1% de las búsquedas, y que irán poco a poco escalándolo. Y teniendo en cuenta Google supone el 95% de las búsquedas de internet, no se me ocurre una estrategia más infalible para forzar la comunicación segura cliente/servidor.

Para quien no esté muy ducho en estos términos, decir que el protocolo HTTPs es un protocolo HTTP que cuenta con certificación SSL. Una capa extra que se encarga de ofuscar las comunicaciones basándose en la reputación de la agencia certificadora.

Por supuesto, no es infalible, y ya hubo casos de certificados falsos, corruptos o exploits que logran saltárselo, pero es un paso más hacia ese internet de la era Post-Snowden del que tanto hemos hablado.

Ahora bien, después de leer la noticia, me asaltó una pregunta que para variar Google no ha respondido ni en su artículo ni en el foro habilitado para ello.

La pregunta la lancé a mis círculos blogueros en Google+ (ES), así como al grupo privado que mantengo en WhatsApp para estos menesteres, con el fin de encontrar el verdadero valor de tener habilitado SSL en un blog personal.

Este tipo de protocolo está enfocado principalmente a páginas que cuentan con alguna de las siguientes prestaciones:

  • Sitios que manejen información personal o privada.
  • Sitios que necesiten login de usuarios.
  • Sitios que acepten pagos con tarjeta de crédito u otros métodos electrónicos.
  • Intranets que necesiten protección en el tráfico y en el acceso a bases de datos.

Dependiendo de cómo de exactos queramos ser, podríamos considerar cualquier web como una de ellas, pero lo cierto es que en un blog personal como este, que cuenta únicamente con un administrador (que soy yo), y al que el usuario llega siempre como invitado (puesto que tengo cerrado el registro), es difícilmente defendible.

Lo único que se me ocurre es que el SSL podría servir para que los datos privados de un usuario que comenta un artículo (email, IP) sean enviados al servidor de forma segura, algo que puestos a pedir lo podemos realizar con un plugin sin tener que pagar un certificado SSL.

Porque queda en el tintero un aspecto que aunque demasiado conspiranoico como para tomarlo en serio, había que sacarlo en la ecuación. Y es que con este forzado, Google se asegura que todos los administradores tarde o temprano opten por abrazar el SSL, sea necesario o no, con el beneficio que ello conllevará a los agentes certificadores (incluida la propia Google (EN), que hace apenas un par de meses se puso a vender dominios). Hablamos de un desembolso de mínimo 80-90 euros anuales por dominio, que se va sumando dependiendo de los dominios que uses (no es raro tener varios dominios para cada web).

Que si al final ello permite crear un internet ligeramente más seguro, pues perfecto. Soy el primero que lo habilitaría para esta web. Pero oye, pagar por pagar me parece absurdo.

¿Qué opina?

 

Imagen de kentoh, PHP HTML Website (EN) cedida por Depositphotos.com.