En aras de la seguridad, Google priorizará en los resultados del buscador a los sitios con “https”

Con el fin de aumentar la seguridad de los usuarios, Google ha anunciado que en breve va a priorizar el posicionamiento en su buscador de aquellas webs que tengan activado el protocolo de seguridad “https” en su web (HTTP sobre TLS). Google considera que aquellas webs que incorporan una capa de cifrado en las comunicaciones protegiendo así la información que el usuario envíe cuentan con una ligera ventaja sobre aquellas que no lo hacen. Esto aplicaría a cualquier tipo de aplicación que incluyamos en nuestra web que implique que el usuario introduzca datos: un formulario, una tienda online, etc.

HTTPS-SSL-ataques-500x362

Google afirma que avisa para dar tiempo a los webmasters a adoptar este protocolo de seguridad en sus webs y también da una serie de recomendaciones, como utilizar claves de 2048 bits y analizar la configuración con la herramienta Qualys Lab tool.

El propio Google introdujo este protocolo de seguridad hace varios años tanto para Gmail como para sus búsquedas, una vez el usuario ha hecho login. La pasada semana ha anunciado también la adopción de nuevas medidas de seguridad y anima a los usuarios a hacer lo mismo.

Establecer un protocolo de seguridad HTTPS es relativamente sencillo y prácticamente todos los proveedores de hosting ofrecen este servicio. Eso sí, habrá que pagar por un certificado de seguridad que hay que renovar cada año.

Tener un sitio con HTTPS no significa que éste sea seguro

Puede resultar paradójico, pero el instalar un certificado de seguridad en un sitio web y establecer el protocolo HTTPSeset-nod32-seguridad-certificados-ssl-webs-vulnerables no quiere decir que nuestro sitio está realmente asegurado, ya que hay otros factores a tener en cuenta. De hecho, según el último informe hecho público en octubre del año pasado por la organización sin ánimo de lucro Trustworthy Internet Movement (TIM), el 50’6 por ciento de 160.000 sitios web con protocolo HTTPS eran vulnerables a ataques sobre la capa de conexión segura SSL

Estos datos se saben gracias al proyecto SSL Pulse, que utiliza tecnología de escaneo automatizado para analizar la fuerza de las implementaciones HTTPS en los sitios web más visitados del mundo de la lista de la compañía Alexa. Se comprueba así qué protocolos son compatibles con los sitios habilitados con transferencia segura de datos (SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, entre otros), la longitud de clave que utilizan para las comunicaciones (512 bits, 1024 bits, 2048 bits, etc.) y la fuerza del cifrado (256 bits, 128 bits o menos).

En la última oleada de este informe, los sitios inseguros han descendido en un 35,8% en un año, que se situaba en el 86,4% en octubre de 2012. Y buena prueba de este dato fue Heartbleed, el agujero de seguridad encontrado en OpenSSL que permitía saltarse el protocolo de seguridad y acceder a los servidores de Internet y, por lo tanto, a todos sus datos.

Qualys, la organización cuya herramienta de testeo recomienda Google, también ofrece una guía de buenas prácticas que ayudaría a los webmasters a establecer este protocolo de seguridad de la forma correcta.

Bueno, todo sea en aras de la seguridad. Pero eso sí, habrá que estar atentos a nuevos cambios en este sentido de Google, sobre todo teniendo en consideración la cantidad de usuarios que desarrollan webs sin ser realmente profesionales de informática (y mucho menos especialistas en seguridad) y que pasan por alto este pequeño detalle de instalar certificados de seguridad SSL. Luego vendrán las sorpresas, y muchos se volverán locos buscando la razón por la que su web, bien posicionada hasta entonces, ahora se ha desplazado varios puestos hacia atrás.

Buena semana, ¡trop@!

Análisis de Krysanec: troyano para Android oculto en aplicaciones legítimas