Hoy en día, prácticamente todas las webs están preparadas para poder navegar por ellas a través de HTTPS. Ha sido una larga lucha hasta que hemos llegado a este punto, y gracias a ello, los datos viajan por la red cifrados y con más seguridad de como lo harían a través de un HTTP normal. Sin embargo, aún quedan webs que usan por defecto el HTTP, igual que algunos contenidos que, aunque la web carga por HTTPS, estos viajan a través del protocolo inseguro hasta nuestro PC. Y precisamente con esto es con lo que quiere acabar el nuevo modo HTTPS-First de Chrome.
Hoy en día, más del 90% de las webs totales de Internet, y del total de conexiones que se llevan a cabo, viajan a través de HTTPS. Y, para poder llegar al 100% cuanto antes, poco a poco hay que seguir avanzando en el hecho de forzar estas conexiones y sancionar, en cierto modo, todo aquello que no sea una conexión segura. Y, por ello, esta novedad va a ser bien recibida por los usuarios. Mozilla ya dio el paso con su Firefox 83, y ahora le ha llegado el turno a Google Chrome.
Google Chrome 94 priorizará las conexiones HTTPS siempre
Hay algunas páginas web que, aunque soportan HTTPS, están configuradas para funcionar exclusivamente con HTTP. Además, ciertos ataques informáticos pueden hacer que el navegador solicite algunos elementos de las webs en HTTP a pesar de estar disponibles como HTTPS.
De esta forma, tal como ha anunciado Google, el navegador recibirá muy pronto una nueva función llamada «HTTPS-First«. Gracias a esta nueva función, los usuarios estarán protegidos de aquellas webs mal configuradas, y de los ataques MITM que intentan hacer que nuestro navegador use conexiones inseguras en lugar de las conexiones HTTPS seguras. Esta función es similar a como funcionan algunas extensiones, como HTTPS Everywhere, pero de forma nativa en el navegador.
Gracias a ella, todos los usuarios podrán tener la seguridad de estar usando conexiones seguras por defecto siempre que sea posible, y solo verán avisos cuando no haya posibilidad de establecer una conexión HTTPS. Además, mejorará la carga de muchas webs que, hasta ahora, hacían viajar el doble a las peticiones HTTP/S para ofrecer el protocolo seguro.
El candado del HTTPS desaparecerá
Si las conexiones HTTPS van a ser siempre las predeterminadas, el candado que nos indica conexión segura no tiene mucho sentido. Por ello, Google tiene intención de quitarlo de nuestra barra de direcciones. Se supone que todas las webs que visitemos serán seguras y tendrán su propio certificado HTTPS. Por lo tanto, solo veremos un aviso en la barra de direcciones cuando esto no sea así, es decir, cuando una web use un HTTP normal.
Esta nueva función llegará a todos los usuarios con Google Chrome 94. Y esta versión está pensada para septiembre de este mismo año. Además, los usuarios que tengan instalada la versión Canary del navegador ya pueden probarla. Simplemente debemos escribir en la barra de direcciones «chrome://flags/#https-only-mode-setting«, activar dicha flag y reiniciar el navegador. A partir de entonces, el HTTPS-First empezará a proteger todas sus conexiones.
Al ser un cambio en Chromium, los navegadores basados en él (como Edge, u Opera) podrán disponer de esta función igualmente.