Los ingenieros de seguridad de Chrome han propuesto que todos los sitios web que no encripten el tráfico sean marcados como inseguros por los navegadores.
La propuesta, que apareció a principios de este mes, cambiaria de manera dramática las señales visuales en la barra de navegación dentro de un navegador web, la cual ahora muestra un candado, cuando algunos sirios están encriptados con SSL o TSL. Esos sitios tienen el prefijo https en vez del común http.
Lo sitios sin encriptar no muestran ningún tipo de señalización visual.
“Nosotros, el equipo de seguridad de Chrome, propone que los agentes de seguridad cambian gradualmente su UX para mostrar orígenes no seguros como ”No seguros, de forma afirmativa” los ingenieros comentaron en mensajes distribuidos en foros de discusión, incluyendo el propio Chromimum project. “La meta de este proyecto es mostrar de manera más clara a los usuarios que el HTTP no ofrece ninguna seguridad en datos”
El punto de Chrome es que sin la encriptación HTTPS o SSL/TLS el tráfico entre un navegador web de un usuario y un sitio en la red es inseguro. La señalización visual arreglaría eso.
“Sabemos que la gente no percibe la ausencia de un signo de precaución”, los ingenieros de Chrome escribieron “Sin embargo, la única señal de seguridad es cuando la página web cuenta con el prefijo HTTP.”
Si se hacen los cambios, retrocederían décadas en dejar sitios con HTTP sin señalar, y marcando solamente aquellos que están encriptados o que exhiben algún tipo de problemas, como sitios web que se sospeche son maliciosos. Se le ha advertido a los usuarios de navegadores web que observen la barra de navegación por señales de encriptación, no por la falta de ellos.
Aunque Google no explicó de qué manera las direcciones HTTP serían señaladas como inseguras, sugirió que los desarrolladores de los navegadores hagan un aproximamiento del tema durante 2015, cuando los sitios HTTP se señalen como “de duda” en sus barras de navegación.
En algún momento, los signos de HTTPS—como el ícono del candado—desaparecerían, ya que el tráfico encriptado ya sería la norma.
La idea de Google tuvo apoyo de parte de Mozilla, cuyos desarrolladores escribieron comentarios en su propio foro de discusión, aunque hubo otros que señalaron los problemas.
Google ha promocionado agresivamente el HTTPS, en sus propiedades, incluyendo su motor de búsqueda y en Gmail, pero está presionando por esta nueva propuesta. Enn agosto, Google comentó que deduciría el ranking de sitios web que no encripten sus datos con TLS.