Saltar al contenido

Pregúntale al experto: Troy Hunt habla HTTPS

¿Su organización está usando HTTPS? ¿Por qué no?

En un reciente seminario web en vivo, el experto en HTTPS Troy Hunt discutió cómo su organización puede superar las barreras para implementar con éxito el HTTPS. Después de que Troy cubriera por qué es absolutamente esencial que las organizaciones hagan el cambio a HTTPS, tomó preguntas en vivo de los asistentes. Aquí están las cuatro más importantes del evento:

Pregúntale al experto: Troy Hunt habla HTTPS
Pregúntale al experto: Troy Hunt habla HTTPS

1. ¿Por qué hay tanta resistencia a avanzar hacia el HTTPS?

Esto es realmente sobre las barreras a la adopción. En mi curso sobre lo que todo desarrollador debería saber sobre el HTTPS, hay un módulo dedicado a estas barreras percibidas. Estas incluyen cosas como el costo de los certificados, la dificultad de implementación, la velocidad y el apoyo de los sistemas de abajo.

Antes de que el HTTPS se convirtiera en algo común, los certificados solían ser bastante caros. Pero nuevos servicios como Let$0027s Encrypt y Cloudflare lo hacen disponible de forma gratuita. Mi blog, troyhunt.com, está en HTTPS, y no pago un centavo por el certificado, porque usé el servicio gratuito de Cloudflare. Las barreras también han incluido cosas como la dificultad de implementación. Usar Cloudflare puede eliminar completamente este obstáculo de tu camino. Si usted va a Cloudflare.com, tiene la opción de añadir un sitio, y en cinco minutos o menos, usted tiene HTTPS sobre su sitio de forma gratuita, siendo lo más técnico que necesita para cambiar el proveedor de DNS del servidor principal. Y eso es todo.

La velocidad también ha sido un obstáculo para los usuarios, pero en realidad, HTTPS te da la capacidad de ir más rápido que antes. Y la última barrera principal ha sido el apoyo de los servicios posteriores. El argumento que surgió con frecuencia hace unos tres o cuatro años era que Google Adwords no soportaba HTTPS, por lo que poner un anuncio a través de HTTP en una página HTTPS mataría los ingresos por publicidad. Ese argumento ha desaparecido, porque todos los servidores de bajada de cualquier importancia ahora soportan HTTPS. Básicamente hemos estado eliminando todas estas barreras una por una por una, y es inevitable que por eso estemos viendo estas tasas de crecimiento masivo en este momento también.

2. ¿Cuál es la diferencia de velocidad entre HTTP y HTTPS? 3. ¿Por qué HTTPS es más rápido que HTTP?

Hoy en día, los navegadores están implementando más frecuentemente HTTP2 sobre HTTPS porque HTTPS es el futuro, así que la tradición de enviar cosas de forma insegura ha terminado. Llegaremos a un momento en el que HTTP será la rara excepción. Una cosa interesante que estamos viendo es que los vendedores de navegadores incentivan a los desarrolladores para que sean seguros. Sospecho que es parte de la razón por la que no estamos viendo HTTP2 implementado sobre el protocolo inseguro también. Incluso con HTTPS siendo el futuro protocolo para la navegación segura en la web, todavía tenemos control sobre si lo usamos o no. Si elegimos usar HTTPS veremos una ventaja de velocidad para HTTP.

3. ¿Qué opina del costo de los certificados? ¿Un proveedor de certificados de pago da más seguridad que uno gratuito?

Como hemos dicho antes, el costo fue una de las barreras del pasado porque solía costar bastante dinero salir y obtener certificados. El uso de HTTPS en los sitios cotidianos no era algo común. Avanzamos rápidamente hasta hoy, y tenemos recursos como Let$0027s Encrypt disponibles. Es un proyecto abierto, respaldado por Mozilla, Akamai, Chrome y otros, que hace que los certificados sean gratuitos para todos. Si desea un certificado y puede demostrar que es el propietario de los dominios, puede obtener uno gratis con Let$0027s Encrypt. Y no sólo puede obtener un certificado gratis, sino que puede automatizar la renovación del mismo.

Otro problema continuo que hemos tenido con los certificados no es sólo el costo de comprarlos, sino el hecho de que hay que renovarlos. Vemos muchos casos en que las organizaciones tienen su certificado, pero no lo renuevan, así que las cosas empiezan a romperse. La renovación automatizada es una gran característica de servicios como Let$0027s Encrypt.

La segunda parte de esta pregunta se refiere a la seguridad de un certificado comercial frente a la seguridad de uno libre. La respuesta corta es que no hay ninguna diferencia. Hay una muy buena manera de comprobar esto. Hay un sitio web llamado SSL Labs. Dale un Google para los SSL Labs. En este sitio, puedes conectar una URL que sirva HTTPS, y SSL Labs descompone todo el certificado de implementación de seguridad. Para comprobarlo por ti mismo, ve al sitio web o al banco más grande y caro que se te ocurra, y compruébalo. Luego vaya y pruebe troyhunt.com, que es la forma más barata posible de hacerlo. Lo que verás es que el informe de seguridad que viene con una calificación de letra y muchos detalles. Verán que el sitio más grande y caro no es mejor que mi sitio. Mi sitio tiene una calificación de A+, no porque haya hecho algo asombroso, es simplemente porque he usado Cloudflare desde el principio. Así que la implementación real de la seguridad es absolutamente, positivamente no es diferente.

Lo único que realmente difiere entre las implementaciones de los certificados son los certificados de elevación extendidos. Si vas a Have I been pwned?, verás que en la barra de direcciones hay un gran texto verde que dice, «Have I been pwned?» Y también tiene mi nombre después de él. Un certificado de validación extendido te da la identidad del titular del certificado. Cuando ves ese cheque verde en la barra de direcciones, muy común en particular en los bancos, te dice qué organización es la propietaria de ese dominio. Todavía no hay nada técnicamente diferente en la criptografía o la seguridad de la misma, es sólo que hay una validación visual y la confianza que da a los usuarios.

4. Mi organización utiliza muchas aplicaciones internas a través de HTTP, no HTTPS. ¿Qué tan difícil es la implementación con HTTPS en los servidores web heredados?

Hay diferentes partes en la complejidad. En términos de cuán difícil es habilitar el HTTPS en un servidor de la edición 2012, esa es la parte fácil, ¿verdad? Simplemente enciéndelo. Después de eso, tiende a ser un poco más matizado. Muchos de estos ejemplos de matices se abordan en el curso que mencioné anteriormente. Por ejemplo, hay una actualización en las peticiones seguras en el encabezado de la política de seguridad. Comunica al navegador que cualquier cosa en la página debe ser solicitada a través de una conexión segura, por lo que en realidad arregla los problemas para usted. Hay cosas como la Seguridad de Transporte Estricta de HSTS-HTTP, que cuando se habilita a través del encabezado de seguridad puede pre-cargar en los navegadores también. Entonces tu navegador, por defecto, sólo solicitará el contenido a través de una conexión segura. Así que hay muchos consejos y trucos para tratar de hacer esta implementación más fácil para usted y su organización.

Vea el seminario web completo de Troy bajo demanda, «Lo que toda organización necesita saber sobre el HTTPS» para descubrir cómo superar las barreras a la adopción del HTTPS. ¿Todavía tienes más preguntas para Troy? Puedes encontrarlo en Twitter @troyhunt, su blog troyhunt.com o ver sus cursos.