En la búsqueda de llevar el cifrado a todos los sitios web existentes, Google ha anunciado que comenzará a hacer cumplir la implementación de HTTPS para los 45 dominios de nivel superior (Top-Level Domains) que opera.

¿Cómo lo hará?

Puede ser que desconozca que desde el 2015 Google ha estado ofreciendo servicios de registro de nombres de dominio y que operan dominios como .google, .how y .dev (entre otros).

Ahora, Google comenzará a agregarlos a la lista de precarga de HTTPS con seguridad de ransporte HTTP estricta (HSTS por sus siglas en inglés).

"La lista de precarga de HSTS está integrada en todos los principales navegadores (Chrome, Firefox, Safari, Internet Explorer/Edge y Opera). Esto consiste en una lista de nombres de dominio para los cuales los navegadores aplican automáticamente las conexiones HTTPS seguras ", explicó Ben McIlwain, ingeniero de software para el Registro de Google.

"Por ejemplo, gmail.com está en la lista, lo que significa que los navegadores antes mencionados nunca harán conexiones inseguras a Gmail; si el usuario escribe http://gmail.com, el navegador lo cambia primero a https://gmail.com antes de enviar la solicitud. Esto proporciona mayor seguridad porque el navegador nunca carga una página de redirección http-to-https, que podría ser interceptada. "

Al agregar estos dominios de nivel superior a la lista, Google protege a los visitantes de los sitios controlados por ellos contra ataques de descifrado de protocolo y ataques de secuestros de cookies, y minimiza la posibilidad de ataques de hombre en medio.

¿Qué significa esto para los administradores de sitios?

La lista de precarga de HSTS puede contener dominios individuales, subdominios y dominios de nivel superior, pero agregar estos últimos significa que cualquier nombre de dominio que termine en uno de estos TLD ganará automáticamente protección HTTPS.

Naturalmente, los propietarios de sitios tendrán que obtener y configurar un certificado SSL para su sitio web si quieren que funcione, pero con Let's Encrypt, una iniciativa de autoridad certificadora respaldada por Google, el proceso sería aún más sencillo además de que los certificados SSL se pueden tener de forma gratuita.

"Dado que normalmente se tarda meses entre agregar un dominio a la lista y las actualizaciones de los navegadores que llegan a la mayoría de usuarios, el uso de un TLD ya protegido proporciona protección inmediata en lugar de una eventual protección", agregó McIlwain.

"Esperamos hacer que algunos de estos TDL seguros estén disponibles para su registro pronto y les gustaría ver que el HSTS del lado del TLD sea el estándar de seguridad para nuevos TLD".

Artículos relacionados:

• El cifrado web (SSL/TLS)
• Consejos para desarrolladores web con enfoque a comercio electrónico
• Google marcará como no seguras las páginas HTTP que guarden información de usuarios