Blog de Linube

oo inono iEs,Gracias a sus intentos Google ha conseguido que el número de webs que utilizan HTTPS haya aumentado gracias a la instalación de un certificado SSL; aunque aún hay muchos sitios web que no han conseguido pasarse al protocolo seguro al 100%. Este es el caso de aquellos sitios web que tienen recursos que se sirven bajo HTTP, el denominado contenido mixto.

¿Qué es el contenido mixto?

El propio Google lo describe como algo que ocurre cuando una web HTML se carga con una conexión segura HTTPS pero que contiene recursos HTTP. Generalmente, suelen ser imágenes, vídeos, hojas de estilo o scripts que se cargan con una conexión insegura. Este tipo de contenido se denomina mixto. Al mostrarse en una misma página ambos tipos de contenidos, siendo la petición inicial segura al utilizar el protocolo HTTPS.

Para animar a la adopción de HTTPS, los buscadores modernos comenzaron a mostrar advertencias para indicar al usuario que estaba navegando por una página insegura; además de favorecer en términos de posicionamiento a aquellas que utilizaban el protocolo seguro. A pesar de que esta estrategia consiguió aumentar el número de web seguras bajo HTTPS. En algunos casos la adopción se ha quedado a medias al contener recursos inseguros.

El nuevo experimento de Google

Para encontrar solución a los problemas de contenido mixto, Google ha anunciado que llevará a cabo una serie de experimentos; algo que también intento Mozilla hace algunos meses. Lo peculiar de la propuesta de Google es que se trata de actualizar de forma automática el contenido HTTP mediante una nueva función de Chrome; sin que el usuario tenga que hacer nada y que los visitantes de la web vean afectada su experiencia de navegación.

El experimento cuenta con 3 variaciones, cada una de ellas con un plan B; para aquellos casos en los que el código de la web pudiera romperse. Los tres escenarios propuestos por Google son los siguientes:

• Actualizar el contenido mixto ‘bloqueable’ a HTTPS. Actualmente el contenido mixto que el usuario puede bloquear ya se encuentra bloqueado por defecto. Este escenario consistiría en probar si actualizar este contenido por defecto sería una buena forma de aproximarse a una web 100% HTTPS. En este caso, el plan B consistiría en volver al estado actual. Aquí el contenido mixto se bloquea por defecto y el usuario tiene que aceptar si quiere o no que se le muestre este contenido mixto al ver la advertencia de Google.
• Actualizar solo el contenido mixto ‘bloqueable’ (de manera opcional) a HTTPS. En algunas ocasiones parte del contenido mixto se muestra al usuario; aunque este puede decidir si quiere o no que así sea. Esta variación implicaría que parte del contenido mixto que se muestra dejara de hacerlo. Precisamente porque este contenido no seguro se muestra al usuario, cobra mayor importancia que este contenido HTTP se convierta en HTTPS.
• Actualizar todo el contenido mixto a HTTPS. Esta última variación supone actualizar de forma automática todo el contenido HTTP en webs que están bajo HTTPS.  Esto incluiría el contenido bloqueado como el que, a pesar de no ser seguro, ha sido permitido por parte del usuario. Con esta opción se eliminaría completamente el contenido mixto, ya que cada vez que se encontraran recursos no seguros se actualizarían de forma automática a HTTPS. Incluso es posible que no se muestren al usuario.

Los resultados del experimento

En el caso de las actualizaciones de todos los recursos de una web a HTTPS, se comprobarían que solo se actualizan las peticiones no seguras en una web bajo HTTPS. Asimismo, se comprobaría que no se modifica el contenido de dicho sitio. Igualmente, en las otras dos situaciones, también se actualizarán dichas funciones, pero comprobando antes el tipo de contenido.

Con independencia de cuál de las tres posibles opciones acabe convirtiéndose en una función permanente de Chrome; se mejorará la seguridad de las páginas web, puesto que un mayor número de recursos serán servidos bajo HTTPS. Asimismo, ya no sería necesario que el usuario decida sobre la seguridad; ya que también se eliminará el indicador de contenido mixto.

No cabe duda que Google Chrome sigue apostando por la seguridad en internet; en este caso garantizando que todas las webs que se visiten a través de su navegador sean HTTPS en su totalidad. Veremos qué tal evoluciona el experimento ‘Auto-update-to-HTTPS’ para acabar con el contenido mixto.