Seguro que te has dado cuenta de que cada vez más páginas web usan HTTPS en vez de HTTP; en otras palabras, las conexiones son ahora más seguras, están cifradas y se garantiza que estás conectando con el servidor adecuado. Aquí puedes leer más de las diferencias entre HTTPS y HTTP, pero eso es lo básico.
La adopción de HTTPS es algo bueno, sin duda, pero no es menos cierto que no es perfecto. En apenas unos meses una buena porción de la Web ha dado el salto a conexiones seguras; en buena parte gracias que navegadores web como Chrome y Firefox se han encargado de avisar a los usuarios con mensajes.
Sin embargo, muy pronto miles de páginas web de todo el mundo van a mostrar un mensaje de error en Chrome, pese a que usan HTTPS; y la clave está en la empresa de seguridad Symantec y recientes polémicas de seguridad.
Por qué aparece el error de que la conexión no es privada en Chrome
HTTPS no solo cifra la conexión entre el navegador y el servidor; también certifica que nos estamos conectando a la verdadera página, y no a una versión falsa. Claro, que eso significa que la propia web no puede certificar que es quien dice ser; hace falta un tercero, que sea confiable y que nos diga que, en efecto, estamos visitando la página adecuada. Esta tarea suele recaer en los varios certificadores que existen en Internet; principalmente empresas y organizaciones de seguridad que comprueban la identidad y las webs que piden certificados.
Symantec es una de esas empresas que emiten certificados que son aceptados por los navegadores; pero a partir del 16 de octubre, Chrome dejará de confiar en los certificados antiguos emitidos por Symantec. Eso significa que si entramos en una página web certificada por Symantec veremos un mensaje de error; se nos avisará que la conexión no es privada, incluso aunque use HTTPS, y de que es posible que haya atacantes que estén robando nuestra información. Es, por lo tanto, muy grave.
El origen de este problema está en el año pasado, cuando Google acusó a Symantec de emitir certificados incorrectos y engañosos; incluso llegó a acusarla de permitir a organizaciones no confiables emitir sus propios certificados sin supervisión. En base a todo esto, Google ha decidido no seguir confiando en los certificados de Symantec; por la posibilidad de que se hayan creado certificados para webs no fiables.
Aún hay muchas páginas que siguen usando los certificados de Symantec; se calcula que más de 1.000 páginas del millón de webs más vistas usan estos certificados. Entre estas se encuentran páginas oficiales de empresas y gobiernos; a partir del 16 de octubre, con el lanzamiento de Chrome 70, estas páginas mostrarán un error.
No hay mucho que pueda hacer el usuario medio ante esto, más allá de ignorar el error. Para ello, hay que pulsar en “Configuración avanzada” y en “Acceder a (xxx) (sitio no seguro)”; teniendo en cuenta el riesgo al que nos enfrentamos, por supuesto.