El equipo de seguridad de Chrome quiere que todo el tráfico HTTP sea marcado como no seguro, ya que considera que no provee seguridad a los datos. Su plan es que para 2015 esta transición esté plenamente implementada.
"Todos necesitamos que la comunicación de datos en la web sea segura (privada, autenticada, no manipulada). Cuando no hay seguridad para los datos, los agentes de usuario (UA) deberían mostrarlo explícitamente, para que los usuarios puedan tomar decisiones basadas en la información acerca de cómo interactuar con un origen", dice el comunicado publicado en el sitio de The Chromium Projects.
Según explican, hay tres estados básicos de orígenes TLS:
- Seguro: HTTPS válido, otros orígenes como (*, localhost, *)
- Dudoso: HTTPS válido pero con contenido mixto, HTTPS válido con errores menores en TLS
- No seguro: HTTPS roto, HTTP
Entonces, la idea detrás de este anuncio persigue un futuro en el que, a largo plazo, los orígenes seguros sean los más frecuentes, de forma que puedan dejarse desmarcados y no haga falta distinguirlos con ningún símbolo, y que solo se deba señalar los orígenes no seguros. Básicamente, lo contrairo a lo que sucede en la actualidad, ya que vemos el distintivo de un sitio que utiliza HTTPS, pero no vemos nada distintivo cuando se trata de HTTP.
"Sabemos que la gente generalmente no percibe la ausencia de una señal de advertencia. Sin embargo, la única situación en la que los navegadores web no advierten a los usuarios es precisamente cuando no hay posibilidad de seguridad: cuando el origen es transportado vía HTTP", dice el comunicado.
Sin dudas, es una idea interesante que se suma a otras, como por ejemplo, la decisión de Google de priorizar sitios seguros en las búsquedas.