A partir de marzo de 2019, Safari en macOS e iOS muestra una advertencia que dice «No es seguro» en la barra de direcciones para todas las conexiones HTTP. En ese contexto, el año pasado, Google Chrome y Mozilla Firefox se convirtieron en los primeros navegadores principales en mostrar la misma advertencia.
La advertencia «No es seguro» aparece en todas las páginas de Safari cuando el usuario se conecta a través de HTTP, así mismo si la página contiene campos de formulario la advertencia se vuelve roja una vez que el usuario interactúa con cualquiera de los campos (o se vuelve roja automáticamente si el campo tiene enfoque automático, lo que significa que está seleccionada de forma predeterminada en la carga de la página). Esta advertencia aparece en macOS a partir de la versión 10.14.4 y iOS 12.2.
Los riesgos de HTTP
Si al visitar un sitio web se visualiza esta advertencia, se debe tener en cuenta que HTTP carece de seguridad de conexión, lo que significa que los datos que se envían y reciben con esa página no están protegidos y pueden ser vistos por otros o pueden ser interceptados. Por lo tanto, hay que tener en cuenta que esto no es un problema con la computadora o iPhone / iPad, sino con el sitio web específico o la página web que se está visitando.
Es importante tener en cuenta que no se deben enviar datos confidenciales a una página cuando se vea esta advertencia, ya que cualquier información que ingrese en una página HTTP se transmite a través de Internet en texto plano, lo que significa que no hay cifrado u otra protección de los datos. Por ejemplo, si se ingresa una contraseña en una página HTTP, se envía a través de la red y hasta el servidor web, lo que implica la transmisión a través de diferentes computadoras a lo largo del camino para recorrer las muchas millas entre sus computadoras, todo lo cual al final se puede ver la contraseña y potencialmente robarla.
“Como consejo, si el usuario desea utilizar HTTPS, es primordial observar la S al final que indica «Seguro», ya que HTTPS incluye un protocolo de seguridad llamado TLS (para Seguridad de la capa de transporte, más comúnmente conocida como SSL, o Capa de sockets segura, la antecesora del protocolo), que agrega las características de seguridad que faltan: Cifrado y Autenticación del servidor”, mencionó Dean Coclin, Director Senior de Desarrollo de Negocios de DigiCert.
En cuanto a las dos características Cifrado y Autenticación estas trabajan juntas, ya que el cifrado protege los datos para que nadie más pueda leerlos, excepto el sitio web al que se está conectando. La autenticación del servidor garantiza que no sea vulnerable a la suplantación de identidad: un tipo común de ataque por Internet que le permite a una computadora hacerse pasar por otra (similar a alguien que se pone un uniforme falso y se hace pasar por un oficial de policía). La identidad se presenta en certificados para protección adicional, cuando la Autoridad de Certificación que emite el certificado sigue la Validación organizacional o la Validación Extendida (OV o EV).
Los estándares de validación son prescritos y auditados globalmente. Cuando hace clic en el candado, puede obtener información adicional sobre los certificados OV y EV para asegurarse de que el sitio que está visitando sea de la compañía que desea.
Safari y otros navegadores web ya no quieren que los usuarios se conecten a través de HTTP debido a los riesgos de seguridad y han estado mostrando varias advertencias desde hace algunos años.
Elimine la advertencia – migre a HTTPS
La única forma de eliminar la advertencia de «No seguro» en Safari para un sitio web es asegurarse de que sus visitantes se conecten a través de HTTPS (este es un cambio que el propietario /administrador del sitio web debe hacer, así que hay que contactarlos si el sitio que se usa regularmente está presentando esta advertencia).
“Los principales navegadores web han estado trabajando constantemente para desalentar el uso de HTTP al agregar indicadores UI negativos, como este, y restringir la funcionalidad a las páginas HTTP. En su lugar, los sitios web deberían ofrecer HTTPS, que utiliza el protocolo SSL para proporcionar una conexión segura”, concluye Dean Coclin.
Si el sitio web ya es compatible con HTTPS, es posible que no esté aplicando correctamente las mejores prácticas de certificados. Si aún no es compatible con HTTPS, el primer paso es obtener un certificado TLS y luego instalarlo en su servidor web.
