Chromium quiere mostrar HTTP como inseguro, la paranoia de la seguridad se sale de control
By: Date: diciembre 13, 2014 Categories: En la opinion de...

Esto puede sonar contradictorio porque yo uso demasiada seguridad en la cueva del dragón, pero lo mío no es paranoia, es que utilizo la cueva del dragón como repositorio para cuentas bancarias y de tarjetas de crédito, escrituraciones y documentos de valor por lo que transmitir información para mi justifica completamente tener certificados e incluso sistemas de archivos cifrados entre otras opciones, también justifico el asunto con el protocolo de SPDY , que por cierto también es invento de Google

Últimamente Google está dando demasiada importancia a las conexiones cifradas, esto no es malo, lo malo es la forma en la que pretenden imponerla, por ejemplo los sitios que usan TLS /SSL son rankeados en mejor posición independientemente si el sitio justifica el cifrado de la conexión.

Por citar un ejemplo, para que querría un sitio que da recetas de cocinas y que además no captura información de usuario tener un certificado de seguridad y cifrar las conexiones, la respuesta más obvia es para NADA, exacto, no tiene ningún sentido, pero si quiere estar por arriba de un sitio con menos calidad en sus recetas deberá tener un certificado configurado en el sitio, desde aquí eso suena como un chantaje.

Hay cosas que simplemente no necesitan ser cifradas.

¿ Que significa cifrar tu conexión en términos reales ?

Para empezar no puedes usar un certificado autoafirmado, porque si lo haces veras una horrible pantalla como la siguiente.

SSL TLS FAIL Last Dragon
Ver mas grande

Aunque la conexión realmente será segura y cifrada, por supuesto hay un motivo para mostrar esa advertencia, el motivo es que de otra forma cualquiera podría hacerse un certificado de una institución bancaria y hacerla pasar por buena, es una forma de evitar el pishing

Para evitar esa pantalla de advertencia, se requiere firmar el certificado por una entidad denominada AUTORIDAD CERTIFICADORA ( AC ) la cual te investiga y si demuestras que eres quien dices ser firma tu certificado para que no aparezca esa advertencia, el problema es que la investigación en si misma tiene un costo, el costo lo tienes que pagar tu mas la comisión por la ACCION de firmaste el certificado, dinero, dinero, dinero. Ahora ese es un lujo que no todos pueden darse, no me imagino a unas señoras pagando y firmando su sitio de recetas solo para no ser excluido de los mejores puestos “ MERECIDOS “ en el buscador de Google

Si todo fuera tan fácil como dar dinero.

Imaginando que si, pagas tu cuota y firman tu certificado que por cierto expirara dependiendo del tiempo que hayas solicitado la firma, después tendrás que pagar de nuevo por otra firma, pero asumiendo que de hecho puedes pagarlo. Ahí no termina el problema, el certificado debe configurarse en el servidor que lo va a despachar, no siempre es una tarea sencilla. Luego hay una diferencia fundamental entre una conexión cifrada y otra que no lo está.

HTTP básicamente es un flujo de datos, así como lo lee del disco duro, así lo transmite sin nada más que eso, una conexión HTTPS tiene que aplicar matemáticas y algoritmos complicados por cada conexión antes de empezar a transferir, esto significa además que si tu CPU es humilde, tendrás que invertir en nuevos CPU para tus servidores para mantener el trafico que antes mantenías sin ningún problema con HTTP, indirectamente gastaras más energía RAM, luego procesar todas esas matemáticas, terminaran consumiendo más energía eléctrica, energía que se concertará en calor, calor que necesitara mejores sistemas de enfriamiento. Y nada de lo dicho anteriormente es gratis.

Como puedes probar esto de forma sencilla, si eres propietario de un Access Point Linksys en modelos recientes que soportan mayor cifrado, a veces se bloquean cuando hay muchas maquinas conectadas transmitiendo en la red inalámbrica mientras usas WPA, además de calentarse mucho al tacto y la única solución es apagarlo y prenderlo para que vuelva a dar servicio

Ya que google y sus proyectos relacionados está muy interesado en esto al menos debería tomarse la gentileza de convertirse en una AC y obsequiar los certificados firmados con sencillos mecanismo que demuestren que eres el propietario del dominio que deseas firmar, sería un detallazo de google por que de otra manera Google obliga a incurrir en muchos costos operativos para poder tener un buen lugar de RANK en su motor de búsqueda.
No estoy encontrar de cifrar las conexiones, simplemente estoy diciendo que debe cifrarse solo si el propósito de ese sitio web lo justifica, frases para apoyar eso, del tamaño del sapo la pedrada, la herramienta correcta para el trabajo correcto.

3 thoughts on “Chromium quiere mostrar HTTP como inseguro, la paranoia de la seguridad se sale de control

  1. Usa: Mozilla Mozilla 11.0 en Windows Windows 7 - Detectado...

    Si Let’s Encrypt es una AC reconocida, pues que bien, muy bueno… ser un AC es cosa fácil, podría hacer aquí en la cueva del dragón un AC en menos de un día, ese no es el problema, el problema es que sea reconocido como valido por todos los navegadores empezando por los 3 principales, Firefox, Chro(e)iumn e IE.

  2. Usa: Mozilla Mozilla 11.0 en Windows Windows 7 - Detectado...

    Leyendo el sitio de Let’sEncrypt

    Definitivamente eso no va pasar jamas

    SSL TLS FAIL Last Dragon
    Ver mas grande

    Que evitaría que alguien haga un

    lets-encrypt Banamex.com o un lets-encrypt Bancomer.com

    Si esos fueran certificados validos y reconocidos, hasta el mas tonto podría hacer un MITM sin ser detectado, ningún navegador va a aceptar eso y si es como lo estoy pensando no se por que se esperan hasta el 2015, yo mismo y cualquiera puede hacer eso desde hoy mismo, no se hace por que no tiene ningún sentido nadie va a confiar en esos certificados.

    Es mas para resumirlo, ellos están usado TLS en su sitio WEB, el certificado que ellos usan no lo firman ellos mismos, lo firman con un AC autorizado de verdad.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *