Hace poco los desarrolladores de Mozilla que están a cargo del proyecto del navegador Firefox presentaron un plan para la transición del navegador Firefox al marcado de todas las páginas abiertas en HTTP con un indicador de conexiones inseguras.

Con lo cual en pocas palabras sin importar cual pagina sea, toda aquella que no sea https (no cuente con un certificado SSL) será marcada como insegura al usuario del navegador.

Firefox aplica medidas contra paginas que no tienen certificados SSL

Hasta ahora, el navegador solo ha mostrado “inseguras” todas aquellas páginas HTTP que contienen formularios o campos de inicio de sesión.

Mozilla considera que, dado que más del 80% de todas las páginas de Internet están ahora en HTTPS, los usuarios ya no necesitan un indicador positivo para este último, sino negativo para las conexiones HTTP.

Mientras que en el principal competidor de Firefox (Chrome), la salida del indicador de advertencia para el establecimiento de una conexión insegura para páginas basadas en HTTP se muestra a partir del lanzamiento de Chrome 68.

Este movimiento de marcar las paginas HTTP como inseguras por parte de Firefox no es nuevo, ya que este nuevo intento es una continuación de los intentos anteriores para forzar la transición a HTTPS en Firefox.

Por ejemplo, desde el lanzamiento de la versión de Firefox 51 , se ha agregado un indicador de problema de seguridad al navegador, que se muestra cuando se accede a usuarios que no son HTTPS, a páginas que contienen formularios de autenticación.

También la gente de Firefox opto por comenzar a restringir el acceso a las nuevas API web, en Firefox 67 para las páginas que están abiertas fuera del contexto protegido, la salida de notificaciones del sistema a través de la API de notificaciones está prohibida.

Y en la versión de Firefox 68 durante las llamadas no protegidas, las solicitudes a la llamada getUserMedia () se bloquean para obtener acceso a las fuentes de datos multimedia (por ejemplo, cámara y micrófono).

El indicador “security.insecure_connection_icon.enabled” también se agregó a las configuraciones about: config, que le permiten habilitar opcionalmente la marca de una conexión insegura para HTTP.

“Para la próxima version de escritorio del navegador que es Firefox 70, tenemos la intención de mostrar un ícono en el ‘bloque de identidad’ (el lado izquierdo de la barra de URL que se usa para mostrar información de seguridad / privacidad) que marca todos los sitios servidos a través de HTTP (así como FTP y errores de certificado) como inseguro “, dijo el desarrollador de Firefox Johann Hofmann.

Este nuevo cambio se planea aplicar en el próximo lanzamiento de la version de Firefox 70, la cual está programada para ser liberada al público en general el 22 de octubre del presente año.

Otros cambios para Firefox 70

Además de lo dicho, los desarrolladores también planean para Firefox 70 eliminar el botón “(i)” de la barra de direcciones, limitándose a la ubicación permanente del indicador de nivel de seguridad de la conexión, que también le permite evaluar el estado de los modos de bloqueo de código para el seguimiento de movimientos.

Para HTTP, el icono de problemas de seguridad se mostrará explícitamente, que también se mostrará para FTP y en casos de problemas de certificados:

• Se supone que la visualización del indicador de conexión insegura alentará a los propietarios del sitio a cambiar a HTTPS de forma predeterminada.
• Según las estadísticas del servicio de telemetría de Firefox, el porcentaje global de solicitudes de página a través de HTTPS es de 78.6% (70.3% hace un año, 59.7% hace dos años) y 87.6% en los EE. UU.
• El centro de certificación sin fines de lucro y controlado por la comunidad Let Encrypt proporcionó de forma gratuita a todos los interesados ​​con 106 millones de certificados que cubren alrededor de 174 millones de dominios (80 millones de dominios se cubrieron hace un año).

¿Esta vez será definitivo el movimiento de la gente de Firefox contra las paginas HTTP o desistirá y continuara aplicando otras medidas preventivas?

Finalmente, también hoy en día no es difícil ni costoso implementar un certificado SSL en una pagina web ya que Let’s Encrypt ofrece certificados gratuitos.

El artículo En Firefox 70 se marcarán como inseguras las paginas HTTP ha sido originalmente publicado en Ubunlog.