Ya es hora de que HTTPS sea el valor predeterminado

 (security.googleblog.com)
5 puntos por GN⁺ 2025-10-31 | Aún no hay comentarios. | Compartir por WhatsApp
  • A partir de Chrome 154, que se lanzará en octubre de 2026, la configuración predeterminada del navegador cambiará a “Always Use Secure Connections”
  • Esta configuración mostrará una advertencia y pedirá permiso al usuario al acceder a sitios públicos sin HTTPS
  • La adopción de HTTPS subió de 30~45% en 2015 a 95~99% en 2020, pero desde entonces se ha estancado
  • Chrome planea aplicar por defecto un modo que fuerza HTTPS limitado a sitios públicos, para elevar la seguridad minimizando las molestias para el usuario
  • Este cambio busca reforzar la seguridad general de la web y minimizar los riesgos restantes de HTTP

Cambio en la configuración predeterminada de Chrome

  • A partir de Chrome 154, que se lanzará en octubre de 2026, la configuración “Always Use Secure Connections” estará activada por defecto
    • Cuando se acceda por primera vez a un sitio público sin HTTPS, se mostrará una advertencia y una solicitud de permiso al usuario
    • En Chrome 147 (abril de 2026), se aplicará primero a más de mil millones de usuarios que usan Enhanced Safe Browsing
  • Los usuarios podrán desactivar esta configuración si así lo desean

Estado de adopción de HTTPS

  • Google ha seguido durante más de 10 años el uso de HTTPS en Chrome mediante su informe de transparencia de HTTPS
    • Subió de 30~45% en 2015 a 95~99% en 2020
    • Desde entonces, el crecimiento se ha estancado
  • Gracias a esta alta tasa de adopción, ahora es posible considerar medidas más estrictas frente al tráfico HTTP restante

Equilibrio entre la seguridad del usuario y la reducción de advertencias

  • Aunque el 95% del tráfico total ya usa HTTPS, el 5% restante de conexiones HTTP sigue siendo un riesgo
  • Chrome reducirá las molestias al usuario evitando advertencias repetidas para un mismo sitio
    • No mostrará advertencias repetidas para sitios no seguros visitados con frecuencia
  • Los sitios privados (por ejemplo, 192.168.0.1, intranet, etc.) siguen usando mucho HTTP porque es difícil emitir certificados para ellos
    • Como estos sitios tienen menor nivel de riesgo, se adoptará un enfoque que limite las advertencias solo a los sitios públicos
  • Según los resultados de las pruebas, en el modo exclusivo para sitios públicos la tasa de advertencias al usuario es menor al 3%, y la mayoría de los usuarios experimenta una advertencia una vez por semana o menos

Uso actual de HTTP y medidas de mejora

  • Una parte importante del tráfico HTTP proviene de solicitudes iniciales que luego son redirigidas a HTTPS
  • Casos como las páginas de configuración de dispositivos en la red local suelen usar HTTP por problemas con los certificados
  • Chrome introducirá la función Local Network Access Permission
    • Incluso desde páginas HTTPS, será posible acceder a la red local con el consentimiento del usuario
    • Esto ampliará las posibilidades de migrar a HTTPS las páginas de configuración de dispositivos locales

Guía para desarrolladores y administradores de TI

  • Se recomienda a desarrolladores de sitios web y administradores de TI activar desde ahora la configuración “Always Use Secure Connections” para revisar qué sitios podrían verse afectados
  • En entornos administrados de Chrome (empresas, instituciones educativas, etc.), mediante la guía oficial se puede consultar
    • las condiciones en que se muestran advertencias
    • los métodos de mitigación
    • y cómo configurar políticas por organización

Planes a futuro

  • Google también tiene como objetivo adicional reducir las barreras para adoptar HTTPS en sitios de red local

Lecturas relacionadas

Aún no hay comentarios.

Aún no hay comentarios.