Siempre debes proteger todos tus sitios web con HTTPS, incluso si no controlan comunicaciones sensibles. Además de proporcionar integridad y seguridad crítica para tus sitios web y la información personal de tus usuarios, HTTPS es un requisito para muchas funciones nuevas del navegador, en especial las necesarias para las apps web progresivas.
Resumen
- Los intrusos, tanto malignos como benignos, explotan todos los recursos desprotegidos entre tus sitios web y usuarios.
- Muchos intrusos observan comportamientos agregados para identificar a tus usuarios.
- HTTPS no solo bloquea el uso inadecuado de tu sitio web. También es un requisito para muchas funciones de vanguardia y una tecnología habilitada para capacidades similares a las de la app, como los service worker.
HTTPS protege la integridad de tu sitio web
HTTPS ayuda a evitar que intrusos alteren las comunicaciones entre tus sitios web y los navegadores de los usuarios. Los intrusos incluyen atacantes de forma intencional y empresas legítimas pero intrusivas, como hoteles o ISP que publican anuncios en páginas.
Los intrusos explotan las comunicaciones desprotegidas con el objetivo de engañar a los usuarios para que revelen información sensible o instalen software malicioso, o para que inserten sus propios anuncios en tus recursos. Por ejemplo, algunos terceros insertan anuncios en sitios web que pueden afectar la experiencia del usuario y crear vulnerabilidades de seguridad.
Los intrusos explotan todos los recursos desprotegidos que circulan entre tus sitios web y tus usuarios. Imágenes, cookies, secuencias de comandos, HTML... todos se pueden explotar. Las intrusiones pueden ocurrir en cualquier punto de la red, incluida la máquina de un usuario, un hotspot de Wi-Fi o un ISP comprometido, entre otros.
HTTPS protege la privacidad y seguridad de tus usuarios
HTTPS evita que los intrusos puedan escuchar pasivamente las comunicaciones entre tus sitios web y los usuarios.
Un error común sobre HTTPS es que los únicos sitios web que necesitan HTTPS son aquellos en los que se manejan comunicaciones sensibles. Cada solicitud HTTP desprotegida puede revelar información sobre los comportamientos y las identidades de los usuarios. Aunque una sola visita a uno de tus sitios web desprotegidos puede parecer benigna, algunos intrusos observan las actividades de navegación agregadas de tus usuarios para hacer inferencias sobre sus intenciones y comportamientos y para anular la anonimidad de sus identidades. Por ejemplo, los empleados podrían divulgar de forma inadvertida condiciones de salud sensibles a sus empleadores con solo leer artículos médicos sin protección.
HTTPS es el futuro de la Web
Las funciones nuevas y potentes de la plataforma web, como tomar fotos o grabar audio con getUserMedia(), habilitar experiencias de apps sin conexión con service worker o compilar apps web progresivas, requieren permiso explícito del usuario antes de ejecutarlas. Además, muchas APIs más antiguas se están actualizando para requerir permiso de ejecución, como la API de Geolocation. HTTPS es un componente clave de los flujos de trabajo de permisos para estas funciones nuevas y las APIs actualizadas.