Desde tiempo atrás Google ha estado alertando a los administradores de páginas web de que la implementación del protocolo HTTPS para la comunicación entre cliente y servidor supondría un beneficio en el posicionamiento dentro de los resultados de búsqueda. No es el factor más relevante, pero sí –casi- un imprescindible para las páginas web que manejan contraseñas, información de pago y otros datos sensibles y de carácter personal. Ahora, ya ha empezado su ‘cruzada’ contra los que mantienen HTTP.
En las ‘SERPs’, los resultados de búsqueda de Google, se priorizan los resultados de páginas web que utilizan HTTPS. Es una de las varias medidas que ha impuesto la compañía de Mountain View con la intención de mejorar la seguridad de los usuarios de Internet. Ahora bien, han dado un paso más hacia el frente, porque ya no se trata de beneficiar a los que ‘lo hacen bien’, sino que han empezado a lanzar penalizaciones de una forma bastante singular, con una lista negra en la que se recogen las páginas web que mantienen HTTP, y que trabajan con contraseñas y datos sensibles de sus usuarios.
La ‘lista negra’ de Google en contra de las páginas web que mantienen HTTP
El protocolo HTTPS, básicamente, consiste en aplicar una capa de cifrado en la comunicación entre cliente y servidor, siendo el cliente el propio usuario y el servidor el sistema en que se alojan no sólo la página web, sino también las bases de datos donde están almacenados los datos de estos usuarios. Es una tecnología que, como es evidente, permite la comunicación segura en tanto que impide ataques Man-in-the-Middle y otros problemas similares. Pues bien, ahora Google ha elaborado una ‘lista negra’ dinámica en la que se registran los portales web que van en contra de este anuncio de Google.
De cara a los usuarios, el resultado de esta lista negra consiste en un anuncio público a los navegantes alertando de que no es seguro. Es decir, un aviso similar a la alerta de malware, pero en el cual se especifica que el sitio con el que se va a conectar no es seguro porque no utiliza el protocolo de comunicación cifrada entre el cliente y el servidor. Por suerte para los administradores de páginas web afectadas, sólo hay que implementar HTTPS y el anuncio desaparece de forma definitiva. Pero es una forma –quizá algo agresiva- de alertar a los usuarios de Internet de las páginas que no cumplen los requisitos de seguridad más importantes.