Cuentan en W3Techs que «el 50% de los sitios web ahora redirecciona su tráfico a páginas cifradas HTTPS«, por lo que «hemos alcanzado un punto de inflexión en el que la transmisión cifrada de páginas web se vuelve más común que la transmisión sin cifrar», apuntan. Todo un éxito en la iniciativa de asegurar Internet contra el cibercrimen que no podría haberse llevado a cabo sin proyectos clave de código abierto.
Recuerdan en W3Techs un tiempo no tan lejano, en el que solo las páginas bancarias o de compras ofrecían HTTPS como medida de seguridad, y cómo dos iniciativas independientes pero complementarias, han conseguido cambiarlo todo en apena cinco años. La primera, el impulso de Google, que a partir de 2014 comenzó a penalizar en sus resultados de búsqueda la falta de cifrado de transmisión. Un movimiento rotundo al que le siguió otro determinante: el lanzamiento de Let’s Encrypt.
Let’s Encrypt se creó en 2014 en torno a una idea que chocaba de frente con el modelo de negocio de los proveedores de servicios web, erigiéndose en autoridad de certificación gratuita y basada en software libre. En 2015 entró a formar parte de los proyectos colaborativos de The Linux Foundation y en 2016 recibió el espaldarazo definitivo con el apoyo del Internet Security Research Group, organización compuesta por compañías como Google, Mozilla, Cisco, OVH o Electronic Frontier Foundation dedicada a mejorar la seguridad de Internet con la promoción de los protocolos de cifrado estándar.
Hace ahora tres años casi exactos, Let’s Encrypt dejó atrás el periodo de pruebas para no dejar de recabar apoyos corporativos y usuarios a millones. En 2017 superaban los 100 millones de certificados emitidos, en 2018 los 200 millones y en 2019 han llegado a los 400 millones, aunque el total que se mantiene activo es sensiblemente menor. Sin embargo, el impacto del proyecto también se ha sentido más allá de sus puertas en la que, en conclusión, es su mayor aportación: ha cambiado el mercado.
«La tasa de adopción de HTTPS ha crecido rápidamente desde entonces», comentan en W3Techs. «La mitad de todos los sitios web ahora están predeterminados a un protocolo cifrado redireccionando su tráfico HTTP a las URL de HTTPS. Ese porcentaje se ha más que duplicado en los últimos 18 meses«.
Actualmente es muy común que los proveedores de servicios web ofrezcan certificados gratuitos con Let’s Encrypt, que ha sido adoptado por autoridades de certificación asentadas, muchas de las cuales ya solo cobran por el alta o añaden el servicio en algún paquete a modo de promoción, por lo general con precios mucho más ajustados que antaño.
Más números de W3Techs que merece la pena destacar: un 67% de sitios que lo hace bien y disponen de certificados emitidos válidos;un 17% lo hace mal, porque aun disponiendo de certificado, no redireccionan por defecto a HTTPS. No obstante, el reproche más repetido se refiere a aquellos sitios con el tráfico cifrado, pero que incluyen elementos no cifrados, por ejemplo imágenes externas; un error que algunos navegadores penalizan, bloqueando dichos elementos o alertando de que la página no es del todo segura.
Del resto de datos que mencionan, hay uno ciertamente curioso: «Por alguna razón, también la tecnología del servidor web de un sitio parece tener algo que ver: mientras que el 57,4% de los sitios basados en NGINX se redireccionan a HTTPS, ese porcentaje es solo del 34,5% en los sitios Microsoft-IIS».
Imagen: Pixabay