Google ha estado promoviendo activamente la popularidad total de HTTPS durante muchos años, y recientemente anunció una mejora para Chrome habilitado para HTTPS primero de forma predeterminada .
Google afirma que actualmente entre el 5 y el 10 % del tráfico web sigue siendo HTTP, lo que conlleva riesgos de seguridad de ataques cibernéticos. Aunque Chrome mostrará una advertencia cuando el usuario visite una página que no sea HTTPS. Pero Google dice que algunas personas aún ignoran las notificaciones, lo que pone en riesgo su seguridad.
Google cree que la forma correcta de resolver los problemas de HTTP es habilitar el modo HTTPS-First . Cuando está habilitada, esta función le dice al navegador que actualice automáticamente todos los http:// a https:// . Este modo funciona incluso si el enlace en el que hace clic el usuario es una URL HTTP.
Según la introducción, después de habilitar HTTPS primero, el navegador actualizará automáticamente todos los enlaces HTTP en la página web a HTTPS sin comprometer la privacidad y seguridad del usuario. Cuando un sitio web se vuelve inaccesible y da como resultado un error HTTP 404 o un certificado no válido, es decir, si el sitio web no es compatible con HTTPS, Chrome lo trata como una falla de actualización y rápidamente recurre a HTTP para continuar accediendo al sitio web.
Este mecanismo garantiza que los usuarios solo accedan a los dominios HTTP cuando la versión HTTPS no esté disponible y estén protegidos de otros enlaces HTTP potencialmente obsoletos o inseguros.
Además, HTTPS-first es ligeramente diferente de HTTPS-Only. Con este último, cuando un navegador intenta visitar un sitio web habilitado para HTTPS, aún puede enviar una solicitud HTTP al servidor, que obviamente no es seguro. Los sitios con enlaces HTTP heredados que admiten HTTPS pueden optar por la lista de precarga HTTP Strict Transport Security (HSTS) después de configurar su dominio para manejar las solicitudes de redirección.
Otras lecturas