Protege siempre todos tus sitios web con HTTPS, incluso si en ellos no se controlan comunicaciones sensibles. Además de proporcionar seguridad fundamental e integridad de los datos para tus sitios web y la información personal de tus usuarios, HTTPS es necesario para muchas funciones nuevas del navegador, en especial las que se requieren para las apps web progresivas.
HTTPS protege la integridad de tu sitio web
HTTPS ayuda a evitar que los intrusos alteren la comunicación entre tus sitios y los navegadores de los usuarios. Entre los intrusos, se incluyen tanto a atacantes intencionalmente maliciosos como a empresas legítimas pero intrusivas, como los ISP que insertan anuncios en páginas.
Los intrusos explotan las comunicaciones desprotegidas para engañar a los usuarios y lograr que les proporcionen información sensible o instalen software malicioso, o que inserten sus propios recursos. Por ejemplo, algunos terceros insertan anuncios que pueden dañar tu experiencia del usuario y crear vulnerabilidades de seguridad.
Los intrusos explotan todos los recursos desprotegidos que circulan entre tus sitios web y tus usuarios. Se pueden aprovechar imágenes, cookies, secuencias de comandos y HTML. Las intrusiones pueden ocurrir en cualquier punto de la red, como en la máquina de un usuario, un hotspot de Wi-Fi o un ISP comprometido, por nombrar algunos. HTTPS dificulta que los intrusos accedan a los recursos de tus sitios.
HTTPS protege la privacidad y la seguridad de los usuarios
HTTPS evita que los intrusos escuchen de forma pasiva las comunicaciones entre tus sitios web y tus usuarios.
Un concepto erróneo común sobre HTTPS es pensar que los únicos sitios web que necesitan HTTPS son aquellos en los que se controlan comunicaciones sensibles. De hecho, cada solicitud HTTP desprotegida puede revelar información sobre el comportamiento y las identidades de los usuarios.
Una sola visita a uno de tus sitios web desprotegidos puede parecer benigna, pero algunos intrusos examinan las actividades de navegación agregadas de tus usuarios para deducir sus comportamientos e intenciones, y para desanonimizar sus identidades. Por ejemplo, los empleados podrían divulgar de forma involuntaria afecciones de salud sensibles a sus empleadores con solo leer artículos médicos desprotegidos.
HTTPS es el futuro de la Web
Las nuevas funciones potentes de plataforma web, como tomar fotos o grabar audio con getUserMedia()
, habilitar experiencias de apps sin conexión con service workers o compilar apps web progresivas, requieren el permiso explícito del usuario a través de HTTPS. Además, muchas APIs antiguas se están actualizando para requerir permiso de ejecución, como la API de Geolocation. HTTPS es un componente clave de los flujos de trabajo de permisos para las funciones nuevas y actualizadas.