Siempre protege todos tus sitios web con HTTPS, incluso si no controlan comunicaciones sensibles. Además de proporcionar seguridad e integridad de los datos críticas para tus sitios web y la información personal de tus usuarios, HTTPS es obligatorio para muchas funciones nuevas del navegador, en especial, las que se requieren para las apps web progresivas.
HTTPS protege la integridad de tu sitio web
HTTPS ayuda a evitar que intrusos manipulen la comunicación entre tus sitios y los navegadores de los usuarios. Entre los intrusos, se incluyen tanto los atacantes maliciosos intencionales como las empresas legítimas pero intrusivas, como los ISP que insertan anuncios en las páginas.
Los intrusos aprovechan las comunicaciones no protegidas para engañar a los usuarios y lograr que divulguen información sensible o instalen software malicioso, o bien para insertar sus propios recursos. Por ejemplo, algunos terceros insertan anuncios que pueden interrumpir la experiencia del usuario y crear vulnerabilidades de seguridad.
Los intrusos aprovechan cada recurso desprotegido que viaja entre tus sitios web y tus usuarios. Las imágenes, las cookies, los lenguajes de secuencias de comandos y el HTML son vulnerables. Las intrusiones pueden ocurrir en cualquier punto de la red, incluida la máquina de un usuario, un hotspot Wi-Fi o un ISP vulnerado, por nombrar algunos. HTTPS dificulta que los intrusos accedan a los recursos de tus sitios.
HTTPS protege la privacidad y seguridad de tus usuarios
HTTPS evita que intrusos escuchen de forma pasiva las comunicaciones entre tus sitios web y tus usuarios.
Una idea errónea común sobre HTTPS es que los únicos sitios web que lo necesitan son aquellos que manejan comunicaciones sensibles. De hecho, cada solicitud HTTP no protegida puede revelar información sobre el comportamiento y la identidad de tus usuarios.
Una sola visita a uno de tus sitios web no protegidos puede parecer inofensiva, pero algunos intrusos observan las actividades de navegación agregadas de tus usuarios para hacer inferencias sobre sus comportamientos e intenciones, y para desanonimizar sus identidades. Por ejemplo, los empleados pueden divulgar de forma involuntaria afecciones de salud sensibles a sus empleadores solo con leer artículos médicos no protegidos.
HTTPS es el futuro de la Web
Las nuevas y potentes funciones de la plataforma web, como tomar fotos o grabar audio con getUserMedia(), habilitar experiencias de apps sin conexión con service workers o compilar apps web progresivas, requieren el permiso explícito del usuario a través de HTTPS. Muchas APIs más antiguas también se están actualizando para requerir permiso para ejecutarse, como la API de Geolocation. HTTPS es un componente clave de los flujos de trabajo de permisos para las funciones nuevas y actualizadas.