Contenido mixto: cómo evitarlo al usar SSL / TLS

Internet está inundado de datos confidenciales y hay muchos intrusos dispuestos a explotar este tipo de información. Como webmaster, debes luchar contra ellos a través de herramientas útiles disponibles en la actualidad, con el objetivo de lograr la integridad de los datos, la privacidad y la seguridad crítica de la información de tu sitio web.

Una de estas herramientas es SSL, que significa Secure Sockets Layer y se usa en HTTPS, el principal protocolo de comunicación para compartir datos entre dos aplicaciones informáticas que se comunican. La integridad de los datos y la privacidad es la razón principal por la que se utiliza SSL; es un protocolo que protege contra los ataques de intermediarios, que es un tipo de ataque en el que el intruso altera la comunicación entre dos aplicaciones mediante la escucha activa.

La historia de SSL comienza en algún momento a principios de los 90. SSL 1.0 nunca se lanzó al público debido a serias fallas de seguridad y la primera versión que salió fue SSL 2.0 en 1995. Más tarde salió SSL 3.0, pero ahora están prohibidas ambas versiones. Luego vino TLS 1.0 en 1999, que era una actualización del SSL 3.0 existente. Dos versiones más salieron como TLS 1.1 y TLS 1.2. En marzo de 2018, una nueva versión, TLS 1.3, ha sido aprobada para su uso por el Grupo de trabajo de ingeniería de Internet.

 

SSL / TLS y contenido mixto

Hay ventajas evidentes de SSL / TLS, pero al usarlo, probablemente tendrás que resolver un problema llamado “Contenido mixto”. Te ayudaremos a comprender primero qué es el “Contenido mixto” y luego te guiaremos para que lo resuelvas.

Los 3 escenarios: Entonces, para comenzar, intenta responder las siguientes preguntas: ¿Cuántas horas pasas navegando por sitios web aleatorios y examinando un montón de contenido? ¿Alguna vez te toma unos segundos para pensar si tu conexión es privada? ¿Estás viendo contenido que se está cargando directamente desde el servidor o está siendo modificado?

Ya sea que contestó fácilmente o no, es útil saber que hay tres formas diferentes en las que un sitio puede cargarse. Como podrás ver a continuación, tenemos ejemplos de los tres.

 

El primer ejemplo es el de nuestro sitio web que utiliza HTTPS y carga todo el contenido de la página mediante el protocolo HTTPS. Este es el mejor escenario y los visitantes no deben preocuparse por visitar dichas páginas. Todo lo que ven y transmiten es a través de una conexión segura que no se puede aprovechar.

 

El segundo caso es cuando un sitio utiliza HTTPS, pero el contenido del sitio no se carga completamente a través de HTTPS. Como puede ver en la imagen de arriba, la dirección del sitio menciona “HTTPS“, pero hay un signo de exclamación justo al lado. Cuando hace clic en él, puede ver que la conexión no es completamente segura, ya que los atacantes pueden robar la información confidencial. Lo que esto significa es que a pesar de que el sitio está cargado a través de una conexión segura HTTPS, los formularios se cargan a través de una conexión HTTP que los hace propensos a los atacantes. Esto es lo que llamamos “Contenido Mixto”.

 

 

La imagen de arriba muestra el caso final y el peor que puede ocurrir. Lo que es aún más aterrador es el hecho de que es un sitio web de comercio electrónico que se ocupa de cientos de transacciones diarias junto con mucha información confidencial. Este sitio en particular, así como todo el contenido en él, se carga a través de una conexión insegura. El mejor consejo sería mantenerse alejado de este tipo de sitios web.

 

Tratar con contenido mixto

Ahora que ya hemos visto cómo se ve un sitio web cuando se carga a través de una conexión HTTPS pero utiliza otros recursos que se cargan a través de una conexión HTTP, debes hacer la prueba. Visita dicho sitio en Chrome y pon clic con el botón derecho en cualquier lugar y haga clic en la opción Inspeccionar. Esto abrirá las Herramientas del desarrollador y cuando selecciones la pestaña Consola, podrás ver todas las advertencias de contenido mixto en el sitio.

Diferentes tipos de contenido mixto: El siguiente paso es reconocer los dos tipos diferentes de contenido mixto: contenido mixto activo y contenido mixto pasivo. Como su nombre sugiere, el contenido mixto activo es aquello que interactúa con otros recursos en su página, mientras que el contenido mixto pasivo es lo que limita su interacción a sí mismo. Si bien ambos son definitivamente amenazas para una página, el contenido mixto activo es mucho más peligroso.

El contenido mixto activo incluye scripts, hojas de estilo, contenido flash, iframes, etc. que interactúan con otros recursos. El problema con este tipo de contenido es que genera contenido dinámico en una página y cuando un atacante obtiene el control, puede cargar contenido completamente diferente, alterar información importante y obtener el control general de la página.

Por otro lado, el contenido mixto pasivo puede no representar una amenaza tan peligrosa como el contenido mixto activo, pero puede ser extremadamente peligroso cuando está en las manos equivocadas. Imagina un sitio web de comercio electrónico, donde el atacante carga diferentes imágenes de productos o incluso contenido explícito para desfigurar el sitio web. También pueden intercambiar imágenes para funciones críticas como eliminar y guardar, lo que hará que los usuarios eliminen contenido sin la intención de hacerlo.

Experiencia del visitante: Después de todo esto, quizás te estés preguntando, ¿por qué no bloquear todos los sitios web que cargan contenido mixto? La respuesta es que esto llevará a una catástrofe ya que hay millones de sitios web que cargan contenido mixto que utilizamos a diario.

Los usuarios hacen y visitarán sitios web con advertencias de contenido, aunque existen dos escenarios que pueden ocurrir durante su navegación. En el primer escenario, pueden ignorar completamente las advertencias y continuar con lo que quieran hacer. En el segundo caso, podrían dejar de usar el sitio por completo. Ambos casos son una amenaza para el webmaster, ya que afectará a la base de usuarios de una mala manera. Incluso si los usuarios ignoran las advertencias por completo, es probable que tengan la sensación de que el sitio no está haciendo lo suficiente para mantener la integridad y la seguridad de los datos.

 

¿Cómo prevenir el contenido mixto?

En el esfuerzo por hacer que un sitio web sea seguro y confiable, deberás bloquear todos los tipos peligrosos de contenido mixto al tiempo que permite que se soliciten los tipos menos peligrosos. La forma más fácil de definir qué es más o menos peligroso es leer aquí un conjunto de pautas que son seguidas por la mayoría de los navegadores modernos; establece claramente qué es bloqueable y qué es bloqueable opcionalmente. Luego, puedes elegir una solución que sea adecuada para ti.

Solución 1: Buscar y arreglar contenido mixto manualmente: Esta es definitivamente una tarea desalentadora, especialmente para un sitio web con varias páginas. Para dichos sitios web, tendrás que ir individualmente a través de cada página y encontrar advertencias de contenido mixto y corregirlas.

Echemos un vistazo a los diferentes pasos que debe tener en cuenta al hacerlo manualmente. En primer lugar, si está utilizando WordPress CMS, puede usar el complemento SSL realmente simple que redireccionará automáticamente HTTP a HTTPS en su nombre.

Si no estás utilizando el CMS de WordPress, tendrás que esforzarse un poco más. Una opción es hacer una búsqueda masiva de tu sitio web a través del terminal de tu servidor para encontrar todas las referencias con HTTP y reemplazarlo con HTTPS. Asegúrate de estar en la raíz de tu sitio web para realizar este paso.

Solo imagina que tienes una advertencia de contenido mixto para una imagen. Para solucionarlo manualmente, ve el código fuente y encuentra el enlace de la imagen. Se cargará a través de HTTP, pero intenta cambiarlo a HTTPS y visita el enlace. Si la imagen se carga sin problemas, simplemente puedes agregar el mismo enlace con HTTPS en lugar de HTTP.

Pero si el enlace muestra “Tu conexión no es privada”, eso significa que la imagen no está disponible para ser cargada a través de HTTPS. Para resolver este escenario, tendrás que usar un host diferente que tenga la misma imagen, o descargar la imagen a tu sitio y usarla (si tienes los privilegios para usar la imagen) o excluir la imagen de tu sitio por completo.

Solución 2: Política de seguridad de contenido (CSP): para sitios web más grandes: La solución anterior puede ser apta para sitios web más pequeños, pero para sitios web que abarcan varias páginas con mucho contenido, no es realista. La respuesta es usar la Política de seguridad de contenido o CSP, que es una función de múltiples navegadores para administrar contenido mixto a escala. CSP le indica al navegador que informe sobre contenido mixto y se asegurará de que la página nunca cargue inesperadamente recursos inseguros.

Las directivas de CSP se pueden usar para recopilar informes sobre contenido mixto de tu sitio, actualizar solicitudes inseguras y bloquear todo el contenido mixto. La mayoría de las directivas de CSP se pueden habilitar incluyendo la directiva correspondiente en la respuesta enviada desde el servidor.

 

¡Lento y constante gana la carrera!

A pesar de todas las ventajas que puede proporcionar SSL / TLS, es evidente que hay muchos sitios web que carecen de este certificado y puede que te pregunte por qué sucede esto. La verdad es que existen ciertas desventajas que impiden que los sitios web los usen. La primera y más obvia desventaja para los webmasters es el costo asociado con la configuración de SSL / TLS. La siguiente desventaja, según muchos usuarios, es el hecho de que el rendimiento se ve afectado por los sitios con muchos visitantes. Pero cuando lo piensas, las ventajas superan las desventajas por un gran margen. Todos los webmasters deben asegurarse de que tu sitio es seguro. Esto asegurará una sensación de confianza en las mentes de los visitantes de tu sitio web y, definitivamente, volverán. Entonces, consulta los precios especiales de neothek y elige el SSL / TLS que más te convenga.

En cuanto al contenido mixto, tómalo con calma. No esperes cambiar todas las advertencias de contenido mixto en tu sitio en un día. Este proceso llevará algún tiempo y debe hacerse con diligencia. Correr a través de él puede romper tu sitio web y puedes interrumpir la experiencia de tus usuarios. Solo asegúrate de que está alojando todos los recursos utilizados en tu sitio web en un servidor seguro. Esa es la solución más simple a este problema.

 

Neothek ofrece servicios de certificados SSL/TLS, web hosting, registro de dominios, correo electrónico, diseño de páginas web y diseño gráfico.

Share This Post On