Hace casi dos años Google advertía: usar HTTPS en tu web sería una señal valiosa de cara al posicionamiento en los resultados de búsqueda. Hace menos de dos meses anunció el siguiente paso adelante: favorecer en los rankings a las webs con HTTPS frente a las que no llevan el certificado SSL y usan el HTTP tradicional. Entre un movimiento y otro transcurren dieciséis meses. Google es una bestia gigantesca que avanza a paso lento, pero firme.
Este movimiento de Google tiene muchas consecuencias. Un tema menor es el de asimetría de información. Google justifica este movimiento como una mejora de la seguridad de los usuarios. Formalmente es verdad, pero es aún más cierto que Google aumenta de nuevo el listón de asimetría en cuanto a la información de lo que hacen los usuarios que tiene Google y la que tiene el resto del mundo (exceptuando a la NSA y otros partners públicos, claro). En parte el argumento es el mismo que ya usamos cuando hace 5 años Google comenzó a habilitar SSL para los usuarios con sesión iniciada.
Hay aspectos más importantes, como el de la marginalización de la web verdaderamente independiente. Un certificado vale tanto como la reputación de la entidad certificadora. Puedes producir tu propio certificado SSL pero tus lectores y usuarios han de confiar en ti, dado que el certificado lo firmas tú mismo. Para quien no te conoce, es manifiestamente mejor que te avale una entidad reputada como VeriSign, por poner un ejemplo.
Más centralización
El movimiento hacia una web que pase inevitablemente por el HTTPS es un movimiento sutilmente centralizador. ¿Cuántas entidades certificadoras fiables hay a nivel global? Si el HTTPS es requisito para que tu web sea descubierta (porque los buscadores te van a dar de lado en caso contrario), ¿qué hay de aquella promesa de Internet de hace dos décadas? Por supuesto que cualquiera podrá hacer una web, pero tendrá que pasar por los protocolos establecidos por el sistema. Nótese que ni siquiera entro a valorar si el mismo es beneficioso (aunque tengo mis reservas sobre que para leer una web con historia europea del siglo XIII sea taaan importante que esa web tenga SSL), sino el hecho mismo de que este movimiento erradica uno de los últimos componentes verdaderamente desregulados y libres de la web que conocimos.
Gracias a la EFF y Mozilla ahora tenemos Let’s Encrypt, una entidad certificadora algo más amigable que además tiene el detalle de emitir certificados sin coste para el usuario. La misma ha recibido apoyos ya de algunas grandes empresas de Internet. Es loable, y sirve para paliar un poco esta deriva. Pero no deja de dar un gran poder (y una gran responsabilidad) a este nuevo ente.
La Internet de los muertos
Por último, y aunque no deje de ser un toque algo nostálgico. ¿Qué pasa con todas esas webs que ya no se actualizarán? En dos décadas de web se ha volcado muchísimo conocimiento a este medio. Muchas de estas webs llevan años sin actualizar su contenido. Tampoco se actualizan demasiado los servidores que las sirven, así que no es demasiado probable que vayan de prisa y corriendo a instalar un certificado SSL. Hay una excelente columna de Cory Doctorow que en su día comenté y que no me quito nunca de la cabeza, va sobre La Internet de los muertos.
Esa columna resuena en mi cabeza con frecuencia. Y lo hace inevitablemente en situaciones como ésta. ¿Las webs de todos aquellos que ya no están, esas webs que son parte del legado que nos dejaron, cómo se adaptan a esta nueva corrección política de tener un SSL? ¿Quién y cómo ha de poner el certificado SSL a la web de Aaron Swartz? Quizá tan importante como la pregunta anterior, ¿por qué habría que ponérselo si quizá él no habría querido hacerlo?
Muy interesante. Según entiendo el nuevo parámetro para google es que la web tenga certificado, que funcione sobre una conexión segura HTTPS, lo cual tiene las implicaciones que comentas. Pero ¿sugieres que para Google tienen más validez unas certificaciones que otras? Porque esto tendría otras.
A Google seguramente le da igual la fuente del certificado, si bien es bastante probable que un SSL autofirmado no sea tratado exactamente igual.
Pero hay más piezas entre tu web y tus visitantes. Los navegadores avisan con señales de peligro, muerte, y destrucción cuando cargamos webs con certificados SSL autofirmados.
Hay un buen motivo para hacerlo así, evitar que cualquiera monte un dominio fraudulento dicienso ser tu banco, con un certificado SSL falso, por ejemplo.
Y luego, a la hora de buscar proveedores de certificados, cuanto más «indie» sea el mismo más probabilidad de que alguien te marque como sospechoso.
Es un sistema de reputación, y en los sistemas de reputación es importante conocer a la otra parte… si no, de qué reputación estamos hablando :)
Esto me recuerda que ocurrió algo muy parecido con la configuración del correo electrónico.
Al principio podías tener tu servidor en casa, usando tu línea de adsl, luego se empezó a necesitar una Ip fija y más tarde, otra vuelta de tuerca, se requería una resolución inversa de dominio, etc, etc, y ya el operador de internet no te ofrecía esa posibilidad, y todo para poder tener un servicio de correo electrónico propio del cual no te excluyeran los demás miembros de la red porque por motivos de tu seguridad se requería al menos esto. Había mucho correo no deseado, cosa que ahora seguro que no hay nada de eso, je je.
Ah y todo estas restricciones porque el que se ofrecía a dar un servicio de correo, incluso así mismo era considerado un spammer o un paria electrónico, por el simple hecho que no querer o pagar una infraestructura mayor de la que en principio pudiera bastar técnicamente.
Un saludo
Buen apunte, Julio.
El proceso es verdaderamente similar al que sufrió el correo electrónico. A día de hoy mantener tu propio servidor de correo es una tarea titánica para un usuario doméstico.
Este movimiento aunque tiene muchas diferencias, tiene en común que ambos reducen la autonomía. Unos porque un servidor cualquiera lo tiene difícil para no ser catalogado de emisor de spam, y otros porque te empujan hacia la dark web.