Es un hecho que la mayoría de sitios web están ya utilizando el protocolo HTTPS, o al menos, tienen muy claro que deben migrar a él muy pronto, SSL Pulse nos permitirá ver fácilmente el nivel de implementación. Google ha sido uno de los defensores de HTTPS, y buena muestra de ello es que ha “obligado” a la mayoría de webs a usar este protocolo si no quieren ver continuas advertencias en su navegador web Chrome y un peor posicionamiento en el propio buscador.

Gracias a la herramienta SSL Pulse, podremos ver a principios de cada mes la penetración del protocolo HTTPS en los sitios web más populares. Primero veremos un resumen de los 140.000 sitios web y si ellos tienen una buena seguridad, o por el contrario no tienen bien configurado el protocolo HTTPS. En el resumen del mes de abril podremos ver que el 55,4% de los sitios web analizados son seguros, dentro del 46,6% restante encontramos los sitios web que tienen implementaciones no seguras de este protocolo.

De los sitios web analizados, únicamente el 2,7% tienen algún problema con el certificado digital, y el 7,4% tiene problemas sobre la seguridad del cifrado configurado en sus servidores web. Por tanto, podemos afirmar que la mayoría de los sitios web que implementan HTTPS, lo hacen de manera segura, tal y como debe hacerse.

En este informe de SSL Pulse vemos que los sitios web que utilizan HSTS (HTTP Strict Transport Security) es de tan solo el 11,4%, actualmente parece ser que los administradores olvidan o no incorporan esta medida de seguridad tan importante para proteger las conexiones HTTPS y que un usuario malintencionado no sea capaz de hacer un bypass a HTTPS obligando a que use HTTP.

Es sorprendente que aún haya sitios web con HTTPS y que utilicen protocolos inseguros como SSL 2.0 (el 4,9% de los sitios web) y SSL 3.0 (16,6% de los sitios web). De hecho, es más soportado el protocolo TLS 1.0 que la última revisión TLS 1.2. Por seguridad es necesario impedir que los sitios web sean capaces de negociar con el protocolo SSL, y hacerlo siempre con TLS.

Otras estadísticas que nos muestra SSL Pulse es por ejemplo la penetración de Certification Authority Authorization, ya que tan solo un 0,2% de los sitios lo tienen, además, un 1% de los sitios web realizan renegociaciones inseguras por lo que deberían revisar su configuración de seguridad. Algo interesante es que sí utilizan certificados RSA de 2048 bits en adelante, algo de agradecer y que dota a los sitios web de una mejor seguridad. SSL Pulse también nos dice qué sitios tienen EV, si utilizan HTTP/2 y SPDY así como si soportan Forward Secrecy o son vulnerables a diferentes ataques que se han descubierto recientemente.

Os recomendamos acceder a la página web oficial de SSL Pulse donde encontraréis mes tras mes un resumen de la seguridad de las webs más visitadas.