La lucha de Google por hacer de Internet un lugar más seguro sigue su curso. Cada poco tiempo podemos ver cómo el navegador sigue implementando nuevas funciones, características y medidas de seguridad pensadas para hacer que los usuarios puedan navegar por la red de la forma más segura y que los administradores web puedan implementar protocolos de seguridad, como el HTTPS, con la menor dificultad, utilizando estándares modernos y fiables y apoyando el cifrado del tráfico en todas aquellas conexiones que intercambien datos personales. Continuando con su labor, Google acaba de anunciar que tiene intenciones de acabar con el estándar PKP de su navegador en las próximas versiones de Chrome.

PKP, Public Key Pinning, es un estándar utilizado por administradores web para establecer conexiones HTTPS. Cuando un usuario se conecta a una página web, las cabeceras PKP piden al navegador descargar una lista de claves generadas a partir de los certificados HTTPS. Cuando el usuario se vuelve a conectar a la página web, el navegador utiliza estas claves para comprobar si coinciden con el certificado HTTPS de la misma.

Si por algún motivo un pirata informático está utilizando un certificado HTTPS válido, las claves PKP no coincidirán cuando el usuario intente acceder a su página web, por lo que la web quedará bloqueada por el navegador y el usuario protegido de la posible estafa o web maliciosa.

PKP, un estándar muy seguro pero demasiado complicado de implementar

Cuando se lanzó PKP, muchos expertos de seguridad aclamaron este nuevo estándar al ser una capa de seguridad bastante robusta que podría permitir a un gran número de administradores web implementar conexiones HTTPS seguras y fiables en sus páginas web. Sin embargo, en realidad, este protocolo era muy complicado de implementar en las webs, y, además, el más mínimo fallo en su implementación y configuración podría tener consecuencias catastróficas, dejando a los usuarios de una web sin poder entrar a ella incluso hasta meses.

A pesar de que la seguridad de este estándar era muy elevada, varios expertos de seguridad publicaron un escenario teórico mediante el cual era posible secuestrar a los visitantes de una web emitiendo sus propias claves PKP, claves que dejarían de funcionar después y harían que la web objetivo no cargara en el navegador en cuestión.

Este problema de seguridad, y la gran cantidad de problemas técnicos al intentar implementar el estándar PKP han hecho que, finalmente, a día de hoy tan solo el 0.4% del millón de webs más visitadas del Top Alexa lo utilicen, y por lo tanto, Google ha decidido acabar con este protocolo para simplificar la implementación de las conexiones HTTPS y seguir haciendo de Internet un lugar más simple y seguro.

Google eliminará el soporte para PKP en Google Chrome 67

Los ingenieros desarrolladores de Google Chrome han confirmado así que debido a las dificultades técnicas de este estándar, y a la poca adopción que tiene hoy en día, finalmente van a eliminar su soporte del navegador.

Tal como asegura Google, este cambio no supone ningún peligro para la compatibilidad del navegador con otras páginas web. Edge y Safari, por ejemplo, ya no soportan las claves PKP, mientras que Opera, si quiere seguir soportándolas podrá hacerlo, revirtiendo los cambios en el código de Chromium. Firefox, por otro lado, de momento no ha hecho declaraciones sobre si tiene intención, o no, de eliminar el soporte para este estándar, aunque la verdad es que no tiene mucho sentido mantenerlo ahora mismo.

Este cambio llegará con el lanzamiento de Google Chrome 67, versión que, salvo algún cambio de última hora, tiene prevista su llegada para el 29 de mayo de 2018. Los responsables de Google, además, permiten a los desarrolladores que puedan verse afectados por este cambio expresar su opinión en contra, aunque debido al poco uso de este protocolo, lo más seguro es que no haya problemas al respecto.

¿Qué opinas del final de soporte del estándar PKP para Google Chrome 67?