¿Qué es el Protocolo Seguro de Transferencia de Hipertexto (HTTPS)?
El Protocolo Seguro de Transferencia de Hipertexto (HTTPS) es un protocolo que asegura la comunicación y la transferencia de datos entre el navegador web de un usuario y un sitio web. HTTPS es la versión segura de HTTP.
El protocolo protege a los usuarios contra escuchas y ataques de intermediario (MitM). También protege los dominios legítimos de los ataques de suplantación del sistema de nombres de dominio (DNS).
HTTPS desempeña un papel importante en la seguridad de los sitios web que manejan o transfieren datos confidenciales, como los que manejan los servicios bancarios online, los proveedores de correo electrónico, los retailers online y los proveedores de atención sanitaria, entre otros. En pocas palabras, cualquier sitio web que requiera credenciales de inicio de sesión o implique transacciones financieras debe utilizar HTTPS para garantizar la seguridad de los usuarios, las transacciones y los datos.
HTTP vs HTTPS
Un actor malintencionado puede suplantar, modificar o vigilar fácilmente una conexión HTTP. HTTPS ofrece protección contra estas vulnerabilidades cifrando todos los intercambios entre un navegador y un servidor web. Como resultado, HTTPS garantiza que nadie pueda manipular estas transacciones, asegurando así la privacidad de los usuarios y evitando que información sensible caiga en manos equivocadas.
HTTPS no es un protocolo independiente de HTTP. Se trata más bien de una variante que utiliza el cifrado Transport Layer Security (TLS)/Secure Sockets Layer (SSL) sobre HTTP para proteger las comunicaciones. Cuando un servidor web y un navegador se comunican a través de HTTPS, se produce lo que se conoce como «handshake» (intercambio de certificados TLS/SSL) para verificar la identidad del proveedor y proteger al usuario y sus datos.
Una URL HTTPS comienza por https:// en lugar de http://. La mayoría de los navegadores muestran que un sitio web es seguro mostrando un símbolo de candado cerrado a la izquierda de la URL en la barra de direcciones del navegador. En algunos navegadores, los usuarios pueden hacer clic en el icono del candado para comprobar si el certificado digital de un sitio web con HTTPS habilitado incluye información de identificación sobre el propietario del sitio web, como su nombre o el nombre de la empresa.
¿En qué es superior HTTPS a HTTP?
En HTTP, la información compartida a través de un sitio web puede ser interceptada, o husmeada, por cualquier actor malintencionado que husmee en la red. Esto es especialmente arriesgado si un usuario accede al sitio web a través de una red no segura, como una red Wi-Fi pública. Dado que todas las comunicaciones HTTP se producen en texto plano, son muy vulnerables a los ataques MitM en ruta.
HTTPS garantiza que todas las comunicaciones entre el navegador web del usuario y un sitio web estén completamente cifradas. Incluso si los ciberdelincuentes interceptan el tráfico, lo que reciben parecen datos confusos. Estos datos sólo pueden convertirse a una forma legible con la herramienta de descifrado correspondiente — es decir, la clave privada.
Cifrado en HTTPS
HTTPS se basa en el protocolo de cifrado TLS, que asegura las comunicaciones entre dos partes. TLS utiliza una infraestructura de clave pública asimétrica para el cifrado. Esto significa que utiliza dos claves diferentes:
- La clave privada. La controla y mantiene el propietario del sitio web y reside en el servidor web. Descifra la información cifrada por la clave pública.
- La clave pública. Está disponible para los usuarios que quieran interactuar de forma segura con el servidor a través de su navegador web. La información cifrada por la clave pública sólo puede ser descifrada por la clave privada.
Cómo funciona HTTPS
Como se ha indicado en la sección anterior, HTTPS funciona sobre SSL/TLS con cifrado de clave pública para distribuir una clave simétrica compartida para el cifrado de datos y la autenticación. Utiliza el puerto 443 por defecto, mientras que HTTP utiliza el puerto 80. Todas las transferencias seguras requieren el puerto 443, aunque el mismo puerto soporta también conexiones HTTP.
Antes de que comience una transferencia de datos en HTTPS, el navegador y el servidor deciden los parámetros de conexión realizando un protocolo de enlace SSL/TLS. El handshake también es importante para establecer una conexión segura.
He aquí cómo funciona todo el proceso:
- El navegador cliente y el servidor web intercambian mensajes «hola».
- Ambas partes se comunican sus normas de cifrado.
- El servidor comparte su certificado con el navegador.
- El cliente verifica la validez del certificado.
- El cliente utiliza la clave pública para generar una clave secreta premaestra.
- Esta clave secreta se cifra utilizando la clave pública y se comparte con el servidor.
- El cliente y el servidor calculan la clave simétrica basándose en el valor de la clave secreta.
- Ambas partes confirman que han calculado la clave secreta.
- La transmisión de datos utiliza el cifrado simétrico.
Ejemplo de cómo funciona HTTPS
Supongamos que un cliente visita el sitio web de comercio electrónico de un minorista para comprar un artículo. Cuando el cliente está listo para realizar un pedido, se lo dirige a la página de pedido del producto. La URL de esta página comienza con https://, no http://.
Para realizar el pedido, se le solicita al cliente que ingrese algunos datos personales (por ejemplo, su nombre y dirección de envío), así como datos financieros (por ejemplo, su número de tarjeta de crédito). HTTPS encripta estos datos para garantizar que no puedan ser comprometidos o robados por una parte no autorizada, como un pirata informático o un ciberdelincuente.
A continuación, el pedido llega al servidor, donde se procesa. Una vez que el pedido se ha realizado correctamente, el usuario recibe un acuse de recibo del servidor, que también viaja cifrado y se muestra en su navegador web. Este acuse de recibo es descifrado por la subcapa HTTPS del navegador.
HTTPS y la tríada CIA
HTTPS garantiza la tríada CIA, que es un elemento fundamental en la seguridad de la información:
- HTTPS cifra la conexión del visitante del sitio web y oculta cookies, URL y otros tipos de metadatos sensibles.
- HTTPS garantiza que los datos transferidos entre el visitante y el sitio web no puedan ser manipulados o modificados por un pirata informático.
- HTTPS garantiza que el usuario accede al sitio web real y no a una versión falsa.
Ventajas de HTTPS
HTTPS ofrece numerosas ventajas sobre las conexiones HTTP:
- Protección de datos y usuarios. HTTPS impide las escuchas entre navegadores y servidores web y establece comunicaciones seguras. De este modo, protege la privacidad del usuario y la información sensible de los piratas informáticos. Esto es fundamental para las transacciones que implican datos personales o financieros.
- Mejora la experiencia del usuario. Cuando los clientes saben que un sitio web es auténtico y protege sus datos, infunde confianza y seguridad. Además, HTTPS aumenta la velocidad de transferencia de datos al reducir su tamaño.
- Optimización para motores de búsqueda (SEO). Los sitios web HTTPS suelen aparecer mejor clasificados en las páginas de resultados de los motores de búsqueda, lo que supone una ventaja significativa para las organizaciones que buscan impulsar su presencia digital a través del SEO.
Errores comunes que hay que evitar al adaptar la conexión HTTPS
Aunque HTTPS puede mejorar la seguridad de un sitio web, implementarlo de forma incorrecta puede afectar negativamente a la seguridad y usabilidad de un sitio. Entre los errores más comunes se encuentran los siguientes:
Problema | Solución |
---|---|
Certificados expirados | Asegúrese siempre de que el certificado del sitio está actualizado. |
Falta un certificado para todos los nombres de host | Obtenga un certificado para todos los nombres de host a los que sirve el sitio para evitar errores de no coincidencia de nombre de certificado. |
Compatibilidad con Indicación de Nombre de Servidor (SNI) | Asegúrese de que el servidor web admita SNI y de que la audiencia utilice navegadores compatibles con SNI. |
Problemas de rastreo e indexación | Asegúrese de que el sitio HTTPS no está bloqueado para el rastreo mediante robots.txt. Además, permita que los motores de búsqueda indexen correctamente todas las páginas. |
Contenido | Asegúrese de que el contenido coincide en las páginas HTTP y HTTPS. |
¿Las conexiones HTTPS son vulnerables a los ataques?
Aunque HTTPS es más seguro que HTTP, ninguno de los dos es inmune a los ciberataques. Las conexiones HTTPS pueden ser vulnerables a las siguientes actividades maliciosas:
- Criptoanálisis o debilidad del protocolo. Los actores de la amenaza pueden utilizar el criptoanálisis o explotar debilidades potenciales para comprometer la conexión HTTPS.
- Ataques al ordenador cliente. Los atacantes pueden instalar un certificado raíz malicioso en el ordenador cliente o en el almacén de confianza del navegador, comprometiendo así la conexión HTTPS.
- Manipulación de una autoridad de certificación. Los atacantes pueden manipular o comprometer una autoridad de certificación para obtener un certificado falso en el que confíen por error los principales navegadores.
Deja una respuesta