HTTPS
El Protocolo de transferencia de hipertexto seguro ( HTTPS ) es una extensión del Protocolo de transferencia de hipertexto (HTTP). Se utiliza para comunicaciones seguras a través de una red informática y se utiliza ampliamente en Internet. [1] [2] En HTTPS, el protocolo de comunicación se cifra mediante Transport Layer Security (TLS) o, anteriormente, Secure Sockets Layer (SSL). Por lo tanto, el protocolo también se conoce como HTTP sobre TLS , [3] o HTTP sobre SSL .
Las principales motivaciones para HTTPS son la autenticación del sitio web al que se accede y la protección de la privacidad e integridad de los datos intercambiados durante el tránsito. Protege contra ataques man-in-the-middle , y el cifrado bidireccional de las comunicaciones entre un cliente y un servidor protege las comunicaciones contra escuchas y manipulaciones . [4] [5] El aspecto de autenticación de HTTPS requiere que un tercero de confianza firme certificados digitales del lado del servidor.. Esta fue históricamente una operación costosa, lo que significaba que las conexiones HTTPS completamente autenticadas generalmente solo se encontraban en servicios de transacciones de pago seguras y otros sistemas de información corporativa seguros en la World Wide Web . En 2016, una campaña de Electronic Frontier Foundation con el apoyo de desarrolladores de navegadores web llevó a que el protocolo se volviera más frecuente. [6] Los usuarios web utilizan HTTPS con más frecuencia que el HTTP no seguro original, principalmente para proteger la autenticidad de la página en todo tipo de sitios web; cuentas seguras; y mantener la privacidad de las comunicaciones, la identidad y la navegación web de los usuarios.
El esquema de identificador uniforme de recursos (URI) HTTPS tiene una sintaxis de uso idéntica al esquema HTTP. Sin embargo, HTTPS indica al navegador que utilice una capa de cifrado adicional de SSL / TLS para proteger el tráfico. SSL / TLS es especialmente adecuado para HTTP, ya que puede proporcionar cierta protección incluso si solo se autentica un lado de la comunicación . Este es el caso de las transacciones HTTP a través de Internet, donde normalmente solo se autentica el servidor (mediante el examen del certificado del servidor por parte del cliente ).
HTTPS crea un canal seguro en una red insegura. Esto garantiza una protección razonable contra intrusos y ataques de intermediarios , siempre que se utilicen conjuntos de cifrado adecuados y que el certificado del servidor esté verificado y sea de confianza.
Debido a que HTTPS lleva HTTP por completo sobre TLS, se puede cifrar la totalidad del protocolo HTTP subyacente. Esto incluye la URL de la solicitud (qué página web en particular se solicitó), parámetros de consulta, encabezados y cookies (que a menudo contienen información de identificación sobre el usuario). Sin embargo, debido a que las direcciones de sitios web y los números de puerto son necesariamente parte del TCP / IP subyacenteprotocolos, HTTPS no puede proteger su divulgación. En la práctica, esto significa que incluso en un servidor web configurado correctamente, los espías pueden inferir la dirección IP y el número de puerto del servidor web y, a veces, incluso el nombre de dominio (por ejemplo, www.example.org, pero no el resto de la URL) que un usuario se está comunicando, junto con la cantidad de datos transferidos y la duración de la comunicación, aunque no el contenido de la comunicación. [4]
Los navegadores web saben cómo confiar en los sitios web HTTPS según las autoridades de certificación que vienen preinstaladas en su software. De esta manera, los creadores de navegadores web confían en las autoridades de certificación para proporcionar certificados válidos. Por lo tanto, un usuario debe confiar en una conexión HTTPS a un sitio web si y solo si se cumplen todas las siguientes condiciones:
