HTTPS

En el ámbito de Internet, HTTPS (Hypertxt Transfer Protocol Secure, Protocolo seguro de transferencia de hipertexto) es un protocolo basado en HTTP, destinado a la transferencia segura de datos de hipertexto. HTTPS es la versión segura de HTTP, y utiliza un cifrado basado en SSL para crear un canal cifrado más apropiado para el tráfico de información sensible que HTTP.

HTTPS

Qué es HTTPS

HTTPS (Hypertxt Transfer Protocol Secure, protocolo seguro de transferencia de hipertexto), es el protocolo HTTP en versión segura. HTTPS fue creado por Netscape en 1992, y adoptado como estándar web con la publicación de RFC 2818 en el 2000.

Generalmente es utilizado por entidades financieras, tiendas on line o cualquier sitio web que solicite datos personales o contraseñas de acceso a sus usuarios y prefiera que este tipo de datos no se transmita por la red en texto plano, sino cifrados.

El sistema HTTPS crea un canal cifrado mucho más apropiado por su seguridad para transferir indormación sensible que el protocolo HTTP, de tal manera que si un atacante intercepta la transferencia de datos, sólo obtiene un flujo cifrado de datos imposible de traducir.

Por el contrario, HTTP es inseguro y está sujeto a ataques man-in-the-middle, en los que un atacante puede obtener acceso a las cuentas e información de un sitio web.

HTTPS no es un modelo separado del HTTP, emplea HTTP y SSL/TLS para crear un canal cifrado cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente.

Respecto a las diferencias con HTTP, en el protocolo HTTP las URL comienzan con http:// y el servidor utiliza generalmente el puerto 80. En el procolo HTTPS en cambio, las URL comienzan con https:// y el servidor utiliza por defecto el puerto 443.

Por lo que se refiere a la implementación de un sistema HTTPS, a la hora de configurar un servidor web para que acepte conexiones HTTPS, es necesario que el administrador cree un certificado de clave pública, el cual debe estar firmado por una autoridad de certificación, a fin de que el navegador web lo acepte.

La autoridad certifica que el titular del certificado es quien dice ser, y los navegadores web generalmente incluyen por efecto certificados raíz firmados por la mayoría de las autoridades de certificación. La adquisición de certificados puede ser gratuita o tener un costo, muchas veces elevado, y cuando expiran pueden ser renovados. Un certificado cuya llave privada ha sido comprometida puede ser revocado.

Las organizaciones que lo deseen pueden ser sus propias certificadoras, en caso de ser responsables de que la navegación se efectúe en sus propios sitios, ejemplos de ello son muchas universidades con campus virtuales o grandes empresas con intranet.

El sistema HTTPS también puede usarse como control de accesos creando un certificado para cada usuario, con el objetivo de limitar el acceso a un servidor web sólo a usuarios autorizados. De esta manera, el certificado limita el acceso mediante el nombre y correo electrónico del usuario, y es revisado automáticamente en cada reconexión para verificar su identidad, permitiendo además acceder sin que cada vez tenga que ingresar una contraseña.

Si bien HTTPS resulta ser muy seguro, el nivel de protección depende de la implementación del navegador web, el software del servidor y los algoritmos de cifrado soportados, por lo que en determinadas circunstancias puede ser vulnerable.

Los comentarios están cerrados.