¿Por qué no son seguras las conexiones HTTP?


https
El año ha arrancado con la obsesión por HTTPS, y como no podía ser de otra manera Google es la culpable de que se haya convertido en un tema de especial relevancia.



No es algo nuevo, ni muchísimo menos, y la primera implementación de HTTPS data del año 1992, aunque no fue hasta el año 2000 cuando se convirtió en un estándar. Pero, arrancando desde lo más básico ¿qué es HTTPS, y por qué no son seguras las conexiones HTTP? Te explicamos todo lo que necesitas saber sobre este protocolo seguro de transferencia. 

Efectivamente, la primera vez que se implementó HTTPS fue en el año 1992, pero no se convirtió en un estándar hasta el año 2000, y fue entonces cuando se impuso el uso de TLS sobre SSL, la capa original.
 
La cuestión es que, partiendo desde lo más básico, es un protocolo de transferencia de datos entre servidor y cliente basado en HTTP, pero que aprovecha de forma adicional el cifrado SSL/TLS.
 
Es decir, que el intercambio de datos no se lleva a cabo como texto plano, que podría ser interceptado en la comunicación entre servidor y cliente, y viceversa, sino que los datos se intercambian cifrados. Ahora bien ¿puede un ‘atacante’ hacerse con la clave de cifrado? Aquí es donde entramos en algunos detalles más completos en las diferencias entre HTTP y HTTPS.
 

HTTPS: un protocolo seguro basado en HTTP

A nivel técnico, las diferencias principales entre HTTPS y HTTP están en que el protocolo seguro utiliza URLs que empiezan por ‘https://’ frente a las habituales ‘http://’, y que el protocolo seguro utiliza el puerto 443 por omisión mientras que HTTP utiliza el puerto 80, y por supuesto, que HTTPS hace uso de un canal cifrado para el intercambio de información. 
 
Sin esta capa de cifrado, en HTTP son posibles los ataques man-in-the-middleeavesdropping, puesto que se puede interceptar la comunicación entre servidor y cliente, y la interpretación del flujo de datos es directa, mientras que una conexión usando el protocolo HTTPS sí se podría llegar a interceptar, pero el flujo de datos está cifrado. ¿Con qué tipo de cifrado? Eso depende de la configuración del servidor.
 
El protocolo HTTP funciona en la capa de aplicación del modelo OSI, la más alta, y el protocolo HTTP en una subcapa más baja. Como comentábamos anteriormente, HTTPS está basado en HTTP y, por lo tanto, no es un protocolo diferente como tal sino con un ‘complemento’, por así decirlo, que es una capa de cifrado basado en Secure Sockets Layer o en la Capa de Transporte; la diferencia entre SSL y TLS.
 
En todo esto, un aspecto clave es la configuración del servidor, que debe contar con un certificado firmado por una autoridad de certificación que confirma la autenticidad y la identidad.
 
Con un certificado firmado, el servidor puede ser identificado por el navegador web y puede sentar las instrucciones de comunicación para el intercambio de la clave pública de cifrado y las claves privadas en el intercambio de paquetes de datos.
http vs https

Por qué HTTPS es más seguro que HTTP, y por qué se ha convertido en un tema de vital importancia

La diferencia fundamental, como veníamos explicando, es que el protocolo HTTPS utiliza un canal seguro para el intercambio de datos, principalmente aplicando un cifrado en el flujo de datos. Por lo tanto, y aunque podría llegar a ser interceptado el flujo de comunicación entre servidor y cliente, aún así habría protección para los datos intercambiados.
 
Y esta protección se lleva a cabo con una clave privada intercambiada entre cliente y servidor, y adicionalmente una clave pública compartida por el servidor. En cuanto a las particularidades del cifrado, no obstante, es algo que depende de la certificación asignada al servidor.
 
Durante años el protocolo HTTPS se ha implementado únicamente en portales web con tratamiento de información sensible. Es decir, en comercios electrónicos o servicios bancarios, por ejemplo, que intercambian información personal con el cliente –usuario-.
 
Pero en los últimos meses la implementación de HTTPS ha crecido y se ha generalizado por la influencia de Google sobre los desarrolladores web y webmasters.
 
Meses atrás la compañía de Mountain View ya dio instrucciones públicas recordando que HTTPS es un requisito para el tratamiento de información bancaria y personal, desde aspectos tan básicos como incluso la dirección de correo electrónico de los usuarios –por supuesto, también la contraseña asociada-.
 
Ahora, los expertos en SEO llevan ya semanas asegurando que HTTPS es un factor relevante para el posicionamiento, y que Google ha arrancado las penalizaciones sobre webs que no utilizan el protocolo seguro.
 
Anteriormente no se había alcanzado una tasa de adopción excesivamente relevante en tanto que hay millones de páginas web que no comparten datos sensibles y, por lo tanto, no era un requisito para ellos ni algo excesivamente importante. Y además, es un coste añadido para los webmaster a todos los niveles.
 
 
 
 
 

Comentarios

Publicar un comentario

Entradas populares de este blog

Contactos de Google: cómo añadir, importar, hacer copias de seguridad y restaurar contactos

Imagen
Además de los documentos con información importante, fotos o vídeos, lo que más trastorno nos puede producir cuando cambiamos de dispositivo o tenemos un problema con él, es sin duda perder todos nuestros contactos. Para evitar eso, Google cuenta con su propia herramienta Contactos de Google y que está disponible en el servicio de correo de Gmail  como servicio independiente, así como parte de las aplicaciones web de Google.
Read more »

Firefox Quantum acabará al fin con uno de sus principales problema: el excesivo consumo de RAM

Imagen
Uno de los problemas que afecta a todos los navegadores modernos de hoy en día es el consumo de RAM. Si nuestro ordenador tiene 16 GB o 32 GB de memoria RAM, seguramente esto no nos importe demasiado, sin embargo, cuando nuestro ordenador tiene poca memoria, o solemos trabajar a menudo con muchas pestañas abiertas al mismo tiempo, el excesivo consumo de RAM de Google Chrome o Firefox sí puede ser un problema bastante grave.
Read more »

Así puedes cambiar el fondo de pantalla en Windows 10 sin activar

Imagen
Puede que todavía haya mucha gente que dude si es posible usar Windows 10 sin activar por tiempo ilimitado. Hace años, no activar con una clave de licencia el sistema operativo de Microsoft suponía que no podríamos seguir utilizándolo pasado el tiempo de prueba. Sin embargo, es posible utilizar Windows 10 aunque no esté activado sin límite de tiempo. Eso sí, tendremos otra serie de limitaciones en lo que a personalización del sistema se refiere. Vamos a mostrar cómo cambiar el fondo de pantalla en Windows 10 sin activar.
Read more »

Personaliza tu página de inicio web con estas alternativas a Start.me

Imagen
Cada vez que abrimos el navegador de nuestro ordenador nos aparece la página de inicio que muchos usuarios tienen directamente configurada con Google para que aparezca el famoso buscador. En caso de que quieras dotar de más vida esa página de inicio existen opciones tan populares Start.me que permite configurarla al máximo con todo detalle. Pero si te parece una aplicación compleja hoy te contamos cuáles son las mejores alternativas a Start.me que puedes usar para configurar la página de inicio de tu navegador web.
Read more »

Users Electronica & Microcontroladores PIC

Imagen
DESCRIPCIÓN Una obra ideal para quienes desean aprovechar al máximo las aplicaciones prácticas de los micro controladores PIC y entender su funcionamiento. Un material con procedimientos paso a paso y guías visuales, para crear proyectos sin límites. Este libro está enfocado a aquellas personas que quieran estudiar en profundidad el mundo de los microcontroladores. Contenido: Capítulo 1. Señales analógicas y digitales Capítulo 2. Electrónica digital Capítulo 3. Memorias   Capítulo 4. Microprocesadores y microcontroladores   Capítulo 5. Microcontrolador pic16f   Capítulo 6. Microcontrolador pic18f   Servicios. Al lector Autor: Rossano Victor Páginas: 368 27.3 Mb DESCARGA M E G A
Read more »