¿Por qué no son seguras las conexiones HTTP?

Escrito por Carlos González
Software

El año ha arrancado con la obsesión por HTTPS, y como no podía ser de otra manera Google es la culpable de que se haya convertido en un tema de especial relevancia. No es algo nuevo, ni muchísimo menos, y la primera implementación de HTTPS data del año 1992, aunque no fue hasta el año 2000 cuando se convirtió en un estándar. Pero, arrancando desde lo más básico ¿qué es HTTPS, y por qué no son seguras las conexiones HTTP? Te explicamos todo lo que necesitas saber sobre este protocolo seguro de transferencia.

Efectivamente, la primera vez que se implementó HTTPS fue en el año 1992, pero no se convirtió en un estándar hasta el año 2000, y fue entonces cuando se impuso el uso de TLS sobre SSL, la capa original. La cuestión es que, partiendo desde lo más básico, es un protocolo de transferencia de datos entre servidor y cliente basado en HTTP, pero que aprovecha de forma adicional el cifrado SSL/TLS. Es decir, que el intercambio de datos no se lleva a cabo como texto plano, que podría ser interceptado en la comunicación entre servidor y cliente, y viceversa, sino que los datos se intercambian cifrados. Ahora bien ¿puede un ‘atacante’ hacerse con la clave de cifrado? Aquí es donde entramos en algunos detalles más completos en las diferencias entre HTTP y HTTPS.

Google se ha encargado de presionar a los webmaster para aumentar la tasa de implementación del protocolo HTTPS.

HTTPS: un protocolo seguro basado en HTTP

A nivel técnico, las diferencias principales entre HTTPS y HTTP están en que el protocolo seguro utiliza URLs que empiezan por ‘https://’ frente a las habituales ‘http://’, y que el protocolo seguro utiliza el puerto 443 por omisión mientras que HTTP utiliza el puerto 80, y por supuesto, que HTTPS hace uso de un canal cifrado para el intercambio de información. Sin esta capa de cifrado, en HTTP son posibles los ataques man-in-the-middleeavesdropping, puesto que se puede interceptar la comunicación entre servidor y cliente, y la interpretación del flujo de datos es directa, mientras que una conexión usando el protocolo HTTPS sí se podría llegar a interceptar, pero el flujo de datos está cifrado. ¿Con qué tipo de cifrado? Eso depende de la configuración del servidor.

El protocolo HTTP funciona en la capa de aplicación del modelo OSI, la más alta, y el protocolo HTTP en una subcapa más baja. Como comentábamos anteriormente, HTTPS está basado en HTTP y, por lo tanto, no es un protocolo diferente como tal sino con un ‘complemento’, por así decirlo, que es una capa de cifrado basado en Secure Sockets Layer o en la Capa de Transporte; la diferencia entre SSL y TLS. En todo esto, un aspecto clave es la configuración del servidor, que debe contar con un certificado firmado por una autoridad de certificación que confirma la autenticidad y la identidad. Con un certificado firmado, el servidor puede ser identificado por el navegador web y puede sentar las instrucciones de comunicación para el intercambio de la clave pública de cifrado y las claves privadas en el intercambio de paquetes de datos.

http vs https

Por qué HTTPS es más seguro que HTTP, y por qué se ha convertido en un tema de vital importancia

La diferencia fundamental, como veníamos explicando, es que el protocolo HTTPS utiliza un canal seguro para el intercambio de datos, principalmente aplicando un cifrado en el flujo de datos. Por lo tanto, y aunque podría llegar a ser interceptado el flujo de comunicación entre servidor y cliente, aún así habría protección para los datos intercambiados. Y esta protección se lleva a cabo con una clave privada intercambiada entre cliente y servidor, y adicionalmente una clave pública compartida por el servidor. En cuanto a las particularidades del cifrado, no obstante, es algo que depende de la certificación asignada al servidor.

Durante años el protocolo HTTPS se ha implementado únicamente en portales web con tratamiento de información sensible. Es decir, en comercios electrónicos o servicios bancarios, por ejemplo, que intercambian información personal con el cliente –usuario-. Pero en los últimos meses la implementación de HTTPS ha crecido y se ha generalizado por la influencia de Google sobre los desarrolladores web y webmasters. Meses atrás la compañía de Mountain View ya dio instrucciones públicas recordando que HTTPS es un requisito para el tratamiento de información bancaria y personal, desde aspectos tan básicos como incluso la dirección de correo electrónico de los usuarios –por supuesto, también la contraseña asociada-.

Ahora, los expertos en SEO llevan ya semanas asegurando que HTTPS es un factor relevante para el posicionamiento, y que Google ha arrancado las penalizaciones sobre webs que no utilizan el protocolo seguro. Anteriormente no se había alcanzado una tasa de adopción excesivamente relevante en tanto que hay millones de páginas web que no comparten datos sensibles y, por lo tanto, no era un requisito para ellos ni algo excesivamente importante. Y además, es un coste añadido para los webmaster a todos los niveles. Aún así, por el momento no demasiadas webs españolas utilizan HTTPS

Fuente > ADSLZone

Continúa leyendo
  • Cantaor de flamenco

    No solo las páginas HTTP son no seguras. La vuestra tampoco es segura por mucho que hayáis puesto HTTPS. Así me lo dice Chrome.

    https://uploads.disquscdn.com/images/f4505d0e2a58f442b4c98bc1053ea7c8724646cb599bdb659c3b669e9b1775d6.png

    • nova6k0

      Puede ser por si hubiese contenido mixto. Pero también puede ser si Chrome no tiene “Let´s Encrypt” como empresa autorizadora que emite certificados.

      A mí en la Nightly 54.0a1 de Firefox sí me aparece como página segura, certificada por “Let’s Encrypt” y ojo que Mozilla es tan estricto como Google en estos temas.

      Salu2

      • Cantaor de flamenco

        Let’s Encrypt sí que cuenta como autorizada, no es eso.