¿Qué es HTTPS?

Un sitio web seguro se ha convertido en una importante señal de confianza para los usuarios de Internet. Ver un símbolo de candado en la barra de direcciones del navegador ofrece a las personas que utilizan sitios web un grado de seguridad de que el sitio web es legítimo y seguro. 

Internet se basa en protocolos, incluido el protocolo de transferencia de hipertexto (HTTP). Una S en el HTTP de la URL de un sitio web, es decir, HTTPS, indica que el sitio utiliza la versión segura de HTTP, es decir, S significa seguro. HTTPS (protocolo de transferencia de hipertexto seguro) se utilizó originalmente para proteger los inicios de sesión online y garantizar que las transacciones bancarias y de compras online fueran seguras. Sin embargo, en 2014, Google aumentó el riesgo de HTTPS mediante el uso de HTTPS como señal de clasificación. El efecto en la adopción de HTTPS fue espectacular, y hoy alrededor del 80 % de todos los sitios web utilizan HTTPS.

HTTPS y el protocolo de seguridad relacionado, SSL (Secure Sockets Layer), fueron publicados por Netscape en 1994 para proteger el navegador Netscape.

Las conexiones HTTPS facilitan dos funciones esenciales para ayudar a establecer confianza y crear conexiones seguras en Internet:

• Autenticación del sitio web: Esto autentica un sitio web para que el usuario sepa que se ha comprobado la legitimidad del sitio; por ejemplo, apple.com es el sitio web de la empresa Apple Inc.
• Cifrado de datos: Los sitios web HTTPS utilizan el protocolo Seguridad en la capa de transporte (TLS) (el sucesor de SSL) para cifrar el tráfico web, protegiendo la información confidencial entre un cliente (por ejemplo, un navegador web) y un servidor web. Por ejemplo, si compra algo online y envía los datos de su tarjeta de crédito para realizar la compra, si el sitio es HTTPS, esos datos se enviarán en formato cifrado, en lugar de texto sin formato al servidor web.

El HTTPS se basa en una tecnología llamada infraestructura de clave pública (PKI). La PKI se basa en criptografía de clave pública y una firma digital. El propietario del sitio web crea un "par de claves" y la clave pública se envía a una autoridad de confianza conocida como ·autoridad de certificación" (CA). Esta autoridad firma la clave pública, que produce un documento conocido como certificado digital. El sitio web contiene ahora una clave privada y un certificado SSL, que contiene la clave pública. La clave pública verifica todo lo firmado por la clave privada. El certificado digital proporciona una cadena de confianza y validación de que el sitio web es auténtico. El HTTPS funciona junto con un protocolo de seguridad (SSL/TLS) para cifrar y descifrar comunicaciones y datos confidenciales entre el navegador web y el servidor web.

El flujo de solicitud-respuesta del protocolo HTTPS comienza de la misma manera que el de HTTP. Sin embargo, se utiliza un paso intermedio, el paso 1.5, para diferenciar los dos flujos:

Paso 1: Navegación e iniciación

El usuario escribe una dirección web en un navegador o hace clic en un enlace de un correo electrónico u otra comunicación. La dirección contiene un localizador uniforme de recursos (URL), que contiene HTTP para informar al explorador de que utilice HTTP para obtener el documento que representa la URL.

Paso 1.5: La danza criptográfica

El paso 1.5 implica que el navegador y el servidor web realicen una "danza criptográfica". Esto implica el intercambio de mensajes cifrados. Los pasos requieren que las funciones criptográficas complejas se lleven a cabo mediante el protocolo TLS, utilizando el par de claves pública-privada del servidor web generado a través de la autoridad de certificación (CA). Este paso autentica el sitio web y crea dos claves nuevas (claves de sesión), una para el cliente y otra para el servidor. Estas claves de sesión se utilizan para cifrar y descifrar los mensajes.

Paso 2: El cliente envía un mensaje de solicitud HTTP al servidor

El paso 2 es el mismo que el del flujo de solicitud-respuesta de HTTP. El cliente, por ejemplo, el navegador, construye un mensaje de solicitud que se dirige al servidor web. El mensaje incluye información adicional sobre la solicitud, como quién es la entidad solicitante. Sin embargo, a diferencia de HTTP, después de escribir el mensaje de solicitud y antes de que el explorador pueda enviar el mensaje, la solicitud HTTP(S) debe utilizar la clave de sesión para cifrar el mensaje.

Paso 3: El servidor web envía la respuesta HTTPS de vuelta al cliente

Una vez recibida la solicitud, el servidor web utiliza su clave de sesión para descifrar y leer el mensaje. A continuación, el servidor web crea un mensaje de respuesta, que cifra mediante la clave de sesión antes de enviarlo de vuelta al navegador.

Paso 4: Mensaje representado por el explorador

Al recibir el mensaje cifrado, el navegador utiliza su clave de sesión para descifrar y leer el mensaje. La parte final de este paso es que el navegador representa el mensaje de respuesta y muestra la página web en el navegador.

Sin HTTPS, los usuarios de Internet y los datos intercambiados online entre clientes (por ejemplo, navegadores) y un servidor web corren el riesgo de:

Ataques de interceptación: HTTPS utiliza el protocolo TLS para cifrar las comunicaciones. Incluso si los atacantes interceptan la comunicación, no pueden descifrar ni robar los datos.

Robo de credenciales: el 54 % de los incidentes de seguridad se debe al robo de credenciales, según un informe de Ponemon. Si un sitio web tiene HTTPS implementado correctamente, todos los datos enviados a través de ese sitio web (por ejemplo, las credenciales de inicio de sesión) estarán seguros, ya que están cifrados.

Disminución de la confianza: los sitios web que indican que son HTTPS han recibido un certificado digital de una CA de confianza. La CA realiza comprobaciones de diligencia debida en la empresa durante la emisión del certificado. Sin embargo, se debe seguir utilizando precaución, según las estadísticas del Grupo de trabajo antiphishing (APWG), el 83 % de los sitios de phishing utilizan HTTPS.