¿Que es y para que sirve el protocolo HTTPS?

HTTPS (Protocolo Seguro de Transferencia Hipertexto) funciona desde el puerto 443 y utiliza un cifrado basado en SSL/TLS con el fin de crear un canal cifrado entre el cliente y el servidor. SSL (Secure Sockets Layer) y TLS (Transmission Layer Security) son dos protocolos utilizados para enviar paquetes cifrados a través de Internet. Se pueden utilizar para más de un protocolo, no sólo con HTTP. HTTP + SSL/TLS = HTTPS.

Cómo funciona

HTTP funciona en la capa de aplicación (séptima capa) del Modelo OSI, que es la capa más alta. Sin embargo, el cifrado que da lugar a HTTPS, se realiza en una capa más baja, mediante SSL/TLS. HTTPS se basa en el sistema de clave pública y clave privada. El administrador de un servidor Web (yo, en el caso de Geeky Blogs) debe crear un certificado de clave pública, el cual debe estar firmado por una autoridad de certificación. Si no está firmado, el navegador Web no lo aceptará y nos dirá que el sitio no es seguro. Si el sitio es seguro, veremos un candado cerrado en la URL del navegador. Por ejemplo en Google Chrome se ve así:

Cómo funciona

HTTP funciona en la capa de aplicación (séptima capa) del Modelo OSI, que es la capa más alta. Sin embargo, el cifrado que da lugar a HTTPS, se realiza en una capa más baja, mediante SSL/TLS. HTTPS se basa en el sistema de clave pública y clave privada. El administrador de un servidor Web (yo, en el caso de Geeky Blogs) debe crear un certificado de clave pública, el cual debe estar firmado por una autoridad de certificación. Si no está firmado, el navegador Web no lo aceptará y nos dirá que el sitio no es seguro. Si el sitio es seguro, veremos un candado cerrado en la URL del navegador. Por ejemplo en Google Chrome se ve así:

Para qué usar HTTPS

No es complicado mencionar varias razones por las que es preferible usar HTTPS antes que HTTP. Al cifrar la comunicación entre cliente y servidor, evitamos los ataques man-in-the-middle o eavesdropping, mediante los cuales un atacante podría obtener por ejemplo, nuestro usuario y contraseña de un sitio web porque irían en texto plano.
He montado un Wordpress en una máquina virtual y he hecho un ataque man-in-the-middle para ver cómo se transmiten el usuario y la contraseña al acceder con un usuario de prueba. El nombre de usuario ha sido usuariodeprueba y la contraseña passdeprueba. Con Wireshark he "escuchado" la comunicación y he visto la transferencia de mensajes en texto plano. Aquí tenéis una captura en la que se ven perfectamente el nombre usuario y la contraseña:

¿Lo utilizan GMAIL y HOTMAILalgun protocolo HTTP , HTTPS ? 
 Gmail permita utilizar el protocolo HTTPS no es una novedad, de hecho, la opción está ahí desde hace bastante tiempo, sin embargo, ahora han decidido hacerlo obligatorio para todos los usuarios del servicio.
De modo que a partir de ahora todos tendremos que utilizar un protocolo seguro cada vez que vayamos a comprobar el correo. Evitando así, que cualquier atacante pueda interceptar nuestras comunicaciones. Esta medida se suma a las otras ya tomadas por la empresa del buscador para mejorar la seguridad de sus sistemas. Recordemos que no hace demasiado tiempo, conocimos gracias a los documentos filtrados, que la NSA habría accedido a las comunicaciones internas de la empresa y por tanto a los datos de los usuarios.    CAPTURA DE PANTALLA DE UNA PAG. QUE UTILIZA HTTPS
  

Comentarios