De esta manera, HTTPS tiene un papel fundamental en la protección de los sitios web que manejan o transfieren datos confidenciales —incluidos los de servicios bancarios en línea, proveedores de correo electrónico, minoristas en línea, proveedores de atención médica, entre otros—. En pocas palabras, cualquier sitio web que requiera credenciales de inicio de sesión o involucre transacciones financieras debe usar HTTPS para garantizar la seguridad de los usuarios, de las transacciones y los datos.

HTTP vs. HTTPS

Resulta muy fácil que un actor malicioso suplante, modifique o monitoree una conexión HTTP; por ello, HTTPS brinda la protección necesaria, al cifrar todos los intercambios entre un navegador web y un servidor web. Como resultado, HTTPS garantiza que nadie pueda alterar estas transacciones, asegurando la privacidad de los usuarios y evitando que la información confidencial quede expuesta a terceros.

Sin embargo, no se debe entender que HTTPS sea un protocolo separado de HTTP. Es más bien una variante que utiliza el cifrado Transport Layer Security (TLS) /Secure Sockets Layer (SSL) sobre HTTP para proteger las comunicaciones. Cuando un servidor web y un navegador web se comunican entre sí a través de HTTPS, se involucran en lo que se conoce como un “apretón de manos” —es decir un intercambio de certificados TLS/SSL—, para verificar la identidad del proveedor y proteger tanto al usuario como a sus datos.

Una URL HTTPS comienza con https:// en lugar de http://. La mayoría de los navegadores web evidencian que son un sitio seguro al mostrar el símbolo de un candado cerrado a la izquierda de la URL en la barra de direcciones. En algunos navegadores, los usuarios pueden hacer clic en dicho candado para verificar si el certificado digital de un sitio web habilitado para HTTPS incluye la información de identificación sobre el propietario del sitio web (como su nombre o el de la empresa).

Ventajas del HTTPS

Como lo hemos explicado anteriormente, en HTTP la información compartida en un sitio web puede ser interceptada por cualquier espía. Esto implica un gran riesgo si el usuario accede al sitio web a través de una red no segura, como una red wifi pública.

HTTPS garantiza que todas las comunicaciones entre el navegador web del usuario y un sitio web estén completamente encriptadas. Incluso, si los ciberdelincuentes llegaran a interceptar el tráfico, lo que recibirían sería información distorsionada.

Certificados digitales en HTTPS

Un certificado digital es un archivo electrónico que está vinculado a un par de claves criptográficas y autentica la identidad de un sitio web, individuo, organización, usuario, dispositivo o servidor. También se conoce como certificado de clave pública o de identidad. Contiene el asunto —que es la pieza de identidad— y una firma digital.

Los certificados digitales garantizan tanto la identidad como el cifrado seguro y son la base para implementar la seguridad de la infraestructura de clave pública (PKI).

HTTPS se basa en el protocolo de encriptación TLS, el cual utiliza una infraestructura de clave pública asimétrica para el cifrado; es decir que utiliza dos claves diferentes:

• La clave privada: es controlada y mantenida por el propietario del sitio web y reside en el servidor web. Descifra la información que está cifrada por la clave pública.
• La clave pública: está disponible para los usuarios que desean interactuar de forma segura con el servidor, a través de su navegador web. La información cifrada por la clave pública solo puede ser descifrada por la clave privada.

Cómo funciona HTTPS

Antes de iniciar una transferencia de datos en HTTPS, el navegador y el servidor deciden los parámetros de conexión, realizando un protocolo de enlace SSL/TLS. El “apretón de manos” también es importante para establecer una conexión segura.

El proceso se desarrolla de la siguiente forma:

1. El navegador del cliente y el servidor web intercambian mensajes de saludo.
2. Ambas partes comunican sus estándares de cifrado entre sí.
3. El servidor comparte su certificado con el navegador.
4. El cliente verifica la validez del certificado.
5. El cliente utiliza la clave pública para generar una clave secreta premaestra.
6. Esta clave secreta se cifra con la clave pública y se comparte con el servidor.
7. El cliente y el servidor calculan la clave simétrica en función del valor de la clave secreta.
8. Ambas partes confirman que han calculado la clave secreta.
9. La transmisión de datos utiliza encriptación simétrica.

Un ejemplo de cómo funciona el HTTPS

Un cliente visita el sitio web de comercio electrónico de un minorista para comprar un artículo. Cuando está listo para realizar un pedido, se le dirige a la página de pedido del producto, la cual en su URL comienza con https:// y no con http://.

Para realizar el pedido, se le solicita al cliente que introduzca algunos datos personales (por ejemplo, su nombre y dirección de envío), así como datos financieros (número de tarjeta de crédito, fecha de vencimiento, entre otros). HTTPS encripta estos datos para garantizar que no puedan ser comprometidos o robados por una parte no autorizada, como un pirata informático o un ciberdelincuente.

Luego, el pedido realizado llega al servidor, en donde se procesa. Una vez que el pedido se realiza con éxito, el usuario recibe un reconocimiento del servidor, que también viaja en forma encriptada y se muestra en su navegador web. Este reconocimiento es descifrado por la subcapa HTTPS del navegador.

HTTPS y la triada de la CIA

HTTPS garantiza la triada CIA: confidencialidad, integridad y disponibilidad; un elemento fundamental en la seguridad de la información:

• HTTPS encripta la conexión del visitante del sitio web y oculta cookies, URL y otros tipos de metadatos confidenciales.
• HTTPS garantiza que ningún pirata informático pueda alterar o modificar los datos transferidos entre el visitante y el sitio web.
• HTTPS asegura que el usuario acceda al sitio web real y no a una versión falsa.

¿Tiene dudas o quiere adquirir nuestros productos? En AXESS estamos dispuestos a brindarle soluciones a la medida de sus necesidades y de sus requerimientos empresariales.