Comunicaciones seguras I. HTTPS

Es raro el día que cualquiera de nosotros no realiza una navegación web por Internet, como puede ser con la lectura de esta entrada. Aunque no consultemos nada en diferentes portales web y solo nos limitemos a utilizar, por ejemplo, redes sociales, estaremos accediendo a Internet y, como en todo, es necesario hacerlo con seguridad.
En esta entrada hablaremos de como funciona el protocolo HTTPS, encargado de mucha de la protección de los datos que circulan por Internet.

Aunque ya hay muchas webs que implementan seguridad por defecto, existen otras que no lo hacen. O dicho de otra forma, implementan el protocolo “HTTP”. Esto significa que los datos que navegan entre nuestro equipo y el servidor de destino van en texto plano. En este caso, si un atacante interceptara nuestra comunicación, podría ver lo que estamos consultando, incluyendo datos personales, contraseñas, datos bancarios, etc.

Para corregir el problema se desarrollo “HTTPS”. Esto es un protocolo de comunicación que agrega integridad y confidencialidad a los datos protegiendo la conexión. Esto es realizado mediante el protocolo TLS (antiguamente SSL) en la capa de transporte.

El objetivo de todos los servicios web de Internet es que adopten esta medida para proteger las comunicaciones, ya sea una migración desde HTTP o siendo nuevos servicios. Es importante revisar que al visitar una pagina web se muestre “https”, esto nos marcara que los datos serán protegidos pero OJO! No es determinante, pueden existir páginas maliciosas con “https”!

Como se ha mencionado anteriormente, HTTPS utiliza los protocolos SSL/TLS para proteger la comunicación. Esto se basa en el intercambio de claves público-privada entre los dos extremos que comunican, por un lado, el cliente y por otro el servidor.

El proceso de intercambio de claves, así como la encriptación de la comunicación y la integridad de esta, se produce por la aplicación de diferentes tecnologías, como RSA o Diffie-Hellman para el intercambio de claves, AES para la encriptación o SHA para la integridad de la comunicación.

En adición de la propia configuración de SSL/TLS del servidor, el administrador de la web tendrá que configurar un certificado de clave pública firmado por una entidad de confianza. Si el certificado no ha sido validado por una entidad reconocida o la comunicación ha sido alterada, nos mostrará un error de seguridad.