fbpx
Wikipedia

Protocolo seguro de transferencia de hipertexto

Agosto 10, 2021

El Protocolo seguro de transferencia de hipertexto (en inglés, Hypertext Transfer Protocol Secure o HTTPS) es un protocolo de aplicación basado en el protocolo HTTP, destinado a la transferencia segura de datos de hipertexto, es decir, es la versión segura de HTTP.

Protocolo seguro de transferencia de hipertexto
Función Transferencia segura de hipertexto
Puertos 443/TCP
Ubicación en la pila de protocolos
Estándares
RFC 2818 – HTTP sobre TLS
[editar datos en Wikidata]

Características técnicas

 
Muchos navegadores, incluyendo Firefox (en la imagen), usa un aviso en la barra de direcciones para indicar al usuario de quedar su conexión es segura, coloreando el fondo y con el nombre del dueño del sitio web.
 
Cuando se accede a un sitio web con un certificado común, en la barra de direcciones no se observa el dueño del sitio. En algunos navegadores, puede aparecer un símbolo de candado.

Usa TLS para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) más apropiado para el tráfico de información sensible que el protocolo HTTP. De este modo se consigue que la información sensible (usuario y claves de paso normalmente) no pueda ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexión, ya que lo único que obtendrá será un flujo de datos cifrados que le resultará imposible de descifrar.

El puerto estándar para este protocolo es el 443. (También comúnmente usado el 4433)

Historia

Netscape Communications creó HTTPS en 1992 para su navegador Netscape Navigator.[1]​ Originalmente, HTTPS era utilizado solamente con el cifrado SSL, pero este se volvió obsoleto ante TLS. HTTPS fue adoptado como un estándar web con la publicación de RFC 2818 en mayo del 2000.[2]

Diferencias con HTTP

En el protocolo HTTP las URLs comienzan con "http://" y utilizan por omisión el puerto 80, las URLs de HTTPS comienzan con "https://" y utilizan el puerto 443 por omisión.

HTTP es inseguro y está sujeto a ataques man-in-the-middle y eavesdropping que pueden permitir al atacante obtener acceso a bancos y a cuentas de un sitio web e información confidencial. HTTPS está diseñado para resistir esos ataques y ser más seguro.

Capas de red

El sistema de HTTPS opera en la capa más alta del modelo OSI, la capa de aplicación; pero el protocolo sin seguridad opera en una subcapa más baja, cifrando un mensaje HTTP previo a la transmisión y descifrando un mensaje una vez recibido. Estrictamente hablando, HTTPS no es un protocolo separado, pero refiere el uso del HTTP ordinario sobre una Capa de Conexión Segura cifrada Secure Sockets Layer (SSL) o una conexión con Seguridad de la Capa de Transporte (TLS).

Configuración del servidor

Para preparar un servidor web que acepte conexiones HTTPS, el administrador debe crear un certificado de clave pública para el servidor web. Este certificado debe estar firmado por una autoridad de certificación para que el navegador web lo acepte. La autoridad certifica que el titular del certificado es quien dice ser. Los navegadores web generalmente son distribuidos con los certificados raíz firmados por la mayoría de las autoridades de certificación por lo que estos pueden verificar certificados firmados por ellos.

Adquisición de certificados

Adquirir certificados puede ser gratuito[3][4]​ o costar entre US$13[5]​ y US$1500[6]​ por año.

Las organizaciones pueden también ser su propia autoridad de certificación, particularmente si son responsables de establecer acceso a navegadores de sus propios sitios (por ejemplo, sitios en la intranet de una empresa, o grandes universidades). Estas pueden fácilmente agregar copias de su propio certificado firmado a los certificados de confianza distribuidos con el navegador.

También existen autoridades de certificación persona a persona (peer-to-peer).

Usar un control de acceso

El sistema puede también ser usado para la autenticación de clientes con el objetivo de limitar el acceso a un servidor web a usuarios autorizados. Para hacer esto el administrador del sitio típicamente crea un certificado para cada usuario, un certificado que es guardado dentro de su navegador. Normalmente, este contiene el nombre y la dirección de correo del usuario autorizado y es revisado automáticamente en cada reconexión para verificar la identidad del usuario, potencialmente sin que cada vez tenga que ingresar una contraseña.

En caso de claves privadas comprometidas

Un certificado puede ser revocado si este ya ha expirado, por ejemplo cuando el secreto de la llave privada ha sido comprometido. Los navegadores más nuevos como son Firefox,[7]Opera,[8]​ e Internet Explorer sobre Windows Vista[9]​ implementan el Protocolo de Estado de Certificado Online (OCSP) para verificar que ese no es el caso. El navegador envía el número de serie del certificado a la autoridad de certificación o, es delegado vía OCSP y la autoridad responde, diciéndole al navegador si debe o no considerar el certificado como válido.[10]

Adopción de HTTPS

En febrero de 2017, la adopción HTTPS fue:

  • Argentina: 9,77% del total de dominios.[11]
  • España: 5,11% del total de dominios.[12]
  • México: 13.31% del total de dominios.[13]
  • Chile: 18,71% del total de dominios.[14]
  • Colombia: 4,85% del total de dominios.[15]

Desde Google se está intentando incentivar el uso de https para mejorar la seguridad de transferencia de información en internet. Actualmente, desde su navegador Chrome marcan como "no seguras" las urls bajo http y según las comunicaciones de la compañía en un futuro marcarán como "no seguras" todas las webs que no estén bajo https. Esto está aumentando la tasa de implementación de certificados SSL y cada vez más webs están bajo https.

Limitaciones

El nivel de protección depende de la exactitud de la implementación del navegador web, el software del servidor y los algoritmos de cifrado actualmente soportados. Vea la lista en Idea Principal.

También, HTTPS es vulnerable cuando se aplica a contenido estático de publicación disponible. El sitio entero puede ser indexado usando una araña web, y la URI del recurso cifrado puede ser adivinada conociendo solamente el tamaño de la petición/respuesta.[16]​ Esto permite a un atacante tener acceso al texto plano (contenido estático de publicación), y al texto cifrado (La versión cifrada del contenido estático), permitiendo un ataque criptográfico.

Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de nivel más alto, los servidores SSL solo pueden presentar estrictamente un certificado para una combinación de puerto/IP en particular[17]​ Esto quiere decir, que en la mayoría de los casos, no es recomendable usar Hosting virtual name-based con HTTPS. Existe una solución llamada Server Name Indication (SNI) que envía el hostname al servidor antes de que la conexión sea cifrada, sin embargo muchos navegadores antiguos no soportan esta extensión. El soporte para SNI está disponible desde Firefox 2, Opera 8, e Internet Explorer 7 sobre Windows Vista.[18][19][20]

Véase también

Referencias

  1. Walls, Colin (2005). Embedded software. p. 344. 
  2. Rescorla, E (mayo de 2000s). «HTTP Over TLS». Internet Engineering Task Force. Consultado el 6 de mayo de 2009. 
  3. «Certificados Gratuitos StartSSL». StartSSL. Consultado el 20 de mayo de 2009. 
  4. «Let's Encrypt - Free SSL/TLS Certificates». Consultado el 16 de octubre de 2017. 
  5. «Servicios de Certificación SSL». Go Daddy. Consultado el 6 de mayo de 2009. 
  6. «Secure Site Pro con EV». VeriSign. Consultado el 6 de mayo de 2009. 
  7. . Mozilla Foundation. 27 de abril de 2009. Archivado desde el original el 26 de mayo de 2009. Consultado el 13 de mayo de 2009. 
  8. Opera 8 lanzado en FTP. Softpedia. 19 de abril de 2005. Consultado el 13 de mayo de 2009. 
  9. Lawrence, Eric (31 de enero de 2006). «HTTPS Security Improvements en Internet Explorer 7». MSDN. Consultado el 13 de mayo de 2009. 
  10. Myers, M; Ankney, R; Malpani, A; Galperin, S; Adams, C (junio de 1999). «Online Certificate Status Protocol - OCSP». Internet Engineering Task Force. Consultado el 13 de mayo de 2009. 
  11. . Archivado desde el original el 13 de febrero de 2017. Consultado el 12 de febrero de 2017. 
  12. https://www.glasdom.es el 19 de enero de 2018 en Wayback Machine. /estadisticas-del-internet-espanol
  13. . Archivado desde el original el 13 de febrero de 2017. Consultado el 20 de febrero de 2017. 
  14. . Archivado desde el original el 13 de febrero de 2017. Consultado el 12 de febrero de 2017. 
  15. . Archivado desde el original el 13 de febrero de 2017. Consultado el 20 de febrero de 2017. 
  16. Morales, Manuel (22 de julio de 1938). . Archivado desde el original el 8 de marzo de 2009. Consultado el 11 de noviembre de 2013. 
  17. Apache FAQ: Why can't I use SSL with name-based/non-IP-based virtual hosts?
  18. MORALES, Manuel (22julio de 1938). «Upcoming HTTPS Improvements in Internet Explorer 7 Beta 2». Microsoft. Consultado el 24 de noviembre de 2013. 
  19. Server Name Indication (SNI)
  20. Mozilla 1.8

Enlaces externos

  • RFC 2818: HTTP Sobre TLS
  • Especificaciones SSL 3.0 (IETF)
  • Documentación para mod_ssl de Apache
  • Protocolo HTTPS en el desarrollo de Internet Explorer - MSDN
  • Manually Configuring Windows Communication Foundation (WCF) cuando usar HTTP y HTTPS - MSDN
  • Actualizaciones de Seguridad HTTPS en Internet Explorer 7 & su Impacto en la Compatibilidad - MSDN
  • Comunicación oficial de Google marcado webs como no seguras
  •   Datos: Q44484
  •   Multimedia: HTTPS
  •   Coordinación: HTTPS

Agosto 10, 2021
protocolo, seguro, transferencia, hipertexto, inglés, hypertext, transfer, protocol, secure, https, protocolo, aplicación, basado, protocolo, http, destinado, transferencia, segura, datos, hipertexto, decir, versión, segura, http, funcióntransferencia, segura,. El Protocolo seguro de transferencia de hipertexto en ingles Hypertext Transfer Protocol Secure o HTTPS es un protocolo de aplicacion basado en el protocolo HTTP destinado a la transferencia segura de datos de hipertexto es decir es la version segura de HTTP Protocolo seguro de transferencia de hipertextoFuncionTransferencia segura de hipertextoPuertos443 TCPUbicacion en la pila de protocolosAplicacion HTTPSTransporte SSL TLSTCPRed IPEstandaresRFC 2818 HTTP sobre TLS editar datos en Wikidata Indice 1 Caracteristicas tecnicas 2 Historia 2 1 Diferencias con HTTP 2 2 Capas de red 2 3 Configuracion del servidor 2 3 1 Adquisicion de certificados 2 3 2 Usar un control de acceso 2 3 3 En caso de claves privadas comprometidas 2 4 Adopcion de HTTPS 2 5 Limitaciones 3 Vease tambien 4 Referencias 5 Enlaces externosCaracteristicas tecnicas Editar Muchos navegadores incluyendo Firefox en la imagen usa un aviso en la barra de direcciones para indicar al usuario de quedar su conexion es segura coloreando el fondo y con el nombre del dueno del sitio web Cuando se accede a un sitio web con un certificado comun en la barra de direcciones no se observa el dueno del sitio En algunos navegadores puede aparecer un simbolo de candado Usa TLS para crear un canal cifrado cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente mas apropiado para el trafico de informacion sensible que el protocolo HTTP De este modo se consigue que la informacion sensible usuario y claves de paso normalmente no pueda ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexion ya que lo unico que obtendra sera un flujo de datos cifrados que le resultara imposible de descifrar El puerto estandar para este protocolo es el 443 Tambien comunmente usado el 4433 Historia EditarNetscape Communications creo HTTPS en 1992 para su navegador Netscape Navigator 1 Originalmente HTTPS era utilizado solamente con el cifrado SSL pero este se volvio obsoleto ante TLS HTTPS fue adoptado como un estandar web con la publicacion de RFC 2818 en mayo del 2000 2 Diferencias con HTTP Editar En el protocolo HTTP las URLs comienzan con http y utilizan por omision el puerto 80 las URLs de HTTPS comienzan con https y utilizan el puerto 443 por omision HTTP es inseguro y esta sujeto a ataques man in the middle y eavesdropping que pueden permitir al atacante obtener acceso a bancos y a cuentas de un sitio web e informacion confidencial HTTPS esta disenado para resistir esos ataques y ser mas seguro Capas de red Editar El sistema de HTTPS opera en la capa mas alta del modelo OSI la capa de aplicacion pero el protocolo sin seguridad opera en una subcapa mas baja cifrando un mensaje HTTP previo a la transmision y descifrando un mensaje una vez recibido Estrictamente hablando HTTPS no es un protocolo separado pero refiere el uso del HTTP ordinario sobre una Capa de Conexion Segura cifrada Secure Sockets Layer SSL o una conexion con Seguridad de la Capa de Transporte TLS Configuracion del servidor Editar Para preparar un servidor web que acepte conexiones HTTPS el administrador debe crear un certificado de clave publica para el servidor web Este certificado debe estar firmado por una autoridad de certificacion para que el navegador web lo acepte La autoridad certifica que el titular del certificado es quien dice ser Los navegadores web generalmente son distribuidos con los certificados raiz firmados por la mayoria de las autoridades de certificacion por lo que estos pueden verificar certificados firmados por ellos Adquisicion de certificados Editar Adquirir certificados puede ser gratuito 3 4 o costar entre US 13 5 y US 1500 6 por ano Las organizaciones pueden tambien ser su propia autoridad de certificacion particularmente si son responsables de establecer acceso a navegadores de sus propios sitios por ejemplo sitios en la intranet de una empresa o grandes universidades Estas pueden facilmente agregar copias de su propio certificado firmado a los certificados de confianza distribuidos con el navegador Tambien existen autoridades de certificacion persona a persona peer to peer Usar un control de acceso Editar El sistema puede tambien ser usado para la autenticacion de clientes con el objetivo de limitar el acceso a un servidor web a usuarios autorizados Para hacer esto el administrador del sitio tipicamente crea un certificado para cada usuario un certificado que es guardado dentro de su navegador Normalmente este contiene el nombre y la direccion de correo del usuario autorizado y es revisado automaticamente en cada reconexion para verificar la identidad del usuario potencialmente sin que cada vez tenga que ingresar una contrasena En caso de claves privadas comprometidas Editar Un certificado puede ser revocado si este ya ha expirado por ejemplo cuando el secreto de la llave privada ha sido comprometido Los navegadores mas nuevos como son Firefox 7 Opera 8 e Internet Explorer sobre Windows Vista 9 implementan el Protocolo de Estado de Certificado Online OCSP para verificar que ese no es el caso El navegador envia el numero de serie del certificado a la autoridad de certificacion o es delegado via OCSP y la autoridad responde diciendole al navegador si debe o no considerar el certificado como valido 10 Adopcion de HTTPS Editar En febrero de 2017 la adopcion HTTPS fue Argentina 9 77 del total de dominios 11 Espana 5 11 del total de dominios 12 Mexico 13 31 del total de dominios 13 Chile 18 71 del total de dominios 14 Colombia 4 85 del total de dominios 15 Desde Google se esta intentando incentivar el uso de https para mejorar la seguridad de transferencia de informacion en internet Actualmente desde su navegador Chrome marcan como no seguras las urls bajo http y segun las comunicaciones de la compania en un futuro marcaran como no seguras todas las webs que no esten bajo https Esto esta aumentando la tasa de implementacion de certificados SSL y cada vez mas webs estan bajo https Limitaciones Editar El nivel de proteccion depende de la exactitud de la implementacion del navegador web el software del servidor y los algoritmos de cifrado actualmente soportados Vea la lista en Idea Principal Tambien HTTPS es vulnerable cuando se aplica a contenido estatico de publicacion disponible El sitio entero puede ser indexado usando una arana web y la URI del recurso cifrado puede ser adivinada conociendo solamente el tamano de la peticion respuesta 16 Esto permite a un atacante tener acceso al texto plano contenido estatico de publicacion y al texto cifrado La version cifrada del contenido estatico permitiendo un ataque criptografico Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de nivel mas alto los servidores SSL solo pueden presentar estrictamente un certificado para una combinacion de puerto IP en particular 17 Esto quiere decir que en la mayoria de los casos no es recomendable usar Hosting virtual name based con HTTPS Existe una solucion llamada Server Name Indication SNI que envia el hostname al servidor antes de que la conexion sea cifrada sin embargo muchos navegadores antiguos no soportan esta extension El soporte para SNI esta disponible desde Firefox 2 Opera 8 e Internet Explorer 7 sobre Windows Vista 18 19 20 Vease tambien EditarProtocolo AAA Seguridad informatica Secure Hypertext Transfer Protocol HTTPS EverywhereReferencias Editar Walls Colin 2005 Embedded software p 344 Rescorla E mayo de 2000s HTTP Over TLS Internet Engineering Task Force Consultado el 6 de mayo de 2009 La referencia utiliza el parametro obsoleto mes ayuda Certificados Gratuitos StartSSL StartSSL Consultado el 20 de mayo de 2009 Let s Encrypt Free SSL TLS Certificates Consultado el 16 de octubre de 2017 Servicios de Certificacion SSL Go Daddy Consultado el 6 de mayo de 2009 Secure Site Pro con EV VeriSign Consultado el 6 de mayo de 2009 Politica de privacidad de Mozilla FireFox Mozilla Foundation 27 de abril de 2009 Archivado desde el original el 26 de mayo de 2009 Consultado el 13 de mayo de 2009 Opera 8 lanzado en FTP Softpedia 19 de abril de 2005 Consultado el 13 de mayo de 2009 Lawrence Eric 31 de enero de 2006 HTTPS Security Improvements en Internet Explorer 7 MSDN Consultado el 13 de mayo de 2009 Myers M Ankney R Malpani A Galperin S Adams C junio de 1999 Online Certificate Status Protocol OCSP Internet Engineering Task Force Consultado el 13 de mayo de 2009 La referencia utiliza el parametro obsoleto mes ayuda Copia archivada Archivado desde el original el 13 de febrero de 2017 Consultado el 12 de febrero de 2017 https www glasdom es Archivado el 19 de enero de 2018 en Wayback Machine estadisticas del internet espanol Copia archivada Archivado desde el original el 13 de febrero de 2017 Consultado el 20 de febrero de 2017 Copia archivada Archivado desde el original el 13 de febrero de 2017 Consultado el 12 de febrero de 2017 Copia archivada Archivado desde el original el 13 de febrero de 2017 Consultado el 20 de febrero de 2017 Morales Manuel 22 de julio de 1938 The Pirate Bay un SSL Archivado desde el original el 8 de marzo de 2009 Consultado el 11 de noviembre de 2013 Apache FAQ Why can t I use SSL with name based non IP based virtual hosts MORALES Manuel 22julio de 1938 Upcoming HTTPS Improvements in Internet Explorer 7 Beta 2 Microsoft Consultado el 24 de noviembre de 2013 Server Name Indication SNI Mozilla 1 8Enlaces externos EditarRFC 2818 HTTP Sobre TLS Especificaciones SSL 3 0 IETF Documentacion para mod ssl de Apache Protocolo HTTPS en el desarrollo de Internet Explorer MSDN Manually Configuring Windows Communication Foundation WCF cuando usar HTTP y HTTPS MSDN Actualizaciones de Seguridad HTTPS en Internet Explorer 7 amp su Impacto en la Compatibilidad MSDN Comunicacion oficial de Google marcado webs como no seguras Probador online de HTTP 3 Datos Q44484 Multimedia HTTPS Coordinacion HTTPSObtenido de https es wikipedia org w index php title Protocolo seguro de transferencia de hipertexto amp oldid 137198157, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos