Protocolo de transferencia de hipertexto seguro

Protocolo de transferencia de hipertexto seguro Información

Función	Transmisión de hipertexto
Acrónimo	HTTPS
Fecha de creación	1994
Puerto	443
RFC	2000  : RFC  2818

El Protocolo de transferencia de hipertexto seguro ( HTTPS , literalmente "  protocolo de transferencia de hipertexto seguro") es la combinación de HTTP con una capa de cifrado como SSL o TLS .

HTTPS permite a los visitantes verificar la identidad del sitio web al que accede a través de un certificado de autenticación emitido por una tercera autoridad, considerada confiable (y generalmente parte de la lista blanca de navegadores web ). En teoría, garantiza la confidencialidad e integridad de los datos enviados por el usuario (en particular información ingresada en formularios ) y recibidos del servidor . Se puede utilizar para validar la identidad del visitante, si este último también utiliza un certificado de autenticación de cliente .

HTTPS se utilizó inicialmente principalmente para transacciones financieras en línea: comercio electrónico , banca en línea , corretaje en línea, etc. También se utiliza para consultar datos privados, como correos electrónicos , por ejemplo.

En 2016, una campaña de Electronic Frontier Foundation , respaldada por desarrolladores de navegadores web , ayudó a que el protocolo fuera mucho más popular. HTTPS ahora se usa con más frecuencia por los usuarios web que el HTTP no seguro original, principalmente para proteger la autenticidad de las páginas en todo tipo de sitios web, cuentas seguras y para mantener las comunicaciones de los usuarios, la identidad y la navegación web privada.

Desde principios de la década de 2010 , HTTPS también se ha generalizado en las redes sociales .

De forma predeterminada, los servidores HTTPS están conectados al puerto TCP 443.

En enero 2017, Google Chrome y Mozilla Firefox han comenzado a identificar y denunciar sitios web que recopilan información confidencial sin utilizar el protocolo HTTPS. Este cambio está destinado a aumentar significativamente el uso de HTTPS. Enfebrero de 2017, el protocolo de seguridad HTTPS fue utilizado por aproximadamente el 16,28% de la Internet francesa.

Histórico

Netscape creó HTTPS en 1994 para su Netscape Navigator . HTTPS se usó inicialmente con SSL, este último se convirtió en TLS , HTTPS ahora usa TLS. Esto se especifica en RFC 2818 enMayo de 2000.

Google anunció en febrero 2018 que su navegador mostraría sitios HTTP como "inseguros" desde el mes de julio 2018. Esto precipitó la adopción de HTTPS por parte de los sitios web para evitar la pérdida de tráfico.

Principio de funcionamiento

Descripción informal  : el protocolo es idéntico al protocolo web HTTP habitual , pero con un ingrediente adicional llamado TLS que funciona simplemente así:

• el cliente - por ejemplo, el navegador web - contacto con un servidor - por ejemplo, Wikipedia - y solicita una conexión segura, presentándolo con una serie de métodos de cifrado de conexión (cifrado suites );
• le serveur répond en confirmant pouvoir dialoguer de manière sécurisée et en choisissant dans cette liste une méthode de chiffrement et surtout, en produisant un certificat garantissant qu'il est bien le serveur en question et pas un serveur pirate déguisé (on parle de l'homme del medio).
  Estos certificados electrónicos son emitidos por una autoridad de terceros en la que todos confían, un poco como un notario en la vida cotidiana, y el cliente ha podido verificar con esta autoridad que el certificado es auténtico (hay otras variantes, pero esta es el principio general).
  El certificado también contiene una especie de candado (la llamada clave pública) que permite tomar un mensaje y mezclarlo con este candado para hacerlo completamente secreto y solo descifrable por el servidor que emitió este candado (gracias a un tan -llamada clave privada, que solo posee el servidor, hablamos de cifrado asimétrico );
• esto permite al cliente enviar en secreto un código (una clave simétrica ) que se mezclará en todos los intercambios entre el servidor y el cliente para que todo el contenido de la comunicación, incluida la dirección del sitio web en sí, la URL  , estén encriptados. Para ello, se mezcla el contenido con el código, lo que da un mensaje indescifrable y, al llegar, rehaciendo la misma operación con este mensaje se devuelve el contenido en claro, como en un espejo.

En resumen: el servidor y el cliente se han reconocido, han elegido una forma de cifrar la comunicación y se han pasado un código (clave de cifrado simétrico) entre sí de forma cifrada.

HTTPS y piratería

La seguridad de la información transmitida por HTTPS se basa en el uso de un algoritmo de encriptación , y el reconocimiento de validez del certificado de autenticación del sitio visitado.

Suponiendo que los usuarios de Internet rara vez especifican el tipo de protocolo en las URL (históricamente se ha seleccionado HTTP de forma predeterminada) y simplemente siguen los enlaces, un investigador de seguridad informática conocido con el seudónimo de Moxie Marlinspike ha desarrollado un tipo de ataque del intermediario ( "man in el medio " en inglés), para evitar el cifrado de HTTPS. El pirata informático se coloca entre el cliente y el servidor y cambia los enlaces de https: a http:, por lo que el cliente envía su información de forma clara a través del protocolo HTTP y no HTTPS. Este tipo de ataque fue presentado por Marlinspike en la Blackhat Conference 2009 . Durante esta charla, Marlinspike no solo presentó cómo funciona el ataque, sino también algunas estadísticas de uso. Logró recuperar varios cientos de identificaciones , información personal y números de tarjetas bancarias en 24 horas, sin que nadie sospechara que el ataque estaba en curso.

Otro hombre en el medio del ataque se implementó en julio de 2011 , al obtener de manera fraudulenta certificados válidos de la antigua autoridad de certificación DigiNotar , que había sido pirateada. Este ataque se utilizó para configurar sitios de Google falsos (certificado fraudulento para dominios * .google.com ) y así espiar la consulta de varias cuentas de GMail de usuarios iraníes .

En septiembre de 2011 , Duong y Rizzo, dos investigadores de seguridad informática, presentaron en la Ekoparty Security Conference un nuevo tipo de ataque, esta vez basado en el descifrado de paquetes transmitidos por la red. Este ataque utiliza una vulnerabilidad de cifrado del protocolo Cipher Block Chaining TLS 1.0, conocida desde hace mucho tiempo. Para aprovechar esta vulnerabilidad, es necesario insertar en la página consultada un código Javascript comunicando el valor de la cookie de sesión a un rastreador de paquetes de red, para utilizarlo para descifrar el resto de la comunicación.

Solo los sitios que admiten el cifrado TLS versión 1.0 se ven afectados por esta vulnerabilidad; sin embargo en la fecha deseptiembre 2011, esto afecta a la gran mayoría de los sitios debido a la renuencia de los sitios y navegadores a implementar las versiones 1.1 y 1.2 de TLS.

HTTPS y NSA

En Septiembre 2013, varios periódicos revelan, gracias a documentos proporcionados por Edward Snowden , que la NSA , a través de su programa Bullrun , busca romper o debilitar el protocolo HTTPS o sus implementaciones por parte de los fabricantes de hardware y software, haciéndolo accesible en claro a los servicios estadounidenses de muchas comunicaciones. aún encriptado.

A principios de 2014, una vulnerabilidad dirigida a todos los dispositivos Apple con iOS 6/7 y Mac OS X 10.9, que permitía a aquellos que tenían los medios para explotarla, corromper el cifrado HTTPS (o más particularmente las tecnologías TLS / SSL ), fue corregida por La firma. Algunos rumores apuntan a que esta vulnerabilidad fue utilizada por la NSA , o incluso que fue la organización gubernamental la que solicitó la ayuda de Apple para crear esta vulnerabilidad (lo que la empresa niega).

HSTS

HTTP Strict Transport Security (HSTS) es un mecanismo de política de seguridad propuesto, que permite a un servidor web declarar a un agente de usuario compatible (como un navegador web ) que debe interactuar con él mediante una conexión segura (como HTTPS). Por lo tanto, el servidor comunica la política al agente de usuario, a través de la respuesta HTTP, en el campo de encabezado denominado "  Strict-Transport-Security  ". La política especifica un período de tiempo durante el cual el agente de usuario debe acceder al servidor solo de manera segura.

https

HTTPS, debido a que está encriptado, no permite que un servidor intermedio tenga una memoria caché que almacene información. Por tanto, el navegador no puede mostrar la información sin solicitarla directamente al servidor.

Notas y referencias

1. "  Introducción a SSL  " , en Google Livre ,18 de octubre de 2005(consultado el 4 de noviembre de 2014 )
2. (en) "  HTTP sobre TLS  " Petición de observaciones n o  2818,Mayo de 2000.
3. (en) "  Cifrando la Web  " en Electronic Frontier Foundation ,2016(consultado el 1 st de enero de 2.021 )
4. (en) "  HTTP, HTTPS, SSL, TLS Over  " ,noviembre de 2019(consultado el 19 de noviembre de 2019 )
5. (en-US) "  Hacia una Web más segura  " , Blo de seguridad en línea de Google ,8 de septiembre de 2016( leer en línea , consultado el 2 de febrero de 2017 )
6. "  Estadísticas de la Internet francesa. udomo.fr  ” , en www.udomo.fr (consultado el 2 de febrero de 2017 )
7. "  Una web segura llegó para quedarse  " [ archivo de24 de abril de 2019] , en Chromium Blog (consultado el 22 de abril de 2019 )
8. https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf .
9. https://www.orange-business.com/fr/blogs/securite/webtech/https-pwned
10. Dan Goodin, "Los  piratas informáticos rompen el cifrado SSL utilizado por millones de sitios  " , en theregister.co.uk ,19 de septiembre de 2011(consultado el 1 st de septiembre de 2020 ) .
11. "  cifrado SSL ruptura hackers que utilizan millones de sitios  " en journaldunet.com (consultado el 1 er de septiembre de 2020 ) .
12. Dan Goodin, "Los  piratas informáticos rompen el cifrado SSL utilizado por millones de sitios  " , en theregister.co.uk ,19 de septiembre de 2011(consultado el 1 st de septiembre de 2020 ) .
13. Le Monde.fr, "  Asunto Snowden: cómo la NSA frustra el cifrado de las comunicaciones  " , en Le Monde.fr ,5 de septiembre de 2013(consultado el 6 de septiembre de 2013 ) .
14. "  Por qué la falla 'goto fail' en el sistema operativo de Apple es muy grave  " , Journal du net ,24 de febrero de 2014( leer en línea )
15. Olivier, "  Ir a fallar: después de iOS, Apple finalmente elimina la falla de SSL en OS X  ", Journal du geek ,26 de febrero de 2014( leer en línea )
16. (en) Charles Arthur, "  Vulnerabilidad SSL del iPhone de Apple: ¿cómo sucedió y qué sigue?  " , The Guardian ,25 de febrero de 2014( leer en línea )

Ver también

Artículos relacionados

• HTTP
• SSL
• SSH
• HSTS
• Suite criptográfica

enlaces externos

• Aviso en un diccionario o enciclopedia general  :
  • Tienda norske leksikon