Protocolo de transferencia de hipertexto seguro



Toda aquella información que hemos sido capaces de recoger a cerca de Protocolo de transferencia de hipertexto seguro ha sido atentamente repasada y ordenada con la finalidad de que te resulte de lo más útil. Posiblemente no erramos si decimos que has llegado hasta aquí tratando de conocer alguna cosa más acerca de Protocolo de transferencia de hipertexto seguro. Con frecuencia es fácil extraviarse por la red en la espesa jungla de webs que hablan sobre Protocolo de transferencia de hipertexto seguro y que, a pesar de todo, no aportan aquello que deseamos conocer relativo a Protocolo de transferencia de hipertexto seguro. Es a causa de este motivo que confiamos que si la información que te ofrecemos a continuación relativo a Protocolo de transferencia de hipertexto seguro te es útil, nos lo hagas saber en los comentarios. Asimismo, si aquella información acerca de Protocolo de transferencia de hipertexto seguro que te estamos aportando no es lo que estabas buscando, también ponlo en nuestro conocimiento, de ese modo nos será posible perfeccionar día a día esta Gran Enciclopedia.

Protocolo de transferencia de hipertexto seguro
software
Información
Función Transmisión de hipertexto
Acrónimo HTTPS
Fecha de creación 1994
Puerto 443
RFC 2000  : RFC  2818

El Protocolo de transferencia de hipertexto seguro ( HTTPS , literalmente "  protocolo de transferencia de hipertexto seguro") es la combinación de HTTP con una capa de cifrado como SSL o TLS .

HTTPS permite a los visitantes verificar la identidad del sitio web al que accede a través de un certificado de autenticación emitido por una tercera autoridad, considerada confiable (y generalmente parte de la lista blanca de navegadores web ). En teoría, garantiza la confidencialidad e integridad de los datos enviados por el usuario (en particular información ingresada en formularios ) y recibidos del servidor . Se puede utilizar para validar la identidad del visitante, si este último también utiliza un certificado de autenticación de cliente .

HTTPS se utilizó inicialmente principalmente para transacciones financieras en línea: comercio electrónico , banca en línea , corretaje en línea, etc. También se utiliza para consultar datos privados, como correos electrónicos , por ejemplo.

En 2016, una campaña de Electronic Frontier Foundation , respaldada por desarrolladores de navegadores web , ayudó a que el protocolo fuera mucho más popular. HTTPS ahora se usa con más frecuencia por los usuarios web que el HTTP no seguro original, principalmente para proteger la autenticidad de las páginas en todo tipo de sitios web, cuentas seguras y para mantener las comunicaciones de los usuarios, la identidad y la navegación web privada.

Desde principios de la década de 2010 , HTTPS también se ha generalizado en las redes sociales .

De forma predeterminada, los servidores HTTPS están conectados al puerto TCP 443.

En , Google Chrome y Mozilla Firefox han comenzado a identificar y denunciar sitios web que recopilan información confidencial sin utilizar el protocolo HTTPS. Este cambio está destinado a aumentar significativamente el uso de HTTPS. En, el protocolo de seguridad HTTPS fue utilizado por aproximadamente el 16,28% de la Internet francesa.

Histórico

Netscape creó HTTPS en 1994 para su Netscape Navigator . HTTPS se usó inicialmente con SSL, este último se convirtió en TLS , HTTPS ahora usa TLS. Esto se especifica en RFC 2818 en.

Google anunció en que su navegador mostraría sitios HTTP como "inseguros" desde el mes de . Esto precipitó la adopción de HTTPS por parte de los sitios web para evitar la pérdida de tráfico.

Principio de funcionamiento

Descripción informal  : el protocolo es idéntico al protocolo web HTTP habitual , pero con un ingrediente adicional llamado TLS que funciona simplemente así:

  • el cliente - por ejemplo, el navegador web - contacto con un servidor - por ejemplo, Wikipedia - y solicita una conexión segura, presentándolo con una serie de métodos de cifrado de conexión (cifrado suites );
  • le serveur répond en confirmant pouvoir dialoguer de manière sécurisée et en choisissant dans cette liste une méthode de chiffrement et surtout, en produisant un certificat garantissant qu'il est bien le serveur en question et pas un serveur pirate déguisé (on parle de l'homme del medio).
    Estos certificados electrónicos son emitidos por una autoridad de terceros en la que todos confían, un poco como un notario en la vida cotidiana, y el cliente ha podido verificar con esta autoridad que el certificado es auténtico (hay otras variantes, pero esta es el principio general).
    El certificado también contiene una especie de candado (la llamada clave pública) que permite tomar un mensaje y mezclarlo con este candado para hacerlo completamente secreto y solo descifrable por el servidor que emitió este candado (gracias a un tan -llamada clave privada, que solo posee el servidor, hablamos de cifrado asimétrico );
  • esto permite al cliente enviar en secreto un código (una clave simétrica ) que se mezclará en todos los intercambios entre el servidor y el cliente para que todo el contenido de la comunicación, incluida la dirección del sitio web en sí, la URL , estén encriptados. Para ello, se mezcla el contenido con el código, lo que da un mensaje indescifrable y, al llegar, rehaciendo la misma operación con este mensaje se devuelve el contenido en claro, como en un espejo.

En resumen: el servidor y el cliente se han reconocido, han elegido una forma de cifrar la comunicación y se han pasado un código (clave de cifrado simétrico) entre sí de forma cifrada.

HTTPS y piratería

La seguridad de la información transmitida por HTTPS se basa en el uso de un algoritmo de encriptación , y el reconocimiento de validez del certificado de autenticación del sitio visitado.

Suponiendo que los usuarios de Internet rara vez especifican el tipo de protocolo en las URL (históricamente se ha seleccionado HTTP de forma predeterminada) y simplemente siguen los enlaces, un investigador de seguridad informática conocido con el seudónimo de Moxie Marlinspike ha desarrollado un tipo de ataque del intermediario ( "man in el medio " en inglés), para evitar el cifrado de HTTPS. El pirata informático se coloca entre el cliente y el servidor y cambia los enlaces de https: a http:, por lo que el cliente envía su información de forma clara a través del protocolo HTTP y no HTTPS. Este tipo de ataque fue presentado por Marlinspike en la Blackhat Conference 2009 . Durante esta charla, Marlinspike no solo presentó cómo funciona el ataque, sino también algunas estadísticas de uso. Logró recuperar varios cientos de identificaciones , información personal y números de tarjetas bancarias en 24 horas, sin que nadie sospechara que el ataque estaba en curso.

Otro hombre en el medio del ataque se implementó en julio de 2011 , al obtener de manera fraudulenta certificados válidos de la antigua autoridad de certificación DigiNotar , que había sido pirateada. Este ataque se utilizó para configurar sitios de Google falsos (certificado fraudulento para dominios * .google.com ) y así espiar la consulta de varias cuentas de GMail de usuarios iraníes .

En septiembre de 2011 , Duong y Rizzo, dos investigadores de seguridad informática, presentaron en la Ekoparty Security Conference un nuevo tipo de ataque, esta vez basado en el descifrado de paquetes transmitidos por la red. Este ataque utiliza una vulnerabilidad de cifrado del protocolo Cipher Block Chaining TLS 1.0, conocida desde hace mucho tiempo. Para aprovechar esta vulnerabilidad, es necesario insertar en la página consultada un código Javascript comunicando el valor de la cookie de sesión a un rastreador de paquetes de red, para utilizarlo para descifrar el resto de la comunicación.

Solo los sitios que admiten el cifrado TLS versión 1.0 se ven afectados por esta vulnerabilidad; sin embargo en la fecha de, esto afecta a la gran mayoría de los sitios debido a la renuencia de los sitios y navegadores a implementar las versiones 1.1 y 1.2 de TLS.

HTTPS y NSA

En , varios periódicos revelan, gracias a documentos proporcionados por Edward Snowden , que la NSA , a través de su programa Bullrun , busca romper o debilitar el protocolo HTTPS o sus implementaciones por parte de los fabricantes de hardware y software, haciéndolo accesible en claro a los servicios estadounidenses de muchas comunicaciones. aún encriptado.

A principios de 2014, una vulnerabilidad dirigida a todos los dispositivos Apple con iOS 6/7 y Mac OS X 10.9, que permitía a aquellos que tenían los medios para explotarla, corromper el cifrado HTTPS (o más particularmente las tecnologías TLS / SSL ), fue corregida por La firma. Algunos rumores apuntan a que esta vulnerabilidad fue utilizada por la NSA , o incluso que fue la organización gubernamental la que solicitó la ayuda de Apple para crear esta vulnerabilidad (lo que la empresa niega).

HSTS

HTTP Strict Transport Security (HSTS) es un mecanismo de política de seguridad propuesto, que permite a un servidor web declarar a un agente de usuario compatible (como un navegador web ) que debe interactuar con él mediante una conexión segura (como HTTPS). Por lo tanto, el servidor comunica la política al agente de usuario, a través de la respuesta HTTP, en el campo de encabezado denominado "  Strict-Transport-Security  ". La política especifica un período de tiempo durante el cual el agente de usuario debe acceder al servidor solo de manera segura.

https

HTTPS, debido a que está encriptado, no permite que un servidor intermedio tenga una memoria caché que almacene información. Por tanto, el navegador no puede mostrar la información sin solicitarla directamente al servidor.

Notas y referencias

  1. Introducción a SSL  " , en Google Livre ,(consultado el 4 de noviembre de 2014 )
  2. (en)HTTP sobre TLS  " Petición de observaciones n o  2818,.
  3. (en) Cifrando la Web  " en Electronic Frontier Foundation ,(consultado el 1 st de enero de 2.021 )
  4. (en) HTTP, HTTPS, SSL, TLS Over  " ,(consultado el 19 de noviembre de 2019 )
  5. (en-US) Hacia una Web más segura  " , Blo de seguridad en línea de Google ,( leer en línea , consultado el 2 de febrero de 2017 )
  6. Estadísticas de la Internet francesa. udomo.fr   , en www.udomo.fr (consultado el 2 de febrero de 2017 )
  7. Una web segura llegó para quedarse  " [ archivo de] , en Chromium Blog (consultado el 22 de abril de 2019 )
  8. https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf .
  9. https://www.orange-business.com/fr/blogs/securite/webtech/https-pwned
  10. Dan Goodin, "Los  piratas informáticos rompen el cifrado SSL utilizado por millones de sitios  " , en theregister.co.uk ,(consultado el 1 st de septiembre de 2020 ) .
  11. cifrado SSL ruptura hackers que utilizan millones de sitios  " en journaldunet.com (consultado el 1 er de septiembre de 2020 ) .
  12. Dan Goodin, "Los  piratas informáticos rompen el cifrado SSL utilizado por millones de sitios  " , en theregister.co.uk ,(consultado el 1 st de septiembre de 2020 ) .
  13. Le Monde.fr, Asunto Snowden: cómo la NSA frustra el cifrado de las comunicaciones  " , en Le Monde.fr ,(consultado el 6 de septiembre de 2013 ) .
  14. Por qué la falla 'goto fail' en el sistema operativo de Apple es muy grave  " , Journal du net ,( leer en línea )
  15. Olivier, "  Ir a fallar: después de iOS, Apple finalmente elimina la falla de SSL en OS X  ", Journal du geek ,( leer en línea )
  16. (en) Charles Arthur, Vulnerabilidad SSL del iPhone de Apple: ¿cómo sucedió y qué sigue  " , The Guardian ,( leer en línea )

Ver también

Artículos relacionados

enlaces externos

Hasta aquí el conjunto de la información que conseguimos recabar acerca de Protocolo de transferencia de hipertexto seguro, esperamos que te haya sido útil. En caso de que pienses que te hemos ayudado con Protocolo de transferencia de hipertexto seguro, por favor, no olvides promovernos entre tus conocidos y el círculo familiar, y ten en cuenta que quedamos a tu disposición siempre que lo necesites. Si a pesar de nuestro esfuerzo, te parece que aquello que te mostramos acerca de Protocolo de transferencia de hipertexto seguro muestra datos incorrectos o hay algo que deberíamos añadir o corregir, te estaremos muy agradecidos que nos hagas llegar tu apreciación. Proveer la mayor y mejor información sobre Protocolo de transferencia de hipertexto seguro y relativo a cualquier otra cuestión es donde radica el espíritu de esta Gran Enciclopedia; nos alienta el mismo objetivo que en su época empujó a la acción a los creadores de la formulación de la Enciclopedia, y por esa razón lo que deseamos es que lo que has encontrado en esta Gran Enciclopedia acerca de Protocolo de transferencia de hipertexto seguro lo hayas podido utilizar para extender tus conocimientos.

Opiniones de nuestros usuarios

Antonio Jose Fuentes Hurtado

Gracias. El artículo acerca de Protocolo de transferencia de hipertexto seguro me sirvió.

Jesus Valero Perez

Me gusta la página, y el artículo acerca de Protocolo de transferencia de hipertexto seguro es el que andaba buscando.

Marc Luna Pereira

A veces cuando buscas información en internet sobre algo encuentras artículos demasiado largos que se empeñan en hablar de cosas que no te interesan. Este artículo sobre Protocolo de transferencia de hipertexto seguro me ha gustado porque va al grano y habla justo de lo que yo quiero, sin perderse en información inútil.

Juan Carlos Aguado Marin

Me resulta muy interesante el modo en que esta entrada sobre Protocolo de transferencia de hipertexto seguro está redactada, me recuerda a mis años de colegio. Qué tiempos tan bonitos, gracias por devolverme a ellos.