Hypertext Transfer Protocol Secure

Hypertext Transfer Protocol Secure
Hyper Text Transfer Protocol Secure
(HTTPS)
Familia: Familia de protocolos de Internet
Función: Transferencia segura de hipertexto
Puertos: 443/TCP

Ubicación en la pila de protocolos
Aplicación HTTPS
Transporte SSL/TLS
TCP
Red IP

Estándares: RFC 2818 – HTTP sobre TLS

Hyper Text Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto), más conocido por sus siglas HTTPS, es un protocolo de aplicación basado en el protocolo HTTP, destinado a la transferencia segura de datos de Hiper Texto, es decir, es la versión segura de HTTP.

Es utilizado principalmente por entidades bancarias, tiendas en línea, y cualquier tipo de servicio que requiera el envío de datos personales o contraseñas.

Contenido

Características Técnicas

El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) más apropiado para el tráfico de información sensible que el protocolo HTTP. De este modo se consigue que la información sensible (usuario y claves de paso normalmente) no pueda ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexión, ya que lo único que obtendrá será un flujo de datos cifrados que le resultará imposible de descifrar.

El puerto estándar para este protocolo es el 443.

Diferencias con HTTP

En el protocolo HTTP las URLs comienzan con "http://" y utilizan por defecto el puerto 80, Las URLs de HTTPS comienzan con "https://" y utilizan el puerto 443 por defecto.

HTTP es inseguro y esta sujeto a ataques man-in-the-middle y eavesdropping que pueden permitir al atacante obtener acceso a cuentas de un sitio web e información confidencial. HTTPS está diseñado para resistir esos ataques y ser menos inseguro.

Capas de Red

HTTP opera en la capa más alta del Modelo OSI, la Capa de Aplicación; pero el protocolo de seguridad opera en una subcapa más baja, cifrando un mensaje HTTP previo a la transmisión y descifrando un mensaje una vez recibido. Estrictamente hablando, HTTPS no es un protocolo separado, pero refiere el uso del HTTP ordinario sobre una Capa de Conexión Segura cifrada Secure Sockets Layer (SSL) o una conexión con Seguridad de la Capa de Transporte (TLS).

Configuración del Servidor

Para preparar un servidor web que acepte conexiones HTTPS, el administrador debe crear un Certificado de clave pública para el servidor web. Este certificado debe estar firmado por una Autoridad de certificación para que el navegador web lo acepte. La autoridad certifica que el titular del certificado es quien dice ser. Los navegadores web generalmente son distribuidos con los certificados raíz firmados por la mayoría de las Autoridades de Certificación por lo que estos pueden verificar certificados firmados por ellos.

Adquiriendo Certificados

Adquirir certificados puede ser gratuito[1] (generalmente sólo si se paga por otros servicios) o costar entre US$13[2] y US$1,500[3] por año.

Las organizaciones pueden también ser su propia autoridad de certificación, particularmente si son responsables de establecer acceso a navegadores de sus propios sitios (por ejemplo, sitios en una compañía intranet, o universidades mayores). Estas pueden fácilmente agregar copias de su propio certificado firmado a los certificados de confianza distribuidos con el navegador.

También existen autoridades de certificación peer-to-peer.

Usar un Control de Acceso

El sistema puede también ser usado para la Autenticación de clientes con el objetivo de limitar el acceso a un servidor web a usuarios autorizados. para hacer esto, el administrador del sitio típicamente crea un certificado para cada usuario, un certificado que es guardado dentro de su navegador. Normalmente, este contiene el nombre y la dirección de correo del usuario autorizado y es revisado automáticamente en cada reconexión para verificar la identidad del usuario, potencialmente sin que cada vez tenga que ingresar una contraseña.

En Caso de Claves Privadas Comprometidas

Un certificado puede ser revocado si este ya ha expirado, por ejemplo cuando el secreto de la llave privada ha sido comprometido. Los navegadores más nuevos como son Firefox,[4] Opera,[5] e Internet Explorer sobre Windows Vista[6] implementan el Protocolo de Estado de Certificado Online (OCSP) para verificar que ese no es el caso. El navegador envía el número de serie del certificado a la autoridad de certificación o, es delegado vía OCSP y la autoridad responde, diciéndole al navegador si debe o no considerar el certificado como válido.[7]

Limitaciones

El nivel de protección depende de la exactitud de la implementación del navegador web, el software del servidor y los algoritmos de cifrado actualmente soportados. Vea la lista en Idea Principal.

También, HTTPS es vulnerable cuando se aplica a contenido estático de publicación disponible. El sitio entero puede ser indexado usando una Araña web, y la URI del recurso cifrado puede ser adivinada conociendo solamente el tamaño de la petición/respuesta.[8] Esto permite a un atacante tener acceso al Texto plano (contenido estático de publicación), y al Texto cifrado (La versión cifrada del contenido estático), permitiendo un ataque criptográfico.

Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de nivel más alto, los servidores SSL solo pueden presentar estrictamente un certificado para una combinación de puerto/IP en particular[9] Esto quiere decir, que en la mayoría de los casos, no es recomendable usar Hosting virtual name-based con HTTPS. Existe una solución llamada Server Name Indication (SNI) que envía el hostname al servidor antes de que la conexión sea cifrada, sin embargo muchos navegadores antiguos no soportan esta extensión. El soporte para SNI está disponible desde Firefox 2, Opera 8, e Internet Explorer 7 sobre Windows Vista.[10] [11] [12]

Historia

Netscape Communications creó HTTPS en 1994 para su navegador Netscape Navigator.[13] Originalmente, HTTPS era usado solamente para cifrado SSL, pero esto se volvió obsoleto ante TLS. HTTPS fue adoptado como un estándar web con la publicación de RFC 2818 en Mayo del 2000.[14]

Véase también

Referencias

  1. «Certificados Gratuitos StartSSL». StartSSL. Consultado el 20 de mayo de 2009.
  2. «Servicios de Certificación SSL». Go Daddy. Consultado el 6 de mayo de 2009.
  3. «Secure Site Pro con EV». VeriSign. Consultado el 6 de mayo de 2009.
  4. «Política de privacidad de Mozilla FireFox». Mozilla Foundation (27 de abril de 2009). Consultado el 13 de mayo de 2009.
  5. Opera 8 lanzado en FTP. Softpedia. 19 de abril de 2005. http://news.softpedia.com/news/Opera-8-launched-on-FTP-1330.shtml. Consultado el 13 de mayo de 2009. 
  6. Lawrence, Eric (31 de enero de 2006). «HTTPS Security Improvements en Internet Explorer 7». MSDN. Consultado el 13 de mayo de 2009.
  7. Myers, M; Ankney, R; Malpani, A; Galperin, S; Adams, C (June de 1999). «Online Certificate Status Protocol - OCSP». Internet Engineering Task Force. Consultado el 13 de mayo de 2009.
  8. Pusep, Stanislaw (31 de julio de 2008). «The Pirate Bay un-SSL». Consultado el 6 de marzo de 2009.
  9. Apache FAQ: Why can't I use SSL with name-based/non-IP-based virtual hosts?
  10. Lawrence, Eric (22 de octubre de 2005). «Upcoming HTTPS Improvements in Internet Explorer 7 Beta 2». Microsoft. Consultado el 12 de mayo de 2009.
  11. Server Name Indication (SNI)
  12. Mozilla 1.8
  13. Walls, Colin (2005). Embedded software. pp. 344. http://books.google.com/books?id=FLvsis4_QhEC&pg=PA344. 
  14. Rescorla, E (May de 2000). «HTTP Over TLS». Internet Engineering Task Force. Consultado el 6 de mayo de 2009.

Enlaces externos


Wikimedia foundation. 2010.

Игры ⚽ Поможем решить контрольную работу

Mira otros diccionarios:

  • Hypertext Transfer Protocol Secure — HTTPS (Hypertext Transfer Protocol Secure) Familie: Internetprotokollfamilie Einsatzgebiet: Verschlüsselte Datenübertragung Port: 443/TCP HTTPS im TCP/IP‑Protokollstapel: Anwendung HTTP …   Deutsch Wikipedia

  • Hypertext Transfer Protocol — HTTP (Hypertext Transfer Protocol) Familie: Internetprotokollfamilie Einsatzgebiet: Datenübertragung, Hypertext u. a. Port: 80/TCP HTTP im TCP/IP‑Protokollstapel: Anwendung HTTP Transport …   Deutsch Wikipedia

  • Secure Hypertext Transfer Protocol — No confundir con Hypertext Transfer Protocol Secure (HTTPS) (HTTP sobre SSL o TLS). El protocolo seguro de transferencia de hipertexto (S HTTP, Secure HyperText Transfer Protocol) es el protocolo usado para transacciones seguras en la Web (WWW).… …   Wikipedia Español

  • Secure hypertext transfer protocol — (S HTTP) is an alternative mechanism to the https URI scheme for encrypting web communications carried over HTTP. S HTTP is defined in RFC 2660.Web browsers typically use HTTP to communicate with web servers, sending and receiving information… …   Wikipedia

  • Secure Hypertext Transfer Protocol — Secure Hypertext Transfer Protocol,   S HTTP …   Universal-Lexikon

  • Hypertext Transfer Protocol — HTTP Persistence · Compression · HTTPS Request methods OPTIONS · GET · HEAD · POST · PUT · DELETE · TRACE · CONNECT Header fields Cookie · ETag · Location · Referer DNT · …   Wikipedia

  • secure hypertext transfer protocol — S HTTP protokolas statusas T sritis informatika apibrėžtis Saugaus hipertekstų persiuntimo ↑protokolas, užtikrinantis privatų ir saugų ryšį tarp ↑kliento ir ↑serverio. Suprojektuotas naudoti kartu su hipertekstų persiuntimo ↑ HTTP protokolu. Yra… …   Enciklopedinis kompiuterijos žodynas

  • Secure Hypertext Transfer Protocol — protocol for the World Wide Web that provides safe data transmission by encrypting and decrypting information sent over the Internet (Computers), HTTPS …   English contemporary dictionary

  • Secure Server Line — In diesem Artikel oder Abschnitt fehlen folgende wichtige Informationen: Informationen über SSL Change Cipherspec. Protocol, SSL Alert Protocol, SSL Application Data Protocol Du kannst Wikipedia helfen, indem du sie recherchierst und einfügst …   Deutsch Wikipedia

  • Secure Sockets Layer — In diesem Artikel oder Abschnitt fehlen folgende wichtige Informationen: Informationen über SSL Change Cipherspec. Protocol, SSL Alert Protocol, SSL Application Data Protocol Du kannst Wikipedia helfen, indem du sie recherchierst und einfügst …   Deutsch Wikipedia

Compartir el artículo y extractos

Link directo
Do a right-click on the link above
and select “Copy Link”