HTTPS

De wiki
Saltar a: navegación, buscar


{{#evt: service=vimeo |id=http://vimeo.com/57840631 |alignment=center |dimensions="[480x320]" }}

HTTPS es la versión segura del protocolo HTTP usada para tener acceso a los sitios web. Es utilizado principalmente por entidades bancarias, tiendas en línea, y cualquier tipo de servicio que requiera el envío de datos personales o contraseñas.

El objetivo es proveer un método de autentificación de páginas web y proteger la privacidad de intercambio de datos. En términos sencillos, es una "credencial de identificación" para verificar que efectivamente esa página web es la página que dice ser. Esto es una de las maneras de contrarrestar el Phishing, una estrategia de fraude informático donde se "imita" la página web para que el usuarix ingrese sus datos.

Cómo funciona

Básicamente se trata del protocolo HTTP (Protocolo de transferencia de hipertexto) usado en cada transacción de la World Wide Web y el Protocolo SSL (Seguridad de la Capa de Transporte), un protocolo criptográfico que proporciona comunicaciones seguras por Internet.

Cuando entras en cualquier página que requiera de un usuario y una contraseña u otro tipo de dato sensible (como por ejemplo el número de tu tarjeta), asegura que la conexión es mediante HTTPS (fíjate en la barra url), no sólo a la hora de ingresar en la página sino durante toda la sesión (cada vez que clicas en otra página y se recarga la página, fíjate bien que sigue apareciendo "https").

Pueden leer + en el artículo de wikipedia


Extensión "HTTPS Everywhere"

Prueba la extensión/complemento HTTPS Everywhere desarrollada por el Electronic Frontier Foundation y el Proyecto TOR para que automáticamente actives HTTPS para todos los sitios web que lo soportan.


Certificado de clave pública

"Para preparar un servidor web que acepte conexiones HTTPS, el administrador debe crear un certificado de clave pública para el servidor web. Este certificado debe estar firmado por una autoridad de certificación para que el navegador web lo acepte. La autoridad certifica que el titular del certificado es quien dice ser. Los navegadores web generalmente son distribuidos con los certificados raíz firmados por la mayoría de las autoridades de certificación por lo que estos pueden verificar certificados firmados por ellos."

Artículo de Wikipedia sobre HTTPS


Modelo Autoridades Certificadoras

Untrusted-connection-https.jpg

Puede que hayan visto esta ventana antes. Este aviso aparece cuando el certificado HTTPS no ha sido verificado por una "Empresa Certificadora", lo que no implica necesariamente que sea una página insegura, sino que simplemente no ha sido aprobada por una "Empresa Certificadora".

Untrusted-connection-https-2.jpg

Puedes aceptar el certificado de todos modos como aparece en la imagen de arriba.


"Durante años, Internet ha dependido de "Autoridades Certificadoras" (CAs) como VeriSign para expedir certificados SSL en los que confíe los navegadores a la hora de identificar un servidor web remoto usando un protocolo HTTPS. Es necesario verificar este certificado SSL del servidor remoto para evitar ataques "hombre en medio" (MitM) en el cual el atacante espía la comunicación o intenta impersonar (suplantar) una página web.

La raíz del problema con el model de "Autoridades Certificadoras" (CAs) es que los navegadoras confían ciegamente en un grupo de 600+ corporaciones y entidades gubernamentales para validar certificados SSL. Tú, como navegante, tienes poca o ninguna decisión sobre a quién le vas a otorgar confianza ni existe una visibilización y transparencia en torno a estas organizaciones que certifica los CAs que supuestamente "merecen" tu confianza.

Aunque los recursos computacionales se han abaratado, el esfuerzo manual requerido para adquirir, instalar y renovar anualmente un ceritificado ha mantenido el mismo coste. El modelo CA también tiene problemas con el "hosteo virtual", una práctica común de hostear muchas páginas en una misma máquina. Este y otros factoreshacen que muchos sitios web sean HTTP y no habiliten el HTTPS."

"El problema"- Página web de Perspectives, un complemento que decentraliza la certificación de HTTPS- Traducido por Ganesh, Laboratorio_de_interconectividades


Podemos formular un paralelismo entre este modelo centralizado de certificación HTTPS con la certificación orgánica "oficial". Uno de los problemas principales radica en quiénes tienen la "legitimidad" de avalar la "calidad" de esto o lo otro. Frente al modelo de certificación oficial, emergen iniciativas de certificación social, como el SPG (Sistemas Participativos de Garantía), por las cuales son las personas que acuerdan los criterios de evaluación y se reparten el trabajo de análisis.

Con la extensión Perspectives pueden delegar la verificación de los certificados a servidores voluntarios. Pueden leer más entrando en la página de Perspectives del wiki.


Censura

HTTPS es la versión segura del protocolo HTTP usada para tener acceso a los sitios web. A veces los censores solo bloquean la versión insegura del sitio, permitiéndote el acceso a ese sitio con simplemente ingresar la versión del dominio que comienza con HTTPS. Esto es particularmente muy útil si el filtrado que estás encontrando está basado en palabras claves o en el bloqueo de páginas individuales. HTTPS impide al censor leer tu tráfico en el sitio web, así de esa manera no pueden saber que palabra clave ha sido enviada o qué página individual estás visitando (los censores todavía pueden ver los nombres de los dominios de todos los sitios web que has visitado).

Si sospechas que existe este tipo de bloqueo básico, trata de entrar mediante https: antes del nombre del dominio, en lugar de http:.


Para leer más

Cómo funciona HTTPS - Robert Heaton

Certificados HTTPS - Hartley Brody

Referencias

Documentación en el wiki del Hacklab Barracas

Documentación de Partido Pirata ARG sobre Perspectives Página web de Perspectives

Perspectives en Mozilla

Recopilación de servidores notarios para agregar a Perspectives