Empezaremos por definir el HTTP. Éste es el protocolo que usan todos los navegadores web para conectarse a los servidores. De esta manera se permite la visualización de las páginas web. Son las siglas de Hypertext Transfer Protocol, que traducido significa protocolo de transferencia de hipertexto. Es un protocolo muy útil, pero con un problema reconocido: la falta de seguridad.
Es un protocolo altamente vulnerable debido a que toda la información viaja sin cifrado alguno; es decir, en texto plano. Por lo tanto, cualquier persona con unos mínimos conocimientos de este protocolo y que tenga acceso a la comunicación entre tu equipo y el servidor al que te quieres conectar (tu proveedor de internet, por ejemplo) puede obtener cualquiera de las credenciales que introduzcas durante tu navegación por internet. Incluso se pueden obtener si están conectados a la misma red en la que estás. Recuerda la vulnerabilidad de las redes wifi: Ten cuidado con las redes públicas.
Por eso se usa el protocolo HTTPS, que en sí mismo es el protocolo HTTP añadiendo unos protocolos de seguridad, conocidos como SSL/TLS. Estas son las siglas de Secure Socket Layer/Transmission Layer Security). Estos dos protocolos cifran los paquetes que se envían y son aplicables para otros protocolos de comunicación. Ambos funcionan en la capa más baja de comunicación, por lo que todos los datos que se transmiten van cifrados. Lo único que no se cifra es el servidor y el puerto en el cual se establece la conexión.
Para saber con qué servidor te conectas cada vez se usan certificados SSL. Pero por sí solo es inútil, ya que se puede falsificar de manera sencilla. Por eso existen las Certificate Authority (CA) que son las autoridades certificadoras. Éstas emiten certificados SSL firmados. Se dan sobre un dominio y propietario.
Aún así estos certificados son el punto más débil del protocolo, ya que si alguien logra robar uno puede montar un servidor falso y sería indistinguible. Sería mucho más grave si alguien lograse robar una clave privada de una CA- Con esto podría crear y firmar certificados válidos para cualquier dominio, lo que sería un gran riesgo. Pero todos los navegadores permiten la revocación de certificados. Existen unas listas en las cuales se marcan los certificados que han sido comprometidos, para que los navegadores las usen y no validen dichos certificados.
Esperamos haber aclarado algunas dudas alrededor de este protocolo de comunicación, imprescindible hoy en día para mantener a salvo nuestros datos.
Saludos
Somos una empresa de informática ubicada en Barcelona y este es nuestro blog sobre nuevas tecnologías.
Barcelona BigData Consejos Eventos Hardware Internet Raspberry Pi Redes sociales Seguridad Virus WH WMS Worksolutions
Podemos gestionar tus servidores en datacenter. Te ayudaremos a subir tus servicios al cloud, los monitorizaremos y gestionaremos de forma integral siguiendo tus directivas.
