S-HTTP (Secure HTTP) es un proceso de transacciones HTTP
(HyperText Transfer Protocol; en castellano, Protocolo de Transferencia de
Hipertexto) que se basa en el perfeccionamiento del protocolo HTTP creado en
1994 por EIT (Enterprise Integration Technologies). Este proceso hace posible
establecer una conexión segura para transacciones de comercio electrónico
mediante mensajes cifrados, y garantizar a los clientes la confidencialidad de
los números de tarjetas bancarias y su información personal. La compañía Terisa
Systems desarrolló una de las implementaciones de SHTTP para incluir una
conexión segura entre los servidores y los clientes Web.
Como Funciona
A diferencia de SSL (Secure Socket Layer) que funciona
transportando capas, SHTTP garantiza la seguridad del mensaje mediante el
protocolo HTTP, que marca individualmente los documentos HTML con certificados.
En tanto que SSL es independiente de la aplicación utilizada y puede cifrar
todo tipo de comunicación, SHTTP está íntimamente relacionado con el protocolo
HTTP y cifra mensajes de forma individual.
Los mensajes SHTTP se basan en tres componentes:
- El mensaje HTTP
- Las preferencias criptográficas del remitente
- Las preferencias del destinatario
Así,
para descifrar un mensaje SHTTP, el destinatario analiza los encabezados del
mensaje para determinar el tipo de método que se utilizó para cifrar el
mensaje. Luego, basándose en sus preferencias criptográficas presentes y
pasadas, y en las preferencias criptográficas pasadas del remitente, el
destinatario puede descifrar el mensaje.
Características
El
sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal cifrado
(cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado
por el cliente) más apropiado para el tráfico de información sensible que el
protocolo HTTP. De este modo se consigue que la información sensible (usuario y
claves de paso normalmente) no pueda ser usada por un atacante que haya
conseguido interceptar la transferencia de datos de la conexión, ya que lo
único que obtendrá será un flujo de datos cifrados que le resultará imposible
de descifrar.
El
puerto estándar para este protocolo es el 2485.
Navega más seguro con el protocolo https
Seguramente habrás visto miles de veces en la barra de direcciones de vuestro navegador la palabra "http" justo al inicio de la dirección web que estáis visitando. Eso es un protocolo de transferencia de hipertexto, pero con la proliferación de servicios y páginas con acceso mediante contraseña, HTTP se ha quedado anticuado y es potencialmente inseguro.
Los inicios de sesión
A continuación te explicaremos cómo configurar tuss principales cuentas para habilitar el cifrado de HTTPS, pero primero de todo, un consejo fundamental: las páginas de registro y de inicio de sesión son el principal foco de peligro, y por defecto, cargarán con el protocolo HTTP. Prueba de añadir una "s" al final, manualmente. Tan simple como esto. Si quieres estar tranquilo, accede a tus datos personales sólo desde páginas HTTPS:
¿Qué
es el contenido no seguro?
Solo se bloquea la parte potenciamente dañina del contenido HTTP, por lo tanto en algunos sitios puede existir todavía contenido HTTP. En tal caso, la conexión entre Firefox y el sitio web todavía está cifrada parcialmente y no debería considerarse segura en contra de escuchas no autorizadas, por ello el ícono del globo gris.
En el siguiente vídeo podremos obtener más información acerca del tema, ya que se habla más afondo del funcionamiento de estos estándares/protocolos de seguridad.Seguramente habrás visto miles de veces en la barra de direcciones de vuestro navegador la palabra "http" justo al inicio de la dirección web que estáis visitando. Eso es un protocolo de transferencia de hipertexto, pero con la proliferación de servicios y páginas con acceso mediante contraseña, HTTP se ha quedado anticuado y es potencialmente inseguro.
Los inicios de sesión
A continuación te explicaremos cómo configurar tuss principales cuentas para habilitar el cifrado de HTTPS, pero primero de todo, un consejo fundamental: las páginas de registro y de inicio de sesión son el principal foco de peligro, y por defecto, cargarán con el protocolo HTTP. Prueba de añadir una "s" al final, manualmente. Tan simple como esto. Si quieres estar tranquilo, accede a tus datos personales sólo desde páginas HTTPS:
Los sitios confirman que son seguros con información verificada,
que puedes revisar pinchando en el botón que aparecerá en tu barra de
navegación.
Si no pueden ser verificados y, por tanto, son inseguros,
nuestro navegador nos advertirá con un mensaje de este estilo:
Tenlo en cuenta especialmente en sitios en los que debemos
introducir datos personales privados, como páginas de compra electrónica, tal y
como lo explicamos en nuestro artículo sobre estafas en la red.
¿Cómo afecta a mi seguridad el contenido no seguro?
¿Cómo afecta a mi seguridad el contenido no seguro?
Cuando
visitas una página que utiliza HTTP, tu conexión no está protegida contra
escuchas ni ataques intermediario. La mayoría de los sitios web utilizan HTTP
porque no conllevan tráfico de información sensible y no necesitan ser seguras.
Cuando visitas una página que utiliza HTTPS (candado gris o candado verde en la
barra de direcciones), como la de tu banco, la conexión está autenticada y
encriptada y, por lo tanto, a salvo de escuchas y ataques intermediario.
Sin
embargo, si la página HTTPS que estás visitando incluye contenido HTTP, la
parte HTTP puede ser leída o modificada por los atacantes, incluso aunque la página
principal utilice HTTPS. Cuando una página HTTPS tiene contenido HTTP, llamamos
a ese contenido "no seguro". La página que estás visitando solo está
parcialmente encriptada y aunque parece que es segura, en realidad no lo es.
El
bloqueo de contenido no seguro bloquea el contenido HTTP potencialmente
peligroso de las páginas HTTPS.
¿Qué opciones tengo?
La
mayoría de los sitios web continuarán funcionando normalmente sin que tengas
que hacer nada.
Si
necesitas permitir que se muestre el contenido mixto, puedes hacerlo
fácilmente:
Haz clic en el icono del escudo Mixed Content Shield en la barra de direcciones y escoge Desactivar protección en esta página en el menú desplegable.
Haz clic en el icono del escudo Mixed Content Shield en la barra de direcciones y escoge Desactivar protección en esta página en el menú desplegable.
El
icono en la barra de direcciones cambiará a un símbolo de advertencia
naranja para recordarte que se está
mostrando contenido no seguro.
Para
deshacer la acción anterior (volver a bloquear el contenido mixto), vuelve a
visitar esa página en una pestaña nueva.
El icono es un globo gris a pesar de que
el bloqueo está activadoSolo se bloquea la parte potenciamente dañina del contenido HTTP, por lo tanto en algunos sitios puede existir todavía contenido HTTP. En tal caso, la conexión entre Firefox y el sitio web todavía está cifrada parcialmente y no debería considerarse segura en contra de escuchas no autorizadas, por ello el ícono del globo gris.
Bibliografías:
No hay comentarios:
Publicar un comentario