¿Qué es el HTTPS?

El principal protocolo utilizado para enviar datos entre un navegador web y un sitio web es el protocolo de transferencia de hipertexto (HTTP). El protocolo HTTPS utiliza TLS (seguridad de la capa de transporte) para cifrar las peticiones y respuestas HTTP, lo que lo convierte en una versión segura (de ahí la “S”) del mismo protocolo. Se utiliza en varias aplicaciones, como el inicio de sesión de cuentas, el comercio electrónico y las aplicaciones de correo web, por nombrar algunas.

NOTA: Los certificados TLS suelen denominarse certificados TLS/SSL.

HTTPS es una implementación del cifrado TLS sobre el protocolo HTTP. Por lo tanto, cuando un usuario visita un sitio que soporta HTTPS, obtiene las siguientes prestaciones de seguridad:

• Autenticación: Ayuda a verificar la identidad del sitio web. Por ejemplo, si la barra del navegador muestra https://www.entrust.com, puede estar seguro de que el sitio es propiedad de Entrust Corporation.
• Cifrado: oculta los datos en movimiento a terceros.
• Integridad: verifica que los datos no hayan sido manipulados.

La autentificación de un sitio web es importante porque permite al visitante del sitio verificar la identidad y la propiedad de un sitio web, ayudándole a distinguir entre un sitio web real y un sitio web potencialmente falso o fraudulento.

Un visitante del sitio puede terminar en un sitio web incorrecto a través de varios vectores de ataque como el envenenamiento de DNS, el malware o los sitios de phishing.

La asociación de una identidad con un sitio web suele correr a cargo de una organización de terceros, como una autoridad de certificación (CA), que sigue pautas estrictas del sector.

Un navegador web que se conecta a un sitio web utilizará un certificado TLS/SSL emitido por una autoridad de certificación como Entrust para autenticarse en un sitio web HTTPS.

Solicitud de un certificado TLS/SSL

Para añadir identidad a un sitio web, el propietario de un sitio web debe solicitar un certificado TLS/SSL y este debe ser emitido por una autoridad de certificación de confianza pública, como Entrust. Un certificado TLS/SSL es análogo a un pasaporte digital para una empresa, ya que incluye detalles verificados como:

• URL del sitio web
• La organización propietaria del sitio web
• Las fechas de emisión y de expiración del certificado
• El nombre de la autoridad de certificación que emitió el certificado
• La clave pública (utilizada para encriptar los datos)

Para obtener un certificado TLS/SSL, el propietario de un sitio web debe seguir los siguientes pasos:

1. Generar una solicitud de firma de certificado (CSR), que incluya un par de claves públicas/privadas
2. Demostrar a la autoridad de certificación que controla los dominios que se incluirán en el certificado TLS/SSL
3. Demostrar la identidad de la organización y que está autorizada a solicitar un certificado TLS/SSL en nombre de la organización

Una vez completado el proceso de verificación, se emite el certificado TLS/SSL y el propietario del sitio web puede instalarlo en los sitios adecuados. El certificado TLS/SSL se presenta cada vez que un visitante del sitio se conecta a una URL del sitio web a través de https://

Cómo un sitio web comparte su identidad con los visitantes del sitio

Cuando un visitante del sitio va a un sitio web HTTPS, su navegador web recibe una copia del certificado TLS/SSL. Haciendo clic en el icono del candado a la izquierda de la barra de URL, y seleccionando a continuación La conexión es segura y el certificado es válido se mostrará un certificado del sitio web similar al de la imagen siguiente.

Un visitante del sitio puede abrir la pestaña Detalles (Details) para ver más información sobre la organización propietaria del sitio web, similar a la imagen siguiente.

Detalles del certificado SSL para entrust.com

Si el certificado muestra los datos de la empresa del propietario del sitio web (nombre de la empresa, ubicación), se trata de un certificado de validación ampliada (EV) o de validación de la organización (OV).

Cómo verifica un navegador un certificado TLS/SSL

Un navegador llevará a cabo una secuencia de comprobaciones para verificar que el certificado TLS/SSL presentado por el sitio web es preciso y legítimo. El navegador lo hará lo siguiente:

1. Compruebe la firma digital de la autoridad de certificación para verificar que el certificado fue emitido por una autoridad de certificación en el almacén raíz de confianza del navegador
2. Compruebe que el dominio del certificado SSL coincide con el dominio del sitio web al que accede el visitante.
3. Compruebe que el certificado SSL es válido y no ha caducado ni ha sido revocado

Después de completar estas comprobaciones, el navegador del visitante del sitio mostrará https:// y un icono de candado delante de la URL del sitio web.

La imagen siguiente muestra que el certificado del sitio web fue emitido por Entrust, y que incluye una firma digital de Entrust que el navegador del visitante del sitio puede utilizar para verificar que el certificado es válido y está emitido por Entrust.

Firma digital en un certificado SSL emitido por la Autoridad de Certificación de Entrust

Almacenes raíz

Para verificar el certificado TLS/SSL de un sitio web, un navegador necesita una copia de la clave pública de la autoridad de certificación, que se almacena en el almacén raíz del navegador.

Un almacén raíz contiene los certificados digitales y las claves públicas asociadas de cada autoridad de certificación en la que confía.

Ruta de certificación del certificado SSL de Entrust.com

1. El certificado superior es el certificado raíz. Está precargado en el almacén raíz del navegador.
2. El certificado medio es el certificado intermedio. Está firmado digitalmente por la CA del certificado raíz y, por lo tanto, el navegador también confiará en él. El navegador verifica la firma utilizando la clave pública de Entrust del certificado raíz precargado.
3. El certificado inferior es el de la entidad final y es el certificado TLS/SSL de Entrust que envió el servidor web cuando el navegador se conectó al sitio. El navegador puede verificar el certificado de la entidad final utilizando la firma digital del certificado intermedio.

En cualquier sitio web HTTPS en el que un visitante introduzca información (datos de la tarjeta de crédito, datos de acceso, rellenar un formulario, etc.) antes de que los datos se envíen desde el navegador al servidor, el navegador cifrará los datos utilizando la clave pública del certificado TLS/SSL del sitio web.

El proceso de cifrado es una forma de codificar los datos en tránsito para que sólo puedan ser leídos por las partes autorizadas. La encriptación, por tanto, traduce un texto plano legible para el ser humano en un texto cifrado ininteligible.

El cifrado parece hacer que los datos parezcan aleatorios, sin embargo los datos cifrados siguen un patrón lógico y predecible. No obstante, es necesario que el sitio web que recibe los datos tenga la clave privada adecuada para descifrarlos.

Resumen de alto nivel del proceso de cifrado y descifrado

Una clave criptográfica es una cadena de caracteres que se utiliza dentro de un algoritmo de cifrado para alterar los datos del texto plano de manera que parezcan aleatorios. La clave criptográfica se utiliza para cifrar y descifrar los datos.

Hay dos tipos principales de encriptación:

Cifrado simétrico

Cifrado simétrico: incluye una sola clave, que se utiliza y comparte entre todas las partes comunicantes tanto para cifrar como para descifrar la comunicación. Aunque el cifrado simétrico es más rápido que el asimétrico, no es una forma de cifrado escalable debido a las complejidades asociadas a la distribución segura de la clave.

Cifrado asimétrico

Cifrado asimétrico (también conocido como cifrado de clave pública): incluye dos claves distintas. Una de las claves (la clave pública) es accesible a cualquiera y se utiliza para el cifrado. El destinatario guarda una segunda clave (la clave privada) que se utiliza para descifrar. El cifrado asimétrico es más lento que el simétrico, pero la distribución de las claves entre varios usuarios es más fácil.

Un algoritmo de cifrado es el método que convierte el texto plano en texto cifrado. El texto plano se convierte en texto cifrado cuando un algoritmo de cifrado modifica los datos de forma predecible utilizando una clave privada. Esto permite convertir el texto cifrado en texto plano utilizando una clave de descifrado.

Los algoritmos de cifrado simétrico más populares son los siguientes:

• AES
• 3-DES
• SNOW

Los algoritmos de cifrado asimétrico más populares son los siguientes:

• RSA
• criptografía de curva elíptica (ECC)

Una conexión TLS se inicia siguiendo una secuencia que suele denominarse protocolo de enlace TLS/SSL. Este proceso se inicia cuando un visitante del sitio web abre un sitio web que utiliza un certificado TLS/SSL. El proceso comienza entre el dispositivo del usuario y el sitio web al que se conecta.

Paso 1-2: Saludo y negociación del conjunto de cifrado

El navegador del visitante del sitio web y el servidor web se saludan y acuerdan qué conjuntos de cifrado (algoritmos de cifrado) se utilizarán.

Paso 3-4: Intercambio de certificados y claves

El servidor web envía una copia de su certificado TLS/SSL y del certificado intermedio, junto con la clave pública, al navegador del visitante del sitio web. El navegador del visitante del sitio web verificará la validez del certificado TLS/SSL basándose en su firma digital y en el certificado raíz del almacén de certificados del navegador.

Paso 5: Saludo de finalizado del servidor

Si todas las comprobaciones del navegador pasan, se establece un canal de comunicación unidireccional seguro desde el navegador hasta el servidor web.

Paso 6-10: Intercambio de claves del cliente y cambio de especificaciones de cifrado

El navegador web y el servidor web cambian de cifrado asimétrico a cifrado simétrico estableciendo una nueva clave de cifrado compartida, mediante el canal de comunicación unidireccional seguro, porque es más rápido y eficiente. La forma en que se crea esta clave de sesión compartida depende del conjunto de cifrado que se acordó tras la negociación del conjunto de cifrado en el paso 2.

Una vez generada la clave de sesión, se completa el proceso de intercambio de información TLS y el navegador web y el servidor web utilizan la clave de sesión para cifrar y descifrar todos los datos que se intercambian.