TEMA 11 PROTOCOLOS HTTP, HTTPS Y SSL/TLS

PROTOCOLO HTTP
HTTP (Hyper Text Transfer Protocol) es un protocolo de capa de aplicación que facilita a los
usuarios, de una forma sencilla e intuitiva, el acceso a la información hipermedia remota de
sistemas conectados a una red TCP/IP. El modelo cliente/servidor y el protocolo HTTP son la
base de la WWW (World Wide Web o simplemente Web).
FUNCIONAMIENTO
Así como los humanos nos comunicamos a través del lenguaje, las computadoras se pueden
comunicar a través de HTTP gracias al modelo de TCP/IP.
Las reglas principales de HTTP se suelen definir por los headers, que se dividen en dos grupos:
los headers de petición y los headers de respuesta:
Header request (petición)
Suelen estar definidos por el método de petición, hacia donde se hará el request, y la información
que enviará la petición.
Header response (respuesta)
Suele estar definido principalmente por la respuesta del servidor y también por las características
de la respuesta.
**Así funciona el protocolo HTTP:
1. El cliente envía una petición, se transmite por internet.
2. El servidor recibe la petición y genera una respuesta, la envía.
3. El cliente recibe la respuesta (y si estamos en el navegador, interpreta lo recibido).

CARACTERÍSTICAS
Las principales características del protocolo HTTP son:
• Toda la comunicación entre los clientes y servidores se realiza a partir de caracteres de 8 bits.
De esta forma, se puede transmitir cualquier tipo de documento: texto, binario, etc., respetando su
formato original.
• Permite la transferencia de objetos multimedia. El contenido de cada objeto intercambiado está
identificado por su clasificación MIME. Existen tres verbos básicos (hay más, pero por lo general
no se utilizan) que un cliente puede utilizar para dialogar con el servidor: GET, para recoger un
objeto,
POST, para enviar información al servidor y HEAD, para solicitar las características de un objeto
(por ejemplo, la fecha de modificación de un documento HTML).
• Cada operación HTTP implica una conexión con el servidor, que es liberada al término de la
misma. Es decir, en una operación se puede recoger un único objeto. En la actualidad se ha
mejorado este procedimiento, permitiendo que una misma conexión se mantenga activa durante
un cierto periodo de tiempo, de forma que sea utilizada en sucesivas transacciones. Este
mecanismo, denominado HTTP Keep Alive, es empleado por la mayoría de los clientes y
servidores modernos.
• No mantiene estado. Cada petición de un cliente a un servidor no es influida por las
transacciones anteriores. El servidor trata cada petición como una operación totalmente
independiente del resto.
• Cada objeto al que se aplican los verbos del protocolo está identificado a través de la
información de situación del final de la URL.

PROTOCOLO HTTPS
El protocolo de transferencia de hipertexto seguro (HTTPS) es la versión segura de HTTP, que es
el principal protocolo utilizado para enviar datos entre un navegador web y un sitio web. El HTTPS
está encriptado para aumentar la seguridad de las transferencias de datos. Esto es especialmente
importante cuando los usuarios transmiten datos confidenciales, como al iniciar sesión en una
cuenta bancaria, un servicio de correo electrónico o un proveedor de seguros médicos.
Cualquier sitio web, especialmente los que requieren credenciales de inicio de sesión, debe
utilizar HTTPS. En los navegadores modernos, como Chrome, los sitios web que no utilizan
HTTPS se señalan de forma diferente a los que sí lo hacen. Identifica un candado en la barra de
URL que te indicará que la página web es segura. Los navegadores web se toman en serio el
protocolo HTTPS. Google Chrome y otros navegadores marcan todas las páginas web que no
utilizan HTTPS como no seguras.

FUNCIONAMIENTO
TTPS utiliza un protocolo de encriptación para encriptar las comunicaciones. El protocolo se
conoce como Transport Layer Security (TLS), aunque antes se conocía como Secure Sockets
Layer (SSL). Este protocolo asegura las comunicaciones mediante el uso de lo que se conoce
como infraestructura de clave pública asimétrica. Este tipo de sistema de seguridad utiliza dos
claves diferentes para encriptar las comunicaciones entre dos partes:
1. La clave privada: esta clave la controla el propietario de un sitio web y se mantiene, como
el lector ya habrá supuesto, privada. Esta clave está ubicada en un servidor web y se
utiliza para desencriptar la información encriptada por la clave pública.
2. La clave pública: esta clave está disponible para todos los que quieran interactuar con el
servidor de forma segura. La información encriptada por la clave pública solo puede ser
desencriptada por la clave privada.
HTTPS evita que los sitios web difundan su información de forma que sea fácilmente visible para
cualquiera que esté cotilleando por la red. Cuando la información se envía por un HTTP normal, la
información se divide en paquetes de datos que se pueden "cotillear" fácilmente con el uso de
software libre.
Esto hace que la comunicación a través de un medio inseguro, como el Wi-Fi público, sea muy
vulnerable a la interceptación. De hecho, todas las comunicaciones que se producen en HTTP
ocurren en texto plano, lo cual las hace muy accesibles a cualquiera con las herramientas
adecuadas, y vulnerables a los ataques en ruta.

Con HTTPS, el tráfico se encripta de tal manera que, aunque alguien cotillee los paquetes sean o
los intercepte de alguna manera, aparecerán como caracteres sin sentido.

En los sitios web sin HTTPS, es posible que los proveedores de servicios de Internet (ISP) u otros
intermediarios inyecten contenido en las páginas web sin que lo apruebe el propietario del sitio
web. Esto suele ocurrir en forma de publicidad, cuando un ISP que busca aumentar sus ingresos
inyecta publicidad de pago en las páginas web de sus clientes. Cuando se produce esto, los
beneficios de los anuncios y el control de calidad de los mismos no se comparten con el
propietario del sitio web.
HTTPS elimina la posibilidad de que terceros sin permiso inyecten publicidad en el contenido
web.

HTTPS utiliza el puerto 443. Esto distingue HTTPS de HTTP, que utiliza el puerto 80.

Un puerto es un punto virtual basado en software donde empiezan y terminan las conexiones de
red. Todos los ordenadores conectados a la red exponen una serie de puertos para que puedan
recibir tráfico. Cada puerto está asociado a un proceso o servicio específico y los diferentes
protocolos utilizan puertos diferentes.

HTTPS no es un protocolo distinto de HTTP.

Usa la encriptación TLS/SSL sobre el protocolo HTTP.

HTTPS se basa en la transmisión de los certificados TLS/SSL, que verifican que un determinado
proveedor es quien dice ser.

Cuando un usuario se conecta a una página web, esta le envía su certificado SSL, que contiene
la clave pública necesaria para iniciar la sesión segura. Luego, los dos ordenadores, el cliente y el
servidor, pasan por un proceso llamado protocolo de enlace SSL/TLS, que es una serie de
comunicaciones de ida y vuelta utilizadas para establecer una conexión segura. Para saber más
sobre encriptación y el protocolo de enlace SSL/TLS, lee lo que sucede en un protocolo de enlace
TLS.

Muchos proveedores de alojamiento de sitios web y otros servicios ofrecen certificados TLS/SSL
de pago. Estos certificados suelen compartirse entre muchos clientes. Hay certificados más caros
que pueden registrarse individualmente para determinadas propiedades web.

PROTOCOLO SSL/TLS
El protocolo SSL, "Secure Socket Layer" (en español, capa de puertos seguros), es el predecesor
del protocolo TLS "Transport Layer Security" (Seguridad de la Capa de Transporte, en español).
Se trata de protocolos criptográficos que proporcionan privacidad e integridad en la comunicación
entre dos puntos en una red de comunicación. Esto garantiza que la información transmitida por
dicha red no pueda ser interceptada ni modificada por elementos no autorizados, garantizando de
esta forma que sólo los emisores y los receptores legítimos sean los que tengan acceso a la
comunicación de manera íntegra.

FUNCIONAMIENTO

En el protocolo SSL se utiliza tanto criptografía asimétrica como simétrica. La primera se utiliza
para realizar el intercambio de las claves, que a su vez serán usadas para cifrar la comunicación
mediante un algoritmo simétrico.

En el caso de los sitios web, para el funcionamiento de este protocolo, lo que se necesita utilizar
es un certificado SSL. El servidor web tendrá instalado uno y cuando un cliente intente acceder a
él, le remitirá el mismo con la clave pública del servidor, para enviar de esta forma la clave que se
usará para realizar la conexión de manera segura mediante un cifrado simétrico.

 Un usuario realiza una petición HTTP segura a través de un navegador a

un sitio web (HTTPS://www.redalia.es/)

 El servidor donde está alojado el sitio web, envía (si lo tiene) el

certificado que incluye la clave pública del servidor. En caso de no tener
certificado SSL, se producirá un error.

 El navegador comprueba que la entidad emisora del certificado o CA sea de confianza. En

caso contrario, pedirá al usuario que acepte el certificado bajo su responsabilidad.
 Llegados a este punto, el navegador generará una clave simétrica, que será cifrada
mediante la clave pública del servidor para ser enviada de manera segura al mismo.

 De esta forma, la comunicación ya se ha establecido de manera segura, y

será cifrada en ambos sentidos mediante la clave generada en el punto
anterior.
El protocolo SSL no se emplea solo para el comercio electrónico. También permite proteger toda
la información
que entra y sale de su sitio web.

PÁGINAS DE PAGO

Si sus clientes saben que la página de pago de su sitio web es segura (y que los datos de su
tarjeta de crédito están protegidos), es más probable que completen la compra.

PANELES DE INICIO DE SESIÓN Y FORMULARIOS

El protocolo SSL cifra y protege los nombres de usuario y las contraseñas, así como los
formularios que se emplean en las páginas web para enviar datos personales, documentos o
imágenes.

BLOGS Y SITIOS WEB INFORMATIVOS

Incluso los blogs y otros sitios web que no manejan pagos ni información confidencial deberían
usar HTTPS para garantizar la privacidad de sus usuarios.