Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Por:
Por otro lado, si están instalados Certificados de Validación Extendida, los usuarios,
además del candado, verán que la barra de dirección del navegador toma un fondo
amarillo (Firefox) o verde (Internet Explorer u Opera) para identificar páginas web
seguras.
HTTP funciona en la capa de aplicación (séptima capa) del Modelo OSI, que es la capa
más alta. Sin embargo, el cifrado que da lugar a HTTPS, se realiza en una capa más
baja, mediante SSL/TLS. HTTPS se basa en el sistema de clave pública y clave privada.
Los protocolos HTTPS son utilizados por navegadores como: Safari, Internet Explorer,
Mozilla Firefox, Opera y Google Chrome, entre otros.
Para cifrar datos se necesita una clave. El primer problema aparece rápidamente: ¿cómo
compartimos una clave de forma segura (sin que nadie más pueda saberla)? Con el paso
del tiempo se ha demostrado que el HTTPS no es solo necesario para datos bancarios
sino que su uso está muy recomendado en servicios de mensajería como Facebook o
Twitter, Google y en sitios de correo electrónico como Gmail o Hotmail.
Intercambio de claves
Después de acordar los detalles técnicos que se utilizarán en la transferencia, como por
ejemplo la versión del protocolo o los algoritmos de cifrado, el navegador procede a
cifrar una clave generada en ese mismo momento con la clave pública del servidor al
2
que se está conectando y se la envía. Al final el cliente y el servidor tienen la misma
clave.
La pregunta obvia es saber qué datos se protegen cuando usamos una conexión HTTPS.
Como está basado en SSL/TLS, que funciona en la capa más baja de comunicación, se
cifra no sólo la página web sino también la URL completa, los parámetros enviados, las
cookies... Lo único que se queda al descubierto son los datos del paquete TCP: el
servidor y el puerto al que nos conectamos.
Para preparar un servidor web que acepte conexiones HTTPS, el administrador debe
crear un Certificado de clave pública para el servidor web. Este certificado debe estar
firmado por una Autoridad de certificación para que el navegador web lo acepte. La
autoridad certifica que el titular del certificado es quien dice ser.
Los navegadores web generalmente son distribuidos con los certificados firmados por la
mayoría de las Autoridades de Certificación por lo que estos pueden verificar
certificados firmados por ellos.
Los servidores SSL solo pueden presentar estrictamente un certificado para una
combinación de puerto/IP en particular. Esto quiere decir, que en la mayoría de los
casos, no es recomendable usar Hosting virtual name-based con HTTPS. Existe una
solución llamada Server Name Indication (SNI) que envía el hostname al servidor antes
de que la conexión sea cifrada, sin embargo muchos navegadores antiguos no soportan
esta extensión. El soporte para SNI está disponible desde Firefox 2, Opera 8, e Internet
Explorer 7 sobre Windows Vista.
3
tienes un certificado con una clave más débil (de 1024 bits), actualízala a una de 2048
bits. Cuando escojas el certificado de tu sitio debes hacer lo siguiente:
Durante el proceso para hacer que el sitio sea seguro mediante TLS, se debe evitar
cometer estos errores:
Problema Acción
Certificado registrado a Comprueba que hayas registrado tu certificado al nombre de host correcto. Por
nombre de un sitio web ejemplo, si registras el certificado para www.example.com y el sitio web está
incorrecto configurado para utilizar "example.com", tendrás un error de discordancia de nombre
de certificado.
Falta de compatibilidad Comprueba que el servidor web sea compatible con SNI y que la audiencia utilice
con la indicación del navegadores que sean compatibles habitualmente. Todos los navegadores modernos
nombre del servidor son compatibles con SNI, pero si quieres admitir navegadores más antiguos
(SNI) necesitarás una IP dedicada.
Problemas de rastreo No bloquees el sitio HTTPS mediante un archivo robots.txt para que no pueda
rastrearse.
4
Problemas de indexación Debes permitir que los motores de búsqueda indexen tus páginas siempre que sea
posible. Evita el uso de la metaetiqueta noindex.
Versiones del protocolo Las versiones de OpenSSL anteriores son vulnerables; comprueba que tengas las
anterior versiones más recientes y nuevas de las bibliotecas TLS.
Contenido diferente en Comprueba que el contenido de tus sitios HTTP y HTTPS sea el mismo.
HTTP y HTTPS
Errores de código de Comprueba que el sitio web devuelva el código de estado HTTP correcto. Por
estado HTTP en HTTPS ejemplo, 200 OK para páginas accesibles, o 404 o 410 para páginas que no existen.
BIBLIOGRAFÍA
Online Trust Alliance. [sitio web]. 2012. La protección de su página web con Siempre
en SSL. [consulta 13 diciembre 2016]. Disponible en:
https://otalliance.org/system/files/files/resource/documents/consiempressl.pdf