15/05/2013
HTTPS: datos que viajan seguros a través de la Red
Cada vez son más las actividades que realizamos a través de Internet. Particularmente, aquellas que involucran el envío de datos personales altamente confidenciales generaban mucha desconfianza hasta hace algunos años, pero hoy están plenamente incorporadas a nuestra vida cotidiana. Por ejemplo, comprar o vender productos, realizar pagos de servicios o efectuar operaciones bancarias a través de la Red hoy es habitual entre la mayoría de los usuarios. Pero para que esto fuera posible, fue necesario el desarrollo de tecnologías que aseguraran la protección de nuestra información ante posibles intrusos malintencionados.
HTTPS (Hypertext Transfer Protocol Secure) es la versión segura de HTTP, el protocolo de comunicación entre computadoras conectadas en red que nos permite navegar por la World Wide Web.
HTTP funciona a través de un esquema de pedido-respuesta. Por ejemplo, cuando en un browser ingresamos la dirección de una página web, en realidad estamos enviando al servidor de destino una petición para recibir el contenido allí alojado. Como respuesta recibiremos el contenido solicitado o un mensaje de error. El protocolo establece varias peticiones y muchas respuestas posibles.
Pero muchos de estos intercambios son relativamente fáciles de interceptar por un tercero, quien podrá observar la información intercambiada e incluso alterarla sin que ninguna de las dos partes perciba el engaño (ataques man-in-the-middle). Por eso nació HTTPS, o HTTP protegido por una capa de seguridad dada por el protocolo SSL/TLS.
TLS (Transport Layer Security) es la evolución de SSL (Secure Socket Layer). Ambos brindan una importante protección contra ataques man-in-the-middle. Pero también proveen un mecanismo de encriptación: hacen que los datos viajen «transformados», de manera que, si un tercero logra interceptar el mensaje, solo lea una cadena de caracteres ininteligible. El remitente utiliza una clave pública para encriptar el mensaje, pero el receptor debe emplear una clave privada (solo conocida por él) para desencriptarlo. Un sitio web que utiliza HTTPS debe brindar un certificado digital, firmado por una autoridad competente, para asegurar la legitimidad de las transacciones que se procesan en él.
Implementando HTTPS, haremos que los usuarios de nuestro sitio web cuenten con mayor seguridad a la hora de adquirir los productos o utilizar los servicios que les ofrecemos.
0