Uso de HTTPS: cómo cifrar y proteger un sitio web

¿Qué es HTTPS?

Probablemente ya esté familiarizado con el Protocolo de transferencia de hipertexto (HTTP): el protocolo detrás de la Web. En su forma básica, HTTP usa comunicaciones no cifradas para transferir datos entre el cliente y el servidor. Por lo tanto, cualquier persona que tenga acceso a cualquier segmento de red entre usted y el servidor (en su red, en la red del servidor o en cualquier otro lugar) puede ver los contenidos de su navegación en la Web.

Si desea evitar esta escucha clandestina, algo fundamental para las transacciones financieras, el intercambio de información personal sensible o muchas otras aplicaciones privadas, puede utilizar el protocolo de transferencia de hipertexto seguro (HTTPS). Este protocolo agrega cifrado utilizando Secure Sockets Layer (SSL) a la especificación HTTP básica. Aquí hay una vista simplificada de cómo funciona:

1. Usted inicia su navegador web y solicita una página segura utilizando el prefijo https:// en la URL.
2. Su navegador web contacta al servidor web en el puerto HTTPS (puerto TCP 443) y solicita una conexión segura.
3. El servidor responde con una copia de su certificado SSL.
4. Su navegador web usa el certificado para verificar la identidad del servidor remoto y extraer la clave pública del servidor remoto.
5. Su navegador web crea una clave de sesión, la encripta con la clave pública del servidor y envía la clave cifrada al servidor.
6. El servidor usa su clave privada para descifrar la clave de sesión.
7. El cliente y el servidor usan la clave de sesión para encriptar todas las comunicaciones posteriores.

Cómo implementar HTTPS en un sitio web

Es bastante fácil proteger su sitio web con un certificado SSL, lo que permite a los usuarios conectarse a través de una conexión cifrada HTTPS. Antes de poder hacerlo, debe obtener un certificado SSL de una autoridad certificadora (CA). Estos varían ampliamente en costo, entre $150 a más de $400 dólares por año por un certificado básico.

Elegir una autoridad de certificación de buena reputación es extremadamente importante. Durante el proceso de compra del certificado, la CA verificará su identidad antes de emitir el certificado. Los usuarios deben confiar en que la CA está realizando la debida diligencia antes de emitir el certificado. Más importante aún, casi siempre desea elegir una de las CA incluidas en la lista raíz de CAs de confianza de Windows. Si utiliza una CA no incluida en esta lista, los visitantes de su sitio web que utilizan sistemas Windows verán un mensaje de advertencia de que su certificado puede no ser válido.

Una vez que obtenga su certificado, debe instalarlo en su servidor web. Las instrucciones paso a paso están disponibles para instalar certificados digitales en Microsoft Internet Information Server (IIS) o servidor web Apache.

Conclusión

Instalar un certificado digital y proporcionar a los usuarios la capacidad de hacer conexiones HTTPS a su servidor web es una de las formas más simples en que puede agregar seguridad a su sitio web y aumentar la confianza del usuario en la realización de transacciones con usted a través de la Web. Esto proporciona el importantísimo ícono de "candado" en sus navegadores web y garantiza que sus comunicaciones no estén sujetas a escuchas en internet.

Sobre el autor: Mike Chapple, CISA, CISSP, es un profesional de seguridad de TI. Se ha desempeñado como investigador de seguridad de la información en la Agencia de Seguridad Nacional y la Fuerza Aérea de EE. UU. Mike es colaborador de SearchSecurity.com y autor de varios títulos de seguridad de la información, incluida la Guía de preparación de CISSP y Seguridad de la información iluminada.