Protocolo seguro de transferencia de hipertexto

Ir a la navegaci�nIr a la b�squeda
Protocolo seguro de transferencia de hipertexto
Familia Familia de protocolos de Internet
Funci�n Transferencia segura de hipertexto
Puertos 443/TCP
Ubicaci�n en la pila de protocolos
Aplicaci�n HTTPS
Transporte SSL/TLS
TCP
Red IP
Est�ndares
RFC 2818 � HTTP sobre TLS
[editar datos en Wikidata]
El Protocolo seguro de transferencia de hipertexto (en ingl�s: Hypertext Transfer
Protocol Secure o HTTPS), es un protocolo de aplicaci�n basado en el protocolo
HTTP, destinado a la transferencia segura de datos de Hipertexto, es decir, es la
versi�n segura de HTTP.

�ndice
1 Caracter�sticas t�cnicas
2 Historia
2.1 Diferencias con HTTP
2.2 Capas de red
2.3 Configuraci�n del servidor
2.3.1 Adquisici�n de certificados
2.3.2 Usar un control de acceso
2.3.3 En caso de claves privadas comprometidas
2.4 Adopci�n de HTTPS
2.5 Limitaciones
3 V�ase tambi�n
4 Referencias
5 Enlaces externos
Caracter�sticas t�cnicas

Muchos navegadores, incluyendo Firefox (en la imagen), usa un aviso en la barra de

direcciones para indicar al usuario de quedar su conexi�n es segura, coloreando el
fondo y con el nombre del due�o del sitio web.

Cuando se accede a un sitio web con un certificado com�n, en la barra de

direcciones no se observa el due�o del sitio. En algunos navegadores, puede
aparecer un s�mbolo de candado.
El sistema HTTPS utiliza un cifrado basado en la seguridad de textos SSL/TLS para
crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del
navegador utilizado por el cliente) m�s apropiado para el tr�fico de informaci�n
sensible que el protocolo HTTP. De este modo se consigue que la informaci�n
sensible (usuario y claves de paso normalmente) no pueda ser usada por un atacante
que haya conseguido interceptar la transferencia de datos de la conexi�n, ya que lo
�nico que obtendr� ser� un flujo de datos cifrados que le resultar� imposible de
descifrar.

El puerto est�ndar para este protocolo es el 443. (Tambi�n com�nmente usado el

4433)

Historia
Netscape Communications cre� HTTPS en 1992 para su navegador Netscape Navigator.1?
Originalmente, HTTPS era utilizado solamente con el cifrado SSL, pero este se
volvi� obsoleto ante TLS. HTTPS fue adoptado como un est�ndar web con la
publicaci�n de RFC 2818 en mayo del 2000.2?

Diferencias con HTTP

En el protocolo HTTP las URLs comienzan con "http://" y utilizan por omisi�n el
puerto 80, las URLs de HTTPS comienzan con "https://" y utilizan el puerto 443 por
omisi�n.

HTTP es inseguro y est� sujeto a ataques man-in-the-middle y eavesdropping que

pueden permitir al atacante obtener acceso a bancos y a cuentas de un sitio web e
informaci�n confidencial. HTTPS est� dise�ado para resistir esos ataques y ser m�s
seguro.

Capas de red
HTTP opera en la capa m�s alta del modelo OSI, la capa de aplicaci�n; pero el
protocolo de seguridad opera en una subcapa m�s baja, cifrando un mensaje HTTP
previo a la transmisi�n y descifrando un mensaje una vez recibido. Estrictamente
hablando, HTTPS no es un protocolo separado, pero refiere el uso del HTTP ordinario
sobre una Capa de Conexi�n Segura cifrada Secure Sockets Layer (SSL) o una conexi�n
con Seguridad de la Capa de Transporte (TLS).

Configuraci�n del servidor

Para preparar un servidor web que acepte conexiones HTTPS, el administrador debe
crear un certificado de clave p�blica para el servidor web. Este certificado debe
estar firmado por una autoridad de certificaci�n para que el navegador web lo
acepte. La autoridad certifica que el titular del certificado es quien dice ser.
Los navegadores web generalmente son distribuidos con los certificados ra�z
firmados por la mayor�a de las autoridades de certificaci�n por lo que estos pueden
verificar certificados firmados por ellos.

Adquisici�n de certificados
Adquirir certificados puede ser gratuito3?4? o costar entre US$135? y US$15006? por
a�o.

Las organizaciones pueden tambi�n ser su propia autoridad de certificaci�n,

particularmente si son responsables de establecer acceso a navegadores de sus
propios sitios (por ejemplo, sitios en la intranet de una empresa, o grandes
universidades). Estas pueden f�cilmente agregar copias de su propio certificado
firmado a los certificados de confianza distribuidos con el navegador.

Tambi�n existen autoridades de certificaci�n peer-to-peer.

Usar un control de acceso

El sistema puede tambi�n ser usado para la autenticaci�n de clientes con el
objetivo de limitar el acceso a un servidor web a usuarios autorizados. Para hacer
esto el administrador del sitio t�picamente crea un certificado para cada usuario,
un certificado que es guardado dentro de su navegador. Normalmente, este contiene
el nombre y la direcci�n de correo del usuario autorizado y es revisado
autom�ticamente en cada reconexi�n para verificar la identidad del usuario,
potencialmente sin que cada vez tenga que ingresar una contrase�a.

En caso de claves privadas comprometidas

Un certificado puede ser revocado si este ya ha expirado, por ejemplo cuando el
secreto de la llave privada ha sido comprometido. Los navegadores m�s nuevos como
son Firefox,7? Opera,8? e Internet Explorer sobre Windows Vista9? implementan el
Protocolo de Estado de Certificado Online (OCSP) para verificar que ese no es el
caso. El navegador env�a el n�mero de serie del certificado a la autoridad de
certificaci�n o, es delegado v�a OCSP y la autoridad responde, dici�ndole al
navegador si debe o no considerar el certificado como v�lido.10?
Adopci�n de HTTPS
En febrero de 2017, la adopci�n HTTPS fue:

Argentina: 9,77% del total de dominios.11?

Espa�a: 5,11% del total de dominios.12?

M�xico: 13.31% del total de dominios.13?

Chile: 18,71% del total de dominios.14?

Colombia: 4,85% del total de dominios.15?

Desde Google est�n intentando incentivar el uso de https para mejorar la seguridad
de transferencia de informaci�n en internet. Actualmente, desde su navegador Chrome
marcan como "no seguras" las urls bajo http y seg�n las comunicaciones de la
compa��a en un futuro marcar�n como "no seguras" todas las webs que no est�n bajo
https. Esto est� aumentando la tasa de implementaci�n de certificados SSL y cada
vez m�s webs est�n bajo https.

Limitaciones
El nivel de protecci�n depende de la exactitud de la implementaci�n del navegador
web, el software del servidor y los algoritmos de cifrado actualmente soportados.
Vea la lista en Idea Principal.

Tambi�n, HTTPS es vulnerable cuando se aplica a contenido est�tico de publicaci�n

disponible. El sitio entero puede ser indexado usando una ara�a web, y la URI del
recurso cifrado puede ser adivinada conociendo solamente el tama�o de la
petici�n/respuesta.16? Esto permite a un atacante tener acceso al texto plano
(contenido est�tico de publicaci�n), y al texto cifrado (La versi�n cifrada del
contenido est�tico), permitiendo un ataque criptogr�fico.

Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de nivel m�s
alto, los servidores SSL solo pueden presentar estrictamente un certificado para
una combinaci�n de puerto/IP en particular17? Esto quiere decir, que en la mayor�a
de los casos, no es recomendable usar Hosting virtual name-based con HTTPS. Existe
una soluci�n llamada Server Name Indication (SNI) que env�a el hostname al servidor
antes de que la conexi�n sea cifrada, sin embargo muchos navegadores antiguos no
soportan esta extensi�n. El soporte para SNI est� disponible desde Firefox 2, Opera
8, e Internet Explorer 7 sobre Windows Vista.18?19?20?

V�ase tambi�n
Protocolo AAA
Seguridad inform�tica
Secure Hypertext Transfer Protocol
HTTPS Everywhere
Referencias
Walls, Colin (2005). Embedded software. p. 344.
Rescorla, E (mayo de 2000s). �HTTP Over TLS�. Internet Engineering Task Force.
Consultado el 6 de mayo de 2009.
�Certificados Gratuitos StartSSL�. StartSSL. Consultado el 20 de mayo de 2009.
�Let's Encrypt - Free SSL/TLS Certificates�. Consultado el 16 de octubre de 2017.
�Servicios de Certificaci�n SSL�. Go Daddy. Consultado el 6 de mayo de 2009.
�Secure Site Pro con EV�. VeriSign. Consultado el 6 de mayo de 2009.
�Pol�tica de privacidad de Mozilla FireFox�. Mozilla Foundation. 27 de abril de
2009. Archivado desde el original el 26 de mayo de 2009. Consultado el 13 de mayo
de 2009.
Opera 8 lanzado en FTP. Softpedia. 19 de abril de 2005. Consultado el 13 de mayo
de 2009.
 Lawrence, Eric (31 de enero de 2006). �HTTPS Security Improvements en Internet
Explorer 7�. MSDN. Consultado el 13 de mayo de 2009.
Myers, M; Ankney, R; Malpani, A; Galperin, S; Adams, C (junio de 1999). �Online
Certificate Status Protocol - OCSP�. Internet Engineering Task Force. Consultado el
13 de mayo de 2009.
https://www.ardomo.com/estadisticas-del-internet-argentino
https://www.glasdom.es /estadisticas-del-internet-espanol
�Copia archivada�. Archivado desde el original el 13 de febrero de 2017.
Consultado el 20 de febrero de 2017.
https://www.domilo.cl/estadisticas-del-internet-chileno
�Copia archivada�. Archivado desde el original el 13 de febrero de 2017.
Consultado el 20 de febrero de 2017.
Morales, Manuel (22 de julio de 1938). �The Pirate Bay un-SSL�. Archivado desde el
original el 8 de marzo de 2009. Consultado el 11 de noviembre de 2013.
Apache FAQ: Why can't I use SSL with name-based/non-IP-based virtual hosts?
MORALES, Manuel (22julio de 1938). �Upcoming HTTPS Improvements in Internet
Explorer 7 Beta 2�. Microsoft. Consultado el 24 de noviembre de 2013.
Server Name Indication (SNI)
Mozilla 1.8
Enlaces externos
RFC 2818: HTTP Sobre TLS
Especificaciones SSL 3.0 (IETF)
P�gina Principal de Apache-SSL (No desarrollado �ltimamente)
Documentaci�n para mod_ssl de Apache 2.2
Protocolo HTTPS en el desarrollo de Internet Explorer - MSDN
Manually Configuring Windows Communication Foundation (WCF) cuando usar HTTP y
HTTPS - MSDN
Actualizaciones de Seguridad HTTPS en Internet Explorer 7 & su Impacto en la
Compatibilidad - MSDN
Comunicaci�n oficial de Google marcado webs como no seguras
Probador online de HTTP/3