El apretón de manos Tls
Si se puede llamar a una URL a través de https, la conexión de datos entre el navegador y el dominio se encripta en el servidor web. Para crear este cifrado, los datos correspondientes se llaman primero desde el navegador.
Los certificados SSL son emitidos por determinadas instituciones, las “Autoridades de Certificación” (CA). Los certificados deben ser solicitados por los operadores de un sitio web en estos puntos. A continuación, la solicitud se comprueba junto con toda la información relevante del sitio. A continuación, la CA publica el certificado creado para que pueda ser descargado cuando un cliente llame al sitio.
El cifrado propiamente dicho se realiza asegurando primero los datos con una clave pública. La información enviada entre el servidor y el cliente puede entonces descifrarse con la clave privada almacenada en el servidor web. Esto significa que terceros no tienen acceso a la conexión de datos entre los dos participantes.
El usuario puede saber si una conexión de datos entre un navegador y un servidor de dominio está cifrada con SSL por el https que precede a la dirección web. Este es el protocolo http convencional que está encriptado con SSL.
Qué es http
Dado que la criptografía asimétrica implica estos difíciles problemas matemáticos, requiere muchos recursos informáticos, hasta el punto de que si se utilizara para cifrar toda la información de una sesión de comunicaciones, el ordenador y la conexión se paralizarían. TLS evita este problema utilizando criptografía asimétrica sólo al principio de una sesión de comunicaciones para cifrar la conversación: el servidor y el cliente tienen que acordar una única clave de sesión que ambos utilizarán para cifrar sus paquetes a partir de ese momento. El cifrado que utiliza una clave compartida se denomina criptografía simétrica y es mucho menos intensivo en términos computacionales que la criptografía asimétrica. El proceso por el que se acuerda la clave de la sesión se denomina “handshake”, ya que es el momento en el que los dos ordenadores que se comunican se presentan el uno al otro, y está en el corazón del protocolo TLS.Proceso de handshake SSLEl proceso de handshake es bastante complejo, y hay una serie de variaciones permitidas por el protocolo. Los siguientes pasos proporcionan un amplio esquema que debería darle una idea de cómo funciona.
Https qué está encriptado
SSL y TLS realizan la misma función, y TLS es un sucesor y sustituto directo de SSL. Debido a su temprana ubicuidad, “SSL” se utiliza hoy en día con frecuencia para referirse genéricamente a TLS/HTTPS. Sin embargo, todas las versiones de SSL como protocolo se consideran ahora inseguras para el uso moderno.
En las conexiones HTTPS no secretas, si un atacante graba el tráfico encriptado entre un sitio web y sus visitantes, y más tarde obtiene la clave privada del sitio web, esa clave puede ser utilizada para descifrar todo el tráfico registrado anteriormente.
En las conexiones secretas, el servidor y el cliente crean una clave temporal para cada nueva sesión que se “desecha” una vez finalizada la misma. Esto significa que incluso si la clave privada base del servidor se ve comprometida, un atacante no puede descifrar la información de forma retroactiva.
El certificado raíz de confianza de la autoridad de certificación (que se incluye en el sistema operativo o el navegador) se utiliza para firmar un certificado intermedio, que se utiliza para firmar el certificado de su sitio web. Puede haber más de un certificado intermedio en la cadena. Una parte del proceso de firma consiste en calcular un “hash” de los datos incluidos en el certificado. Esto puede hacerse utilizando un algoritmo hash estándar, como SHA-1 o SHA-2.
Cómo funciona https
El cifrado SSL (Secure Sockets Layer), y su sustituto más moderno y seguro, el cifrado TLS (Transport Layer Security), protegen los datos enviados a través de Internet o de una red informática. Esto evita que los atacantes (y los proveedores de servicios de Internet) vean o manipulen los datos intercambiados entre dos nodos, normalmente el navegador web de un usuario y un servidor web o de aplicaciones. La mayoría de los propietarios y operadores de sitios web tienen la obligación de implementar SSL/TLS para proteger el intercambio de datos sensibles, como contraseñas, información de pago y otra información personal considerada privada.
SSL/TLS utiliza un cifrado asimétrico y simétrico para proteger la confidencialidad e integridad de los datos en tránsito. El cifrado asimétrico se utiliza para establecer una sesión segura entre un cliente y un servidor, y el cifrado simétrico se utiliza para intercambiar datos dentro de la sesión segura.
Un sitio web debe tener un certificado SSL/TLS para su servidor web/nombre de dominio para utilizar el cifrado SSL/TLS. Una vez instalado, el certificado permite al cliente y al servidor negociar de forma segura el nivel de cifrado en los siguientes pasos:
