¿Cuál es la diferencia entre HTTP y HTTPS? Cosas que necesita saber para mantenerse seguro en línea

Los usuarios de Mozilla Firefox pueden haberse topado con casos cuando intentan ingresar texto en un formulario en línea y ven un cuadro que dice: 'La conexión no es segura. Los inicios de sesión ingresados aquí podrían verse comprometidos.' Cuando los usuarios de Google Chrome acceden a estos sitios web, ven un mensaje 'No seguro' en la barra de direcciones. ¿De qué se trata todo esto?

Los más observadores probablemente sepan que algunas URL comienzan con "http://" y otras con "https://". También es posible que haya notado que cuando el sitio se carga bajo HTTPS, ve un símbolo de candado verde al lado de la dirección del sitio web. Este candado verde es realmente importante, y ahora explicaremos por qué.

¿Qué es el HTTP?

HTTP significa Protocolo de transferencia de hipertexto, y sin él, no estaría leyendo esto. HTTP facilita la transferencia de texto, imágenes y otros medios entre su computadora y el servidor que aloja el sitio web que está visitando. Navegar por Internet sin este protocolo sería una experiencia muy diferente.

Cuando Tim Berners-Lee creó HTTP en 1989, Internet no era exactamente omnipresente. Pocas personas tenían acceso a él, y los pioneros en línea no vieron por qué alguien querría robar información que viajaba entre computadoras. Las cosas, como probablemente saben, han cambiado bastante desde entonces.

HTTPS y su importancia

A medida que Internet crecía, más y más personas malas comenzaron a interesarse en la cantidad cada vez mayor de información que circulaba, y nació el llamado ataque Man-In-The-Middle (MITM). Como su nombre indica, durante un ataque MITM, una persona se inserta entre la computadora del usuario y el servidor del sitio web y olfatea los datos que fluyen. De esa manera, el delincuente puede robar contraseñas y alterar lo que el usuario envía y recibe.

Pronto se hizo evidente que el enfoque para enviar información confidencial a través de Internet debería cambiar, y así nació HTTPS o HTTP Secure. HTTPS es una extensión de HTTP en lugar de un protocolo diferente. Sirve para un par de propósitos principales:

• Cifrando sus datos. El cifrado está en el corazón de HTTPS. Inicialmente se basó en el protocolo criptográfico Secure Socket Layer (SSL), pero luego se cambió al sucesor más seguro de SSL, Transport Layer Security (TLS). Así es como funciona en términos simples: tan pronto como establezca una conexión HTTPS, su navegador y el servidor que aloja el sitio web realizan primero el llamado "apretón de manos" durante el cual, utilizando un cifrado asimétrico, intercambian de forma segura datos específicos de la sesión y La clave criptográfica que se utilizará para el cifrado de la información. A partir de ese momento, todos los datos que se envían desde y hacia su computadora son ilegibles para cualquier persona que no sea usted y el servidor. Como resultado, mientras que un hacker teóricamente podría interceptar sus credenciales de inicio de sesión de banca en línea, no tendrán idea de cuáles son sus nombre de usuario y contraseñas. Del mismo modo, no podrán capturar ni modificar ningún dato que el banco envíe a su PC.
• Asegurándote que estás en el lugar correcto. El propósito de HTTPS no es solo convertir sus datos en un lío de caracteres ilegible. Para servir su sitio web bajo una conexión HTTPS, necesita tener un certificado SSL (aunque SSL se abandonó hace un tiempo, el nombre se ha pegado). Estos certificados son emitidos por las llamadas Autoridades de Certificación (o CA), y la idea es que solo se otorgan a sitios web legítimos. Algunos portales en línea establecidos como PayPal han optado por certificados de Validación Extendida (EV) que mostrarán el nombre del propietario del sitio web. Aunque los expertos en seguridad consideran que no aportan ningún valor adicional, antes de emitir un certificado EV, las AC toman medidas adicionales para garantizar que la entidad certificada sea confiable. La idea de los certificados regulares y EV es informar al usuario que el sitio web que está visitando no es malicioso

Cuando navega por la red, desea asegurarse de estar siempre en el sitio web correcto, lo que, en la actualidad, no es tan fácil como parece. Con tantos piratas informáticos entrometidos acechando en cada esquina, también debes estar seguro de que los datos que envías no son visibles para las personas mal intencionadas. En teoría, HTTPS responde ambas preguntas. En realidad, aún debemos estar atentos.

La adopción de HTTPS y los problemas que conlleva

Durante años, los expertos en seguridad instaron a los operadores de sitios web a cambiar a HTTPS, pero sus llamadas cayeron en oídos sordos, y la razón era simple: dinero. Los certificados SSL eran bastante caros y fueron comprados principalmente por sitios web de comercio electrónico. Las cosas cambiaron hace dos años cuando surgió una nueva Autoridad de Certificación llamada Let's Encrypt. A diferencia del resto de las CA, Let's Encrypt ofrece certificados SSL de forma gratuita, y el proceso también está completamente automatizado, lo que significa que la adopción de HTTPS lleva solo unos minutos y exactamente $ 0.

El problema con esto es que servir sitios web a través de una conexión segura ahora es más simple tanto para negocios en línea legítimos como para delincuentes. Como resultado, los expertos han visto cada vez más páginas de phishing con certificados SSL. Y esto significa que el candado verde ya no puede considerarse un indicador confiable de una página web confiable y segura. Sin embargo, el hecho de que haya aumentado el número de sitios web HTTPS es algo bueno. Mejor aún, probablemente continuará aumentando.

Se dice que el rendimiento SEO de los sitios web servidos a través de una conexión insegura es menor, y pronto, Google Chrome etiquetará todos los sitios web HTTP como "No seguros", no solo los que tienen un formulario de inicio de sesión. En otras palabras, HTTPS se está convirtiendo en la norma, no en la excepción. Si queremos una World Wide Web más segura, este es un paso muy importante.