View
1.359
Download
1
Category
Preview:
Citation preview
ESPOCH
Escuela de Ingenieriacutea en Sistemas
Hypertext Transfer Protocol Secure
1 Introduccioacuten
2 Caracteriacutesticas Teacutecnicas
21 Diferencias con HTTP
22 Capas de Red
23 Configuracioacuten
24 Limitaciones
PROTOCOLO HTTPS
Introduccioacuten
Hypertext Transfer Protocol Secure (Protocolo seguro de
transferencia de hipertexto) maacutes conocido por sus siglas HTTPS es un
protocolo de red basado en el protocolo HTTP destinado a la
transferencia segura de datos de hipertexto es decir es la versioacuten
segura de HTTP
Es mas utilizado por entidades bancarias tiendas en liacutenea y cualquier
tipo de servicio que requiera el enviacuteo de datos personales o
contrasentildeas como pueden ser transacciones bancarias comercio
electroacutenico en el que el usuario para completar una compra o alguna
transaccioacuten necesita brindar sus datos
La idea principal de https es la de crear un canal seguro sobre una red
insegura Proporcionando una proteccioacuten contra ataques eavesdropping
y man-in-the-middle siempre que se empleen meacutetodos de cifrado
adecuados y que el certificado del servidor sea verificado y resulte de
confianza
La confianza inherente en HTTPS estaacute basada en una Autoridad de
certificacioacuten superior que viene preinstalada en el software del
navegador (Es el equivalente a decir Confiacuteo en la autoridad de
certificacioacuten (pe VeriSignMicrosoftetc) para decirme en quien
deberiacutea confiar)
Una conexioacuten HTTPS a un website puede ser validada si y solo si todo lo
siguiente es verdad
bull El usuario confiacutea en la Autoridad de certificacioacuten para dar fe solo para
websites legiacutetimos sin nombres engantildeosos
bull El website proporciona un certificado vaacutelido (y un certificado invaacutelido
muestra una alerta en la mayoriacutea de los navegadores) lo que significa
que estaacute firmado por una autoridad confiable
bull El certificado identifica correctamente al website (pe visitando
httpsalgunsitio y recibiendo un certificado para AlgunSitio SA y no
AlgunZitio SA )
bull Cada uno de los nodos involucrados en internet son dignos de confianza
o que el usuario confiacutee en que la capa de cifrado del protocolo (TLS o SSL)
es inquebrantable por un eavesdropper
Integracioacuten con el Navegador
Los protocolos HTTPS son utilizados por navegadores como Safari
Internet Explorer Mozilla Firefox Opera y Google Chrome entre otros
Algunos navegadores utilizan un icono (generalmente un candado) en
la parte derecha de la barra de direcciones para indicar la existencia de
un protocolo de comunicaciones seguro e incluso cambian el color del
fondo de la barra de direcciones por amarillo (Firefox) o verde (Internet
Explorer) para identificar paacuteginas web seguras
Para conocer si una paacutegina web que estamos visitando utiliza el
protocolo https y es por tanto segura en cuanto a la trasmisioacuten de los
datos que estamos transcribiendo debemos observar si en la barra de
direcciones de nuestro navegador aparece https al comienzo en lugar
de http
Caracteriacutesticas Teacutecnicas
HTTPS utiliza un cifrado basado en SSLTLS para crear un canal
cifrado (cuyo nivel de cifrado depende del servidor remoto y del
navegador utilizado por el cliente) maacutes apropiado para el traacutefico de
informacioacuten sensible que el protocolo HTTP De este modo se
consigue que la informacioacuten sensible (usuario y claves de paso
normalmente) no pueda ser usada por un atacante que haya
conseguido interceptar la transferencia de datos de la conexioacuten ya
que lo uacutenico que obtendraacute seraacute un flujo de datos cifrados que le
resultaraacute imposible de descifrar
El puerto estaacutendar para este protocolo es el 443
Diferencias con HTTP
bull En el protocolo HTTP las URLs comienzan con http y en el seguro es
https
bullHTTP utilizana por defecto el puerto 80 las URLs de HTTPS utilizan el
puerto 443 por defecto
bullHTTP es inseguro y estaacute sujeto a ataques man-in-the-middle y
eavesdropping que pueden permitir al atacante obtener acceso a cuentas de
un sitio web e informacioacuten confidencial
bullHTTPS estaacute disentildeado para resistir esos ataques y ser seguro
Capas de Red
HTTP opera en la capa maacutes alta del Modelo OSI la Capa de Aplicacioacuten
pero el protocolo HTTPS opera en una subcapa maacutes baja cifrando un
mensaje HTTP previo a la transmisioacuten y descifrando un mensaje una
vez recibido
Estrictamente hablando HTTPS no es un protocolo separado pero
refiere el uso del HTTP ordinario sobre una Capa de Conexioacuten Segura
cifrada Secure Sockets Layer (SSL) o una conexioacuten con Seguridad de la
Capa de Transporte (TLS)
Configuracioacuten del Servidor
Para preparar un servidor web que acepte conexiones HTTPS el
administrador debe crear un Certificado de clave puacuteblica para el servidor
web Este certificado debe estar firmado por una Autoridad de certificacioacuten
para que el navegador web lo acepte La autoridad certifica que el titular del
certificado es quien dice ser Los navegadores web generalmente son
distribuidos con los certificados firmados por la mayoriacutea de las Autoridades
de Certificacioacuten por lo que estos pueden verificar certificados firmados por
ellos
Limitaciones
bull El nivel de proteccioacuten depende de la exactitud de la implementacioacuten del
navegador web el software del servidor y los algoritmos de cifrado
actualmente soportados
bull Tambieacuten HTTPS es vulnerable cuando se aplica a contenido estaacutetico de
publicacioacuten disponible El sitio entero puede ser indexado usando una Arantildea
web y la URI del recurso cifrado puede ser adivinada conociendo solamente
el tamantildeo de la peticioacutenrespuesta Esto permite a un atacante tener acceso al
Texto plano (contenido estaacutetico de publicacioacuten) y al Texto cifrado (La versioacuten
cifrada del contenido estaacutetico) permitiendo un ataque criptograacutefico
bull Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de
nivel maacutes alto los servidores SSL solo pueden presentar estrictamente un
certificado para una combinacioacuten de puertoIP en particular Esto quiere
decir que en la mayoriacutea de los casos no es recomendable usar Hosting
virtual name-based con HTTPS Existe una solucioacuten llamada Server Name
Indication (SNI) que enviacutea el hostname al servidor antes de que la conexioacuten
sea cifrada sin embargo muchos navegadores antiguos no soportan esta
extensioacuten El soporte para SNI estaacute disponible desde Firefox 2 Opera 8 e
Internet Explorer 7 sobre Windows Vista
CONCLUSIONES
bull El protocolo HTTP es un protocolo faacutecil de violentar ya que
personas infiltradas pueden capturar los datos que se estaacuten
transmitiendo y con esa informacioacuten poder causar dantildeos y
perjuicios a personas empresas u cualquier entidad
bull El protocolo HTTPS cambia lo dicho por HTTPS al utilizar un
cifrado en el que los infiltrados podraacuten tal vez capturar los datos
transmitidos pero lo que no podraacuten es descifrar la informacioacuten ya
que esta esta encriptado
Hypertext Transfer Protocol Secure
1 Introduccioacuten
2 Caracteriacutesticas Teacutecnicas
21 Diferencias con HTTP
22 Capas de Red
23 Configuracioacuten
24 Limitaciones
PROTOCOLO HTTPS
Introduccioacuten
Hypertext Transfer Protocol Secure (Protocolo seguro de
transferencia de hipertexto) maacutes conocido por sus siglas HTTPS es un
protocolo de red basado en el protocolo HTTP destinado a la
transferencia segura de datos de hipertexto es decir es la versioacuten
segura de HTTP
Es mas utilizado por entidades bancarias tiendas en liacutenea y cualquier
tipo de servicio que requiera el enviacuteo de datos personales o
contrasentildeas como pueden ser transacciones bancarias comercio
electroacutenico en el que el usuario para completar una compra o alguna
transaccioacuten necesita brindar sus datos
La idea principal de https es la de crear un canal seguro sobre una red
insegura Proporcionando una proteccioacuten contra ataques eavesdropping
y man-in-the-middle siempre que se empleen meacutetodos de cifrado
adecuados y que el certificado del servidor sea verificado y resulte de
confianza
La confianza inherente en HTTPS estaacute basada en una Autoridad de
certificacioacuten superior que viene preinstalada en el software del
navegador (Es el equivalente a decir Confiacuteo en la autoridad de
certificacioacuten (pe VeriSignMicrosoftetc) para decirme en quien
deberiacutea confiar)
Una conexioacuten HTTPS a un website puede ser validada si y solo si todo lo
siguiente es verdad
bull El usuario confiacutea en la Autoridad de certificacioacuten para dar fe solo para
websites legiacutetimos sin nombres engantildeosos
bull El website proporciona un certificado vaacutelido (y un certificado invaacutelido
muestra una alerta en la mayoriacutea de los navegadores) lo que significa
que estaacute firmado por una autoridad confiable
bull El certificado identifica correctamente al website (pe visitando
httpsalgunsitio y recibiendo un certificado para AlgunSitio SA y no
AlgunZitio SA )
bull Cada uno de los nodos involucrados en internet son dignos de confianza
o que el usuario confiacutee en que la capa de cifrado del protocolo (TLS o SSL)
es inquebrantable por un eavesdropper
Integracioacuten con el Navegador
Los protocolos HTTPS son utilizados por navegadores como Safari
Internet Explorer Mozilla Firefox Opera y Google Chrome entre otros
Algunos navegadores utilizan un icono (generalmente un candado) en
la parte derecha de la barra de direcciones para indicar la existencia de
un protocolo de comunicaciones seguro e incluso cambian el color del
fondo de la barra de direcciones por amarillo (Firefox) o verde (Internet
Explorer) para identificar paacuteginas web seguras
Para conocer si una paacutegina web que estamos visitando utiliza el
protocolo https y es por tanto segura en cuanto a la trasmisioacuten de los
datos que estamos transcribiendo debemos observar si en la barra de
direcciones de nuestro navegador aparece https al comienzo en lugar
de http
Caracteriacutesticas Teacutecnicas
HTTPS utiliza un cifrado basado en SSLTLS para crear un canal
cifrado (cuyo nivel de cifrado depende del servidor remoto y del
navegador utilizado por el cliente) maacutes apropiado para el traacutefico de
informacioacuten sensible que el protocolo HTTP De este modo se
consigue que la informacioacuten sensible (usuario y claves de paso
normalmente) no pueda ser usada por un atacante que haya
conseguido interceptar la transferencia de datos de la conexioacuten ya
que lo uacutenico que obtendraacute seraacute un flujo de datos cifrados que le
resultaraacute imposible de descifrar
El puerto estaacutendar para este protocolo es el 443
Diferencias con HTTP
bull En el protocolo HTTP las URLs comienzan con http y en el seguro es
https
bullHTTP utilizana por defecto el puerto 80 las URLs de HTTPS utilizan el
puerto 443 por defecto
bullHTTP es inseguro y estaacute sujeto a ataques man-in-the-middle y
eavesdropping que pueden permitir al atacante obtener acceso a cuentas de
un sitio web e informacioacuten confidencial
bullHTTPS estaacute disentildeado para resistir esos ataques y ser seguro
Capas de Red
HTTP opera en la capa maacutes alta del Modelo OSI la Capa de Aplicacioacuten
pero el protocolo HTTPS opera en una subcapa maacutes baja cifrando un
mensaje HTTP previo a la transmisioacuten y descifrando un mensaje una
vez recibido
Estrictamente hablando HTTPS no es un protocolo separado pero
refiere el uso del HTTP ordinario sobre una Capa de Conexioacuten Segura
cifrada Secure Sockets Layer (SSL) o una conexioacuten con Seguridad de la
Capa de Transporte (TLS)
Configuracioacuten del Servidor
Para preparar un servidor web que acepte conexiones HTTPS el
administrador debe crear un Certificado de clave puacuteblica para el servidor
web Este certificado debe estar firmado por una Autoridad de certificacioacuten
para que el navegador web lo acepte La autoridad certifica que el titular del
certificado es quien dice ser Los navegadores web generalmente son
distribuidos con los certificados firmados por la mayoriacutea de las Autoridades
de Certificacioacuten por lo que estos pueden verificar certificados firmados por
ellos
Limitaciones
bull El nivel de proteccioacuten depende de la exactitud de la implementacioacuten del
navegador web el software del servidor y los algoritmos de cifrado
actualmente soportados
bull Tambieacuten HTTPS es vulnerable cuando se aplica a contenido estaacutetico de
publicacioacuten disponible El sitio entero puede ser indexado usando una Arantildea
web y la URI del recurso cifrado puede ser adivinada conociendo solamente
el tamantildeo de la peticioacutenrespuesta Esto permite a un atacante tener acceso al
Texto plano (contenido estaacutetico de publicacioacuten) y al Texto cifrado (La versioacuten
cifrada del contenido estaacutetico) permitiendo un ataque criptograacutefico
bull Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de
nivel maacutes alto los servidores SSL solo pueden presentar estrictamente un
certificado para una combinacioacuten de puertoIP en particular Esto quiere
decir que en la mayoriacutea de los casos no es recomendable usar Hosting
virtual name-based con HTTPS Existe una solucioacuten llamada Server Name
Indication (SNI) que enviacutea el hostname al servidor antes de que la conexioacuten
sea cifrada sin embargo muchos navegadores antiguos no soportan esta
extensioacuten El soporte para SNI estaacute disponible desde Firefox 2 Opera 8 e
Internet Explorer 7 sobre Windows Vista
CONCLUSIONES
bull El protocolo HTTP es un protocolo faacutecil de violentar ya que
personas infiltradas pueden capturar los datos que se estaacuten
transmitiendo y con esa informacioacuten poder causar dantildeos y
perjuicios a personas empresas u cualquier entidad
bull El protocolo HTTPS cambia lo dicho por HTTPS al utilizar un
cifrado en el que los infiltrados podraacuten tal vez capturar los datos
transmitidos pero lo que no podraacuten es descifrar la informacioacuten ya
que esta esta encriptado
PROTOCOLO HTTPS
Introduccioacuten
Hypertext Transfer Protocol Secure (Protocolo seguro de
transferencia de hipertexto) maacutes conocido por sus siglas HTTPS es un
protocolo de red basado en el protocolo HTTP destinado a la
transferencia segura de datos de hipertexto es decir es la versioacuten
segura de HTTP
Es mas utilizado por entidades bancarias tiendas en liacutenea y cualquier
tipo de servicio que requiera el enviacuteo de datos personales o
contrasentildeas como pueden ser transacciones bancarias comercio
electroacutenico en el que el usuario para completar una compra o alguna
transaccioacuten necesita brindar sus datos
La idea principal de https es la de crear un canal seguro sobre una red
insegura Proporcionando una proteccioacuten contra ataques eavesdropping
y man-in-the-middle siempre que se empleen meacutetodos de cifrado
adecuados y que el certificado del servidor sea verificado y resulte de
confianza
La confianza inherente en HTTPS estaacute basada en una Autoridad de
certificacioacuten superior que viene preinstalada en el software del
navegador (Es el equivalente a decir Confiacuteo en la autoridad de
certificacioacuten (pe VeriSignMicrosoftetc) para decirme en quien
deberiacutea confiar)
Una conexioacuten HTTPS a un website puede ser validada si y solo si todo lo
siguiente es verdad
bull El usuario confiacutea en la Autoridad de certificacioacuten para dar fe solo para
websites legiacutetimos sin nombres engantildeosos
bull El website proporciona un certificado vaacutelido (y un certificado invaacutelido
muestra una alerta en la mayoriacutea de los navegadores) lo que significa
que estaacute firmado por una autoridad confiable
bull El certificado identifica correctamente al website (pe visitando
httpsalgunsitio y recibiendo un certificado para AlgunSitio SA y no
AlgunZitio SA )
bull Cada uno de los nodos involucrados en internet son dignos de confianza
o que el usuario confiacutee en que la capa de cifrado del protocolo (TLS o SSL)
es inquebrantable por un eavesdropper
Integracioacuten con el Navegador
Los protocolos HTTPS son utilizados por navegadores como Safari
Internet Explorer Mozilla Firefox Opera y Google Chrome entre otros
Algunos navegadores utilizan un icono (generalmente un candado) en
la parte derecha de la barra de direcciones para indicar la existencia de
un protocolo de comunicaciones seguro e incluso cambian el color del
fondo de la barra de direcciones por amarillo (Firefox) o verde (Internet
Explorer) para identificar paacuteginas web seguras
Para conocer si una paacutegina web que estamos visitando utiliza el
protocolo https y es por tanto segura en cuanto a la trasmisioacuten de los
datos que estamos transcribiendo debemos observar si en la barra de
direcciones de nuestro navegador aparece https al comienzo en lugar
de http
Caracteriacutesticas Teacutecnicas
HTTPS utiliza un cifrado basado en SSLTLS para crear un canal
cifrado (cuyo nivel de cifrado depende del servidor remoto y del
navegador utilizado por el cliente) maacutes apropiado para el traacutefico de
informacioacuten sensible que el protocolo HTTP De este modo se
consigue que la informacioacuten sensible (usuario y claves de paso
normalmente) no pueda ser usada por un atacante que haya
conseguido interceptar la transferencia de datos de la conexioacuten ya
que lo uacutenico que obtendraacute seraacute un flujo de datos cifrados que le
resultaraacute imposible de descifrar
El puerto estaacutendar para este protocolo es el 443
Diferencias con HTTP
bull En el protocolo HTTP las URLs comienzan con http y en el seguro es
https
bullHTTP utilizana por defecto el puerto 80 las URLs de HTTPS utilizan el
puerto 443 por defecto
bullHTTP es inseguro y estaacute sujeto a ataques man-in-the-middle y
eavesdropping que pueden permitir al atacante obtener acceso a cuentas de
un sitio web e informacioacuten confidencial
bullHTTPS estaacute disentildeado para resistir esos ataques y ser seguro
Capas de Red
HTTP opera en la capa maacutes alta del Modelo OSI la Capa de Aplicacioacuten
pero el protocolo HTTPS opera en una subcapa maacutes baja cifrando un
mensaje HTTP previo a la transmisioacuten y descifrando un mensaje una
vez recibido
Estrictamente hablando HTTPS no es un protocolo separado pero
refiere el uso del HTTP ordinario sobre una Capa de Conexioacuten Segura
cifrada Secure Sockets Layer (SSL) o una conexioacuten con Seguridad de la
Capa de Transporte (TLS)
Configuracioacuten del Servidor
Para preparar un servidor web que acepte conexiones HTTPS el
administrador debe crear un Certificado de clave puacuteblica para el servidor
web Este certificado debe estar firmado por una Autoridad de certificacioacuten
para que el navegador web lo acepte La autoridad certifica que el titular del
certificado es quien dice ser Los navegadores web generalmente son
distribuidos con los certificados firmados por la mayoriacutea de las Autoridades
de Certificacioacuten por lo que estos pueden verificar certificados firmados por
ellos
Limitaciones
bull El nivel de proteccioacuten depende de la exactitud de la implementacioacuten del
navegador web el software del servidor y los algoritmos de cifrado
actualmente soportados
bull Tambieacuten HTTPS es vulnerable cuando se aplica a contenido estaacutetico de
publicacioacuten disponible El sitio entero puede ser indexado usando una Arantildea
web y la URI del recurso cifrado puede ser adivinada conociendo solamente
el tamantildeo de la peticioacutenrespuesta Esto permite a un atacante tener acceso al
Texto plano (contenido estaacutetico de publicacioacuten) y al Texto cifrado (La versioacuten
cifrada del contenido estaacutetico) permitiendo un ataque criptograacutefico
bull Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de
nivel maacutes alto los servidores SSL solo pueden presentar estrictamente un
certificado para una combinacioacuten de puertoIP en particular Esto quiere
decir que en la mayoriacutea de los casos no es recomendable usar Hosting
virtual name-based con HTTPS Existe una solucioacuten llamada Server Name
Indication (SNI) que enviacutea el hostname al servidor antes de que la conexioacuten
sea cifrada sin embargo muchos navegadores antiguos no soportan esta
extensioacuten El soporte para SNI estaacute disponible desde Firefox 2 Opera 8 e
Internet Explorer 7 sobre Windows Vista
CONCLUSIONES
bull El protocolo HTTP es un protocolo faacutecil de violentar ya que
personas infiltradas pueden capturar los datos que se estaacuten
transmitiendo y con esa informacioacuten poder causar dantildeos y
perjuicios a personas empresas u cualquier entidad
bull El protocolo HTTPS cambia lo dicho por HTTPS al utilizar un
cifrado en el que los infiltrados podraacuten tal vez capturar los datos
transmitidos pero lo que no podraacuten es descifrar la informacioacuten ya
que esta esta encriptado
Introduccioacuten
Hypertext Transfer Protocol Secure (Protocolo seguro de
transferencia de hipertexto) maacutes conocido por sus siglas HTTPS es un
protocolo de red basado en el protocolo HTTP destinado a la
transferencia segura de datos de hipertexto es decir es la versioacuten
segura de HTTP
Es mas utilizado por entidades bancarias tiendas en liacutenea y cualquier
tipo de servicio que requiera el enviacuteo de datos personales o
contrasentildeas como pueden ser transacciones bancarias comercio
electroacutenico en el que el usuario para completar una compra o alguna
transaccioacuten necesita brindar sus datos
La idea principal de https es la de crear un canal seguro sobre una red
insegura Proporcionando una proteccioacuten contra ataques eavesdropping
y man-in-the-middle siempre que se empleen meacutetodos de cifrado
adecuados y que el certificado del servidor sea verificado y resulte de
confianza
La confianza inherente en HTTPS estaacute basada en una Autoridad de
certificacioacuten superior que viene preinstalada en el software del
navegador (Es el equivalente a decir Confiacuteo en la autoridad de
certificacioacuten (pe VeriSignMicrosoftetc) para decirme en quien
deberiacutea confiar)
Una conexioacuten HTTPS a un website puede ser validada si y solo si todo lo
siguiente es verdad
bull El usuario confiacutea en la Autoridad de certificacioacuten para dar fe solo para
websites legiacutetimos sin nombres engantildeosos
bull El website proporciona un certificado vaacutelido (y un certificado invaacutelido
muestra una alerta en la mayoriacutea de los navegadores) lo que significa
que estaacute firmado por una autoridad confiable
bull El certificado identifica correctamente al website (pe visitando
httpsalgunsitio y recibiendo un certificado para AlgunSitio SA y no
AlgunZitio SA )
bull Cada uno de los nodos involucrados en internet son dignos de confianza
o que el usuario confiacutee en que la capa de cifrado del protocolo (TLS o SSL)
es inquebrantable por un eavesdropper
Integracioacuten con el Navegador
Los protocolos HTTPS son utilizados por navegadores como Safari
Internet Explorer Mozilla Firefox Opera y Google Chrome entre otros
Algunos navegadores utilizan un icono (generalmente un candado) en
la parte derecha de la barra de direcciones para indicar la existencia de
un protocolo de comunicaciones seguro e incluso cambian el color del
fondo de la barra de direcciones por amarillo (Firefox) o verde (Internet
Explorer) para identificar paacuteginas web seguras
Para conocer si una paacutegina web que estamos visitando utiliza el
protocolo https y es por tanto segura en cuanto a la trasmisioacuten de los
datos que estamos transcribiendo debemos observar si en la barra de
direcciones de nuestro navegador aparece https al comienzo en lugar
de http
Caracteriacutesticas Teacutecnicas
HTTPS utiliza un cifrado basado en SSLTLS para crear un canal
cifrado (cuyo nivel de cifrado depende del servidor remoto y del
navegador utilizado por el cliente) maacutes apropiado para el traacutefico de
informacioacuten sensible que el protocolo HTTP De este modo se
consigue que la informacioacuten sensible (usuario y claves de paso
normalmente) no pueda ser usada por un atacante que haya
conseguido interceptar la transferencia de datos de la conexioacuten ya
que lo uacutenico que obtendraacute seraacute un flujo de datos cifrados que le
resultaraacute imposible de descifrar
El puerto estaacutendar para este protocolo es el 443
Diferencias con HTTP
bull En el protocolo HTTP las URLs comienzan con http y en el seguro es
https
bullHTTP utilizana por defecto el puerto 80 las URLs de HTTPS utilizan el
puerto 443 por defecto
bullHTTP es inseguro y estaacute sujeto a ataques man-in-the-middle y
eavesdropping que pueden permitir al atacante obtener acceso a cuentas de
un sitio web e informacioacuten confidencial
bullHTTPS estaacute disentildeado para resistir esos ataques y ser seguro
Capas de Red
HTTP opera en la capa maacutes alta del Modelo OSI la Capa de Aplicacioacuten
pero el protocolo HTTPS opera en una subcapa maacutes baja cifrando un
mensaje HTTP previo a la transmisioacuten y descifrando un mensaje una
vez recibido
Estrictamente hablando HTTPS no es un protocolo separado pero
refiere el uso del HTTP ordinario sobre una Capa de Conexioacuten Segura
cifrada Secure Sockets Layer (SSL) o una conexioacuten con Seguridad de la
Capa de Transporte (TLS)
Configuracioacuten del Servidor
Para preparar un servidor web que acepte conexiones HTTPS el
administrador debe crear un Certificado de clave puacuteblica para el servidor
web Este certificado debe estar firmado por una Autoridad de certificacioacuten
para que el navegador web lo acepte La autoridad certifica que el titular del
certificado es quien dice ser Los navegadores web generalmente son
distribuidos con los certificados firmados por la mayoriacutea de las Autoridades
de Certificacioacuten por lo que estos pueden verificar certificados firmados por
ellos
Limitaciones
bull El nivel de proteccioacuten depende de la exactitud de la implementacioacuten del
navegador web el software del servidor y los algoritmos de cifrado
actualmente soportados
bull Tambieacuten HTTPS es vulnerable cuando se aplica a contenido estaacutetico de
publicacioacuten disponible El sitio entero puede ser indexado usando una Arantildea
web y la URI del recurso cifrado puede ser adivinada conociendo solamente
el tamantildeo de la peticioacutenrespuesta Esto permite a un atacante tener acceso al
Texto plano (contenido estaacutetico de publicacioacuten) y al Texto cifrado (La versioacuten
cifrada del contenido estaacutetico) permitiendo un ataque criptograacutefico
bull Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de
nivel maacutes alto los servidores SSL solo pueden presentar estrictamente un
certificado para una combinacioacuten de puertoIP en particular Esto quiere
decir que en la mayoriacutea de los casos no es recomendable usar Hosting
virtual name-based con HTTPS Existe una solucioacuten llamada Server Name
Indication (SNI) que enviacutea el hostname al servidor antes de que la conexioacuten
sea cifrada sin embargo muchos navegadores antiguos no soportan esta
extensioacuten El soporte para SNI estaacute disponible desde Firefox 2 Opera 8 e
Internet Explorer 7 sobre Windows Vista
CONCLUSIONES
bull El protocolo HTTP es un protocolo faacutecil de violentar ya que
personas infiltradas pueden capturar los datos que se estaacuten
transmitiendo y con esa informacioacuten poder causar dantildeos y
perjuicios a personas empresas u cualquier entidad
bull El protocolo HTTPS cambia lo dicho por HTTPS al utilizar un
cifrado en el que los infiltrados podraacuten tal vez capturar los datos
transmitidos pero lo que no podraacuten es descifrar la informacioacuten ya
que esta esta encriptado
La idea principal de https es la de crear un canal seguro sobre una red
insegura Proporcionando una proteccioacuten contra ataques eavesdropping
y man-in-the-middle siempre que se empleen meacutetodos de cifrado
adecuados y que el certificado del servidor sea verificado y resulte de
confianza
La confianza inherente en HTTPS estaacute basada en una Autoridad de
certificacioacuten superior que viene preinstalada en el software del
navegador (Es el equivalente a decir Confiacuteo en la autoridad de
certificacioacuten (pe VeriSignMicrosoftetc) para decirme en quien
deberiacutea confiar)
Una conexioacuten HTTPS a un website puede ser validada si y solo si todo lo
siguiente es verdad
bull El usuario confiacutea en la Autoridad de certificacioacuten para dar fe solo para
websites legiacutetimos sin nombres engantildeosos
bull El website proporciona un certificado vaacutelido (y un certificado invaacutelido
muestra una alerta en la mayoriacutea de los navegadores) lo que significa
que estaacute firmado por una autoridad confiable
bull El certificado identifica correctamente al website (pe visitando
httpsalgunsitio y recibiendo un certificado para AlgunSitio SA y no
AlgunZitio SA )
bull Cada uno de los nodos involucrados en internet son dignos de confianza
o que el usuario confiacutee en que la capa de cifrado del protocolo (TLS o SSL)
es inquebrantable por un eavesdropper
Integracioacuten con el Navegador
Los protocolos HTTPS son utilizados por navegadores como Safari
Internet Explorer Mozilla Firefox Opera y Google Chrome entre otros
Algunos navegadores utilizan un icono (generalmente un candado) en
la parte derecha de la barra de direcciones para indicar la existencia de
un protocolo de comunicaciones seguro e incluso cambian el color del
fondo de la barra de direcciones por amarillo (Firefox) o verde (Internet
Explorer) para identificar paacuteginas web seguras
Para conocer si una paacutegina web que estamos visitando utiliza el
protocolo https y es por tanto segura en cuanto a la trasmisioacuten de los
datos que estamos transcribiendo debemos observar si en la barra de
direcciones de nuestro navegador aparece https al comienzo en lugar
de http
Caracteriacutesticas Teacutecnicas
HTTPS utiliza un cifrado basado en SSLTLS para crear un canal
cifrado (cuyo nivel de cifrado depende del servidor remoto y del
navegador utilizado por el cliente) maacutes apropiado para el traacutefico de
informacioacuten sensible que el protocolo HTTP De este modo se
consigue que la informacioacuten sensible (usuario y claves de paso
normalmente) no pueda ser usada por un atacante que haya
conseguido interceptar la transferencia de datos de la conexioacuten ya
que lo uacutenico que obtendraacute seraacute un flujo de datos cifrados que le
resultaraacute imposible de descifrar
El puerto estaacutendar para este protocolo es el 443
Diferencias con HTTP
bull En el protocolo HTTP las URLs comienzan con http y en el seguro es
https
bullHTTP utilizana por defecto el puerto 80 las URLs de HTTPS utilizan el
puerto 443 por defecto
bullHTTP es inseguro y estaacute sujeto a ataques man-in-the-middle y
eavesdropping que pueden permitir al atacante obtener acceso a cuentas de
un sitio web e informacioacuten confidencial
bullHTTPS estaacute disentildeado para resistir esos ataques y ser seguro
Capas de Red
HTTP opera en la capa maacutes alta del Modelo OSI la Capa de Aplicacioacuten
pero el protocolo HTTPS opera en una subcapa maacutes baja cifrando un
mensaje HTTP previo a la transmisioacuten y descifrando un mensaje una
vez recibido
Estrictamente hablando HTTPS no es un protocolo separado pero
refiere el uso del HTTP ordinario sobre una Capa de Conexioacuten Segura
cifrada Secure Sockets Layer (SSL) o una conexioacuten con Seguridad de la
Capa de Transporte (TLS)
Configuracioacuten del Servidor
Para preparar un servidor web que acepte conexiones HTTPS el
administrador debe crear un Certificado de clave puacuteblica para el servidor
web Este certificado debe estar firmado por una Autoridad de certificacioacuten
para que el navegador web lo acepte La autoridad certifica que el titular del
certificado es quien dice ser Los navegadores web generalmente son
distribuidos con los certificados firmados por la mayoriacutea de las Autoridades
de Certificacioacuten por lo que estos pueden verificar certificados firmados por
ellos
Limitaciones
bull El nivel de proteccioacuten depende de la exactitud de la implementacioacuten del
navegador web el software del servidor y los algoritmos de cifrado
actualmente soportados
bull Tambieacuten HTTPS es vulnerable cuando se aplica a contenido estaacutetico de
publicacioacuten disponible El sitio entero puede ser indexado usando una Arantildea
web y la URI del recurso cifrado puede ser adivinada conociendo solamente
el tamantildeo de la peticioacutenrespuesta Esto permite a un atacante tener acceso al
Texto plano (contenido estaacutetico de publicacioacuten) y al Texto cifrado (La versioacuten
cifrada del contenido estaacutetico) permitiendo un ataque criptograacutefico
bull Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de
nivel maacutes alto los servidores SSL solo pueden presentar estrictamente un
certificado para una combinacioacuten de puertoIP en particular Esto quiere
decir que en la mayoriacutea de los casos no es recomendable usar Hosting
virtual name-based con HTTPS Existe una solucioacuten llamada Server Name
Indication (SNI) que enviacutea el hostname al servidor antes de que la conexioacuten
sea cifrada sin embargo muchos navegadores antiguos no soportan esta
extensioacuten El soporte para SNI estaacute disponible desde Firefox 2 Opera 8 e
Internet Explorer 7 sobre Windows Vista
CONCLUSIONES
bull El protocolo HTTP es un protocolo faacutecil de violentar ya que
personas infiltradas pueden capturar los datos que se estaacuten
transmitiendo y con esa informacioacuten poder causar dantildeos y
perjuicios a personas empresas u cualquier entidad
bull El protocolo HTTPS cambia lo dicho por HTTPS al utilizar un
cifrado en el que los infiltrados podraacuten tal vez capturar los datos
transmitidos pero lo que no podraacuten es descifrar la informacioacuten ya
que esta esta encriptado
Una conexioacuten HTTPS a un website puede ser validada si y solo si todo lo
siguiente es verdad
bull El usuario confiacutea en la Autoridad de certificacioacuten para dar fe solo para
websites legiacutetimos sin nombres engantildeosos
bull El website proporciona un certificado vaacutelido (y un certificado invaacutelido
muestra una alerta en la mayoriacutea de los navegadores) lo que significa
que estaacute firmado por una autoridad confiable
bull El certificado identifica correctamente al website (pe visitando
httpsalgunsitio y recibiendo un certificado para AlgunSitio SA y no
AlgunZitio SA )
bull Cada uno de los nodos involucrados en internet son dignos de confianza
o que el usuario confiacutee en que la capa de cifrado del protocolo (TLS o SSL)
es inquebrantable por un eavesdropper
Integracioacuten con el Navegador
Los protocolos HTTPS son utilizados por navegadores como Safari
Internet Explorer Mozilla Firefox Opera y Google Chrome entre otros
Algunos navegadores utilizan un icono (generalmente un candado) en
la parte derecha de la barra de direcciones para indicar la existencia de
un protocolo de comunicaciones seguro e incluso cambian el color del
fondo de la barra de direcciones por amarillo (Firefox) o verde (Internet
Explorer) para identificar paacuteginas web seguras
Para conocer si una paacutegina web que estamos visitando utiliza el
protocolo https y es por tanto segura en cuanto a la trasmisioacuten de los
datos que estamos transcribiendo debemos observar si en la barra de
direcciones de nuestro navegador aparece https al comienzo en lugar
de http
Caracteriacutesticas Teacutecnicas
HTTPS utiliza un cifrado basado en SSLTLS para crear un canal
cifrado (cuyo nivel de cifrado depende del servidor remoto y del
navegador utilizado por el cliente) maacutes apropiado para el traacutefico de
informacioacuten sensible que el protocolo HTTP De este modo se
consigue que la informacioacuten sensible (usuario y claves de paso
normalmente) no pueda ser usada por un atacante que haya
conseguido interceptar la transferencia de datos de la conexioacuten ya
que lo uacutenico que obtendraacute seraacute un flujo de datos cifrados que le
resultaraacute imposible de descifrar
El puerto estaacutendar para este protocolo es el 443
Diferencias con HTTP
bull En el protocolo HTTP las URLs comienzan con http y en el seguro es
https
bullHTTP utilizana por defecto el puerto 80 las URLs de HTTPS utilizan el
puerto 443 por defecto
bullHTTP es inseguro y estaacute sujeto a ataques man-in-the-middle y
eavesdropping que pueden permitir al atacante obtener acceso a cuentas de
un sitio web e informacioacuten confidencial
bullHTTPS estaacute disentildeado para resistir esos ataques y ser seguro
Capas de Red
HTTP opera en la capa maacutes alta del Modelo OSI la Capa de Aplicacioacuten
pero el protocolo HTTPS opera en una subcapa maacutes baja cifrando un
mensaje HTTP previo a la transmisioacuten y descifrando un mensaje una
vez recibido
Estrictamente hablando HTTPS no es un protocolo separado pero
refiere el uso del HTTP ordinario sobre una Capa de Conexioacuten Segura
cifrada Secure Sockets Layer (SSL) o una conexioacuten con Seguridad de la
Capa de Transporte (TLS)
Configuracioacuten del Servidor
Para preparar un servidor web que acepte conexiones HTTPS el
administrador debe crear un Certificado de clave puacuteblica para el servidor
web Este certificado debe estar firmado por una Autoridad de certificacioacuten
para que el navegador web lo acepte La autoridad certifica que el titular del
certificado es quien dice ser Los navegadores web generalmente son
distribuidos con los certificados firmados por la mayoriacutea de las Autoridades
de Certificacioacuten por lo que estos pueden verificar certificados firmados por
ellos
Limitaciones
bull El nivel de proteccioacuten depende de la exactitud de la implementacioacuten del
navegador web el software del servidor y los algoritmos de cifrado
actualmente soportados
bull Tambieacuten HTTPS es vulnerable cuando se aplica a contenido estaacutetico de
publicacioacuten disponible El sitio entero puede ser indexado usando una Arantildea
web y la URI del recurso cifrado puede ser adivinada conociendo solamente
el tamantildeo de la peticioacutenrespuesta Esto permite a un atacante tener acceso al
Texto plano (contenido estaacutetico de publicacioacuten) y al Texto cifrado (La versioacuten
cifrada del contenido estaacutetico) permitiendo un ataque criptograacutefico
bull Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de
nivel maacutes alto los servidores SSL solo pueden presentar estrictamente un
certificado para una combinacioacuten de puertoIP en particular Esto quiere
decir que en la mayoriacutea de los casos no es recomendable usar Hosting
virtual name-based con HTTPS Existe una solucioacuten llamada Server Name
Indication (SNI) que enviacutea el hostname al servidor antes de que la conexioacuten
sea cifrada sin embargo muchos navegadores antiguos no soportan esta
extensioacuten El soporte para SNI estaacute disponible desde Firefox 2 Opera 8 e
Internet Explorer 7 sobre Windows Vista
CONCLUSIONES
bull El protocolo HTTP es un protocolo faacutecil de violentar ya que
personas infiltradas pueden capturar los datos que se estaacuten
transmitiendo y con esa informacioacuten poder causar dantildeos y
perjuicios a personas empresas u cualquier entidad
bull El protocolo HTTPS cambia lo dicho por HTTPS al utilizar un
cifrado en el que los infiltrados podraacuten tal vez capturar los datos
transmitidos pero lo que no podraacuten es descifrar la informacioacuten ya
que esta esta encriptado
Integracioacuten con el Navegador
Los protocolos HTTPS son utilizados por navegadores como Safari
Internet Explorer Mozilla Firefox Opera y Google Chrome entre otros
Algunos navegadores utilizan un icono (generalmente un candado) en
la parte derecha de la barra de direcciones para indicar la existencia de
un protocolo de comunicaciones seguro e incluso cambian el color del
fondo de la barra de direcciones por amarillo (Firefox) o verde (Internet
Explorer) para identificar paacuteginas web seguras
Para conocer si una paacutegina web que estamos visitando utiliza el
protocolo https y es por tanto segura en cuanto a la trasmisioacuten de los
datos que estamos transcribiendo debemos observar si en la barra de
direcciones de nuestro navegador aparece https al comienzo en lugar
de http
Caracteriacutesticas Teacutecnicas
HTTPS utiliza un cifrado basado en SSLTLS para crear un canal
cifrado (cuyo nivel de cifrado depende del servidor remoto y del
navegador utilizado por el cliente) maacutes apropiado para el traacutefico de
informacioacuten sensible que el protocolo HTTP De este modo se
consigue que la informacioacuten sensible (usuario y claves de paso
normalmente) no pueda ser usada por un atacante que haya
conseguido interceptar la transferencia de datos de la conexioacuten ya
que lo uacutenico que obtendraacute seraacute un flujo de datos cifrados que le
resultaraacute imposible de descifrar
El puerto estaacutendar para este protocolo es el 443
Diferencias con HTTP
bull En el protocolo HTTP las URLs comienzan con http y en el seguro es
https
bullHTTP utilizana por defecto el puerto 80 las URLs de HTTPS utilizan el
puerto 443 por defecto
bullHTTP es inseguro y estaacute sujeto a ataques man-in-the-middle y
eavesdropping que pueden permitir al atacante obtener acceso a cuentas de
un sitio web e informacioacuten confidencial
bullHTTPS estaacute disentildeado para resistir esos ataques y ser seguro
Capas de Red
HTTP opera en la capa maacutes alta del Modelo OSI la Capa de Aplicacioacuten
pero el protocolo HTTPS opera en una subcapa maacutes baja cifrando un
mensaje HTTP previo a la transmisioacuten y descifrando un mensaje una
vez recibido
Estrictamente hablando HTTPS no es un protocolo separado pero
refiere el uso del HTTP ordinario sobre una Capa de Conexioacuten Segura
cifrada Secure Sockets Layer (SSL) o una conexioacuten con Seguridad de la
Capa de Transporte (TLS)
Configuracioacuten del Servidor
Para preparar un servidor web que acepte conexiones HTTPS el
administrador debe crear un Certificado de clave puacuteblica para el servidor
web Este certificado debe estar firmado por una Autoridad de certificacioacuten
para que el navegador web lo acepte La autoridad certifica que el titular del
certificado es quien dice ser Los navegadores web generalmente son
distribuidos con los certificados firmados por la mayoriacutea de las Autoridades
de Certificacioacuten por lo que estos pueden verificar certificados firmados por
ellos
Limitaciones
bull El nivel de proteccioacuten depende de la exactitud de la implementacioacuten del
navegador web el software del servidor y los algoritmos de cifrado
actualmente soportados
bull Tambieacuten HTTPS es vulnerable cuando se aplica a contenido estaacutetico de
publicacioacuten disponible El sitio entero puede ser indexado usando una Arantildea
web y la URI del recurso cifrado puede ser adivinada conociendo solamente
el tamantildeo de la peticioacutenrespuesta Esto permite a un atacante tener acceso al
Texto plano (contenido estaacutetico de publicacioacuten) y al Texto cifrado (La versioacuten
cifrada del contenido estaacutetico) permitiendo un ataque criptograacutefico
bull Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de
nivel maacutes alto los servidores SSL solo pueden presentar estrictamente un
certificado para una combinacioacuten de puertoIP en particular Esto quiere
decir que en la mayoriacutea de los casos no es recomendable usar Hosting
virtual name-based con HTTPS Existe una solucioacuten llamada Server Name
Indication (SNI) que enviacutea el hostname al servidor antes de que la conexioacuten
sea cifrada sin embargo muchos navegadores antiguos no soportan esta
extensioacuten El soporte para SNI estaacute disponible desde Firefox 2 Opera 8 e
Internet Explorer 7 sobre Windows Vista
CONCLUSIONES
bull El protocolo HTTP es un protocolo faacutecil de violentar ya que
personas infiltradas pueden capturar los datos que se estaacuten
transmitiendo y con esa informacioacuten poder causar dantildeos y
perjuicios a personas empresas u cualquier entidad
bull El protocolo HTTPS cambia lo dicho por HTTPS al utilizar un
cifrado en el que los infiltrados podraacuten tal vez capturar los datos
transmitidos pero lo que no podraacuten es descifrar la informacioacuten ya
que esta esta encriptado
Caracteriacutesticas Teacutecnicas
HTTPS utiliza un cifrado basado en SSLTLS para crear un canal
cifrado (cuyo nivel de cifrado depende del servidor remoto y del
navegador utilizado por el cliente) maacutes apropiado para el traacutefico de
informacioacuten sensible que el protocolo HTTP De este modo se
consigue que la informacioacuten sensible (usuario y claves de paso
normalmente) no pueda ser usada por un atacante que haya
conseguido interceptar la transferencia de datos de la conexioacuten ya
que lo uacutenico que obtendraacute seraacute un flujo de datos cifrados que le
resultaraacute imposible de descifrar
El puerto estaacutendar para este protocolo es el 443
Diferencias con HTTP
bull En el protocolo HTTP las URLs comienzan con http y en el seguro es
https
bullHTTP utilizana por defecto el puerto 80 las URLs de HTTPS utilizan el
puerto 443 por defecto
bullHTTP es inseguro y estaacute sujeto a ataques man-in-the-middle y
eavesdropping que pueden permitir al atacante obtener acceso a cuentas de
un sitio web e informacioacuten confidencial
bullHTTPS estaacute disentildeado para resistir esos ataques y ser seguro
Capas de Red
HTTP opera en la capa maacutes alta del Modelo OSI la Capa de Aplicacioacuten
pero el protocolo HTTPS opera en una subcapa maacutes baja cifrando un
mensaje HTTP previo a la transmisioacuten y descifrando un mensaje una
vez recibido
Estrictamente hablando HTTPS no es un protocolo separado pero
refiere el uso del HTTP ordinario sobre una Capa de Conexioacuten Segura
cifrada Secure Sockets Layer (SSL) o una conexioacuten con Seguridad de la
Capa de Transporte (TLS)
Configuracioacuten del Servidor
Para preparar un servidor web que acepte conexiones HTTPS el
administrador debe crear un Certificado de clave puacuteblica para el servidor
web Este certificado debe estar firmado por una Autoridad de certificacioacuten
para que el navegador web lo acepte La autoridad certifica que el titular del
certificado es quien dice ser Los navegadores web generalmente son
distribuidos con los certificados firmados por la mayoriacutea de las Autoridades
de Certificacioacuten por lo que estos pueden verificar certificados firmados por
ellos
Limitaciones
bull El nivel de proteccioacuten depende de la exactitud de la implementacioacuten del
navegador web el software del servidor y los algoritmos de cifrado
actualmente soportados
bull Tambieacuten HTTPS es vulnerable cuando se aplica a contenido estaacutetico de
publicacioacuten disponible El sitio entero puede ser indexado usando una Arantildea
web y la URI del recurso cifrado puede ser adivinada conociendo solamente
el tamantildeo de la peticioacutenrespuesta Esto permite a un atacante tener acceso al
Texto plano (contenido estaacutetico de publicacioacuten) y al Texto cifrado (La versioacuten
cifrada del contenido estaacutetico) permitiendo un ataque criptograacutefico
bull Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de
nivel maacutes alto los servidores SSL solo pueden presentar estrictamente un
certificado para una combinacioacuten de puertoIP en particular Esto quiere
decir que en la mayoriacutea de los casos no es recomendable usar Hosting
virtual name-based con HTTPS Existe una solucioacuten llamada Server Name
Indication (SNI) que enviacutea el hostname al servidor antes de que la conexioacuten
sea cifrada sin embargo muchos navegadores antiguos no soportan esta
extensioacuten El soporte para SNI estaacute disponible desde Firefox 2 Opera 8 e
Internet Explorer 7 sobre Windows Vista
CONCLUSIONES
bull El protocolo HTTP es un protocolo faacutecil de violentar ya que
personas infiltradas pueden capturar los datos que se estaacuten
transmitiendo y con esa informacioacuten poder causar dantildeos y
perjuicios a personas empresas u cualquier entidad
bull El protocolo HTTPS cambia lo dicho por HTTPS al utilizar un
cifrado en el que los infiltrados podraacuten tal vez capturar los datos
transmitidos pero lo que no podraacuten es descifrar la informacioacuten ya
que esta esta encriptado
Diferencias con HTTP
bull En el protocolo HTTP las URLs comienzan con http y en el seguro es
https
bullHTTP utilizana por defecto el puerto 80 las URLs de HTTPS utilizan el
puerto 443 por defecto
bullHTTP es inseguro y estaacute sujeto a ataques man-in-the-middle y
eavesdropping que pueden permitir al atacante obtener acceso a cuentas de
un sitio web e informacioacuten confidencial
bullHTTPS estaacute disentildeado para resistir esos ataques y ser seguro
Capas de Red
HTTP opera en la capa maacutes alta del Modelo OSI la Capa de Aplicacioacuten
pero el protocolo HTTPS opera en una subcapa maacutes baja cifrando un
mensaje HTTP previo a la transmisioacuten y descifrando un mensaje una
vez recibido
Estrictamente hablando HTTPS no es un protocolo separado pero
refiere el uso del HTTP ordinario sobre una Capa de Conexioacuten Segura
cifrada Secure Sockets Layer (SSL) o una conexioacuten con Seguridad de la
Capa de Transporte (TLS)
Configuracioacuten del Servidor
Para preparar un servidor web que acepte conexiones HTTPS el
administrador debe crear un Certificado de clave puacuteblica para el servidor
web Este certificado debe estar firmado por una Autoridad de certificacioacuten
para que el navegador web lo acepte La autoridad certifica que el titular del
certificado es quien dice ser Los navegadores web generalmente son
distribuidos con los certificados firmados por la mayoriacutea de las Autoridades
de Certificacioacuten por lo que estos pueden verificar certificados firmados por
ellos
Limitaciones
bull El nivel de proteccioacuten depende de la exactitud de la implementacioacuten del
navegador web el software del servidor y los algoritmos de cifrado
actualmente soportados
bull Tambieacuten HTTPS es vulnerable cuando se aplica a contenido estaacutetico de
publicacioacuten disponible El sitio entero puede ser indexado usando una Arantildea
web y la URI del recurso cifrado puede ser adivinada conociendo solamente
el tamantildeo de la peticioacutenrespuesta Esto permite a un atacante tener acceso al
Texto plano (contenido estaacutetico de publicacioacuten) y al Texto cifrado (La versioacuten
cifrada del contenido estaacutetico) permitiendo un ataque criptograacutefico
bull Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de
nivel maacutes alto los servidores SSL solo pueden presentar estrictamente un
certificado para una combinacioacuten de puertoIP en particular Esto quiere
decir que en la mayoriacutea de los casos no es recomendable usar Hosting
virtual name-based con HTTPS Existe una solucioacuten llamada Server Name
Indication (SNI) que enviacutea el hostname al servidor antes de que la conexioacuten
sea cifrada sin embargo muchos navegadores antiguos no soportan esta
extensioacuten El soporte para SNI estaacute disponible desde Firefox 2 Opera 8 e
Internet Explorer 7 sobre Windows Vista
CONCLUSIONES
bull El protocolo HTTP es un protocolo faacutecil de violentar ya que
personas infiltradas pueden capturar los datos que se estaacuten
transmitiendo y con esa informacioacuten poder causar dantildeos y
perjuicios a personas empresas u cualquier entidad
bull El protocolo HTTPS cambia lo dicho por HTTPS al utilizar un
cifrado en el que los infiltrados podraacuten tal vez capturar los datos
transmitidos pero lo que no podraacuten es descifrar la informacioacuten ya
que esta esta encriptado
Capas de Red
HTTP opera en la capa maacutes alta del Modelo OSI la Capa de Aplicacioacuten
pero el protocolo HTTPS opera en una subcapa maacutes baja cifrando un
mensaje HTTP previo a la transmisioacuten y descifrando un mensaje una
vez recibido
Estrictamente hablando HTTPS no es un protocolo separado pero
refiere el uso del HTTP ordinario sobre una Capa de Conexioacuten Segura
cifrada Secure Sockets Layer (SSL) o una conexioacuten con Seguridad de la
Capa de Transporte (TLS)
Configuracioacuten del Servidor
Para preparar un servidor web que acepte conexiones HTTPS el
administrador debe crear un Certificado de clave puacuteblica para el servidor
web Este certificado debe estar firmado por una Autoridad de certificacioacuten
para que el navegador web lo acepte La autoridad certifica que el titular del
certificado es quien dice ser Los navegadores web generalmente son
distribuidos con los certificados firmados por la mayoriacutea de las Autoridades
de Certificacioacuten por lo que estos pueden verificar certificados firmados por
ellos
Limitaciones
bull El nivel de proteccioacuten depende de la exactitud de la implementacioacuten del
navegador web el software del servidor y los algoritmos de cifrado
actualmente soportados
bull Tambieacuten HTTPS es vulnerable cuando se aplica a contenido estaacutetico de
publicacioacuten disponible El sitio entero puede ser indexado usando una Arantildea
web y la URI del recurso cifrado puede ser adivinada conociendo solamente
el tamantildeo de la peticioacutenrespuesta Esto permite a un atacante tener acceso al
Texto plano (contenido estaacutetico de publicacioacuten) y al Texto cifrado (La versioacuten
cifrada del contenido estaacutetico) permitiendo un ataque criptograacutefico
bull Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de
nivel maacutes alto los servidores SSL solo pueden presentar estrictamente un
certificado para una combinacioacuten de puertoIP en particular Esto quiere
decir que en la mayoriacutea de los casos no es recomendable usar Hosting
virtual name-based con HTTPS Existe una solucioacuten llamada Server Name
Indication (SNI) que enviacutea el hostname al servidor antes de que la conexioacuten
sea cifrada sin embargo muchos navegadores antiguos no soportan esta
extensioacuten El soporte para SNI estaacute disponible desde Firefox 2 Opera 8 e
Internet Explorer 7 sobre Windows Vista
CONCLUSIONES
bull El protocolo HTTP es un protocolo faacutecil de violentar ya que
personas infiltradas pueden capturar los datos que se estaacuten
transmitiendo y con esa informacioacuten poder causar dantildeos y
perjuicios a personas empresas u cualquier entidad
bull El protocolo HTTPS cambia lo dicho por HTTPS al utilizar un
cifrado en el que los infiltrados podraacuten tal vez capturar los datos
transmitidos pero lo que no podraacuten es descifrar la informacioacuten ya
que esta esta encriptado
Configuracioacuten del Servidor
Para preparar un servidor web que acepte conexiones HTTPS el
administrador debe crear un Certificado de clave puacuteblica para el servidor
web Este certificado debe estar firmado por una Autoridad de certificacioacuten
para que el navegador web lo acepte La autoridad certifica que el titular del
certificado es quien dice ser Los navegadores web generalmente son
distribuidos con los certificados firmados por la mayoriacutea de las Autoridades
de Certificacioacuten por lo que estos pueden verificar certificados firmados por
ellos
Limitaciones
bull El nivel de proteccioacuten depende de la exactitud de la implementacioacuten del
navegador web el software del servidor y los algoritmos de cifrado
actualmente soportados
bull Tambieacuten HTTPS es vulnerable cuando se aplica a contenido estaacutetico de
publicacioacuten disponible El sitio entero puede ser indexado usando una Arantildea
web y la URI del recurso cifrado puede ser adivinada conociendo solamente
el tamantildeo de la peticioacutenrespuesta Esto permite a un atacante tener acceso al
Texto plano (contenido estaacutetico de publicacioacuten) y al Texto cifrado (La versioacuten
cifrada del contenido estaacutetico) permitiendo un ataque criptograacutefico
bull Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de
nivel maacutes alto los servidores SSL solo pueden presentar estrictamente un
certificado para una combinacioacuten de puertoIP en particular Esto quiere
decir que en la mayoriacutea de los casos no es recomendable usar Hosting
virtual name-based con HTTPS Existe una solucioacuten llamada Server Name
Indication (SNI) que enviacutea el hostname al servidor antes de que la conexioacuten
sea cifrada sin embargo muchos navegadores antiguos no soportan esta
extensioacuten El soporte para SNI estaacute disponible desde Firefox 2 Opera 8 e
Internet Explorer 7 sobre Windows Vista
CONCLUSIONES
bull El protocolo HTTP es un protocolo faacutecil de violentar ya que
personas infiltradas pueden capturar los datos que se estaacuten
transmitiendo y con esa informacioacuten poder causar dantildeos y
perjuicios a personas empresas u cualquier entidad
bull El protocolo HTTPS cambia lo dicho por HTTPS al utilizar un
cifrado en el que los infiltrados podraacuten tal vez capturar los datos
transmitidos pero lo que no podraacuten es descifrar la informacioacuten ya
que esta esta encriptado
Limitaciones
bull El nivel de proteccioacuten depende de la exactitud de la implementacioacuten del
navegador web el software del servidor y los algoritmos de cifrado
actualmente soportados
bull Tambieacuten HTTPS es vulnerable cuando se aplica a contenido estaacutetico de
publicacioacuten disponible El sitio entero puede ser indexado usando una Arantildea
web y la URI del recurso cifrado puede ser adivinada conociendo solamente
el tamantildeo de la peticioacutenrespuesta Esto permite a un atacante tener acceso al
Texto plano (contenido estaacutetico de publicacioacuten) y al Texto cifrado (La versioacuten
cifrada del contenido estaacutetico) permitiendo un ataque criptograacutefico
bull Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de
nivel maacutes alto los servidores SSL solo pueden presentar estrictamente un
certificado para una combinacioacuten de puertoIP en particular Esto quiere
decir que en la mayoriacutea de los casos no es recomendable usar Hosting
virtual name-based con HTTPS Existe una solucioacuten llamada Server Name
Indication (SNI) que enviacutea el hostname al servidor antes de que la conexioacuten
sea cifrada sin embargo muchos navegadores antiguos no soportan esta
extensioacuten El soporte para SNI estaacute disponible desde Firefox 2 Opera 8 e
Internet Explorer 7 sobre Windows Vista
CONCLUSIONES
bull El protocolo HTTP es un protocolo faacutecil de violentar ya que
personas infiltradas pueden capturar los datos que se estaacuten
transmitiendo y con esa informacioacuten poder causar dantildeos y
perjuicios a personas empresas u cualquier entidad
bull El protocolo HTTPS cambia lo dicho por HTTPS al utilizar un
cifrado en el que los infiltrados podraacuten tal vez capturar los datos
transmitidos pero lo que no podraacuten es descifrar la informacioacuten ya
que esta esta encriptado
certificado para una combinacioacuten de puertoIP en particular Esto quiere
decir que en la mayoriacutea de los casos no es recomendable usar Hosting
virtual name-based con HTTPS Existe una solucioacuten llamada Server Name
Indication (SNI) que enviacutea el hostname al servidor antes de que la conexioacuten
sea cifrada sin embargo muchos navegadores antiguos no soportan esta
extensioacuten El soporte para SNI estaacute disponible desde Firefox 2 Opera 8 e
Internet Explorer 7 sobre Windows Vista
CONCLUSIONES
bull El protocolo HTTP es un protocolo faacutecil de violentar ya que
personas infiltradas pueden capturar los datos que se estaacuten
transmitiendo y con esa informacioacuten poder causar dantildeos y
perjuicios a personas empresas u cualquier entidad
bull El protocolo HTTPS cambia lo dicho por HTTPS al utilizar un
cifrado en el que los infiltrados podraacuten tal vez capturar los datos
transmitidos pero lo que no podraacuten es descifrar la informacioacuten ya
que esta esta encriptado
CONCLUSIONES
bull El protocolo HTTP es un protocolo faacutecil de violentar ya que
personas infiltradas pueden capturar los datos que se estaacuten
transmitiendo y con esa informacioacuten poder causar dantildeos y
perjuicios a personas empresas u cualquier entidad
bull El protocolo HTTPS cambia lo dicho por HTTPS al utilizar un
cifrado en el que los infiltrados podraacuten tal vez capturar los datos
transmitidos pero lo que no podraacuten es descifrar la informacioacuten ya
que esta esta encriptado
Recommended