Cuando es tu privacidad la que está en juego, la diferencia entre navegar por páginas ‘HTTP’ o hacerlo solo en las que sean ‘HTTPS’ es fundamental. Los bancos, la mayoría de ecommerce y muchas grandes empresas ya cuentan con webs HTTPS, pero… ¿Sabes cómo convertir tu web en una ‘página segura’?
Como todo el mundo debería ya saber, para navegar de manera segura por cualquier página web debemos comprobar que en su URL aparecen las letras ‘HTTPS’, y no solo ‘HTTP’. Esto significa que el protocolo de transmisión entre la web y el servidor de los usuarios se realiza de manera segura. ¡La ‘S’ es la clave!
El HyperText Transfer Protocol, o Protocolo de Transferencia de Hipertextos es básicamente el lenguaje que utilizan los sitios web para intercambiar información entre los servidores y los usuarios. El lenguaje a través del cual nos hablan las páginas web, vamos.
¿Por qué con HTTP no es suficiente? ¿Tengo que ponerle una ‘S’?
El principal problema del sistema HTTP es que los datos que se transmiten a través de él lo hacen en texto plano. Es decir, toda la información transmitida se refleja como texto plano. Cualquiera en nuestra red WiFi que tenga acceso a la comunicación entre nuestro ordenador y el servidor, puede verlo absolutamente todo. Las contraseñas, las operaciones bancarias…
Al navegar por una web HTTPS, los datos se cifran antes de transmitirse, de manera que nadie más puede verlos. Para ello, se utiliza SSL (Secure Sockets Layer) o TLS (Transmission Layer Security). El segundo es el más moderno de los dos, y por lo tanto el más fiable y seguro.
¿Si los datos están cifrados, cómo los descifra mi ordenador?
Tanto para cifrar como para descifrar un paquete de datos, se utiliza una clave. El problema es que la clave debe tener dos características: por un lado, deben conocerla tanto el navegador (nosotros) como el servidor (donde se aloja la web); por otro lado, la clave tiene que ser individual para cada usuario y cada conexión.
Para resolver este entuerto, se utiliza un sistema de clave pública. El servidor utiliza una clave asimétrica, que se basa en el uso de dos contraseñas distintas. Una clave pública, para que todo el mundo pueda mandar datos cifrados al servidor, y una privada, que utiliza el servidor para realizar la respuesta. En resumen, sirve para generar un canal seguro a través del cual el servidor pueda enviarnos la clave simétrica.
El cifrado de la comunicación se hace mediante una clave simétrica. La clave la genera el navegador, y para que dicha clave pueda llegar finalmente al servidor, necesitaríamos un canal seguro, que se crea de la manera expuesta anteriormente.
Se podría llegar a pensar que sabiendo la clave pública se podría llegar a conseguir la privada, pero no es así. Para evitarlo, se utiliza un sistema de algoritmos que, a través de una frase de paso, generan una password de 2048 bits. Y con este tamaño, se convierte en una clave bastante difícil de desentrañar.
Si os estáis planteando que este sistema de transmisión es ineficaz por tratarse de una comunicación unidireccional, la respuesta es simple. De la misma manera que se efectúa una comunicación segura en un sentido, puede hacerse al contrario. Un proceso idéntico al anterior, pero en el sentido contrario. Esto se denomina cifrado híbrido.
La validación de identidad por parte del servidor es un tema importante para todos los usuarios. Cuando nuestro navegador nos muestra el mensaje de “No se ha podido validar la identidad”, de lo que en realidad nos quiere avisar es de que no tiene la certeza de que nos estemos conectando al servidor que esperamos. Esto se produce cuando el certificado digital no se ha podido validar.
¿Y cómo hago que mi web trabaje con HTTPS?
Para ‘añadir’ el sistema HTTPS a nuestra propia web, existen algunas soluciones que nos ayudan a hacerlo. Recientemente hemos descubierto Let’s Encrypt, una herramienta que en tan solo 5 minutos, convierte nuestro inseguro HTTP en un potente HTTPS.
El proyecto ha entrado recientemente en beta pública, de manera que aunque todavía no puede considerarse como finalizado, ya está disponible para todos los usuarios. De hecho, ya se han emitido más de 26.000 certificados de seguridad, lo que nos asegura que la herramienta ha sido depurada lo suficiente como para ofrecer ciertas garantías.
Patrocinado por compañías como Mozilla, EFF, Linux y empresas de infraestructura como Akamai o Cisco, se convierte en una solución muy sólida, además de gratuita, para garantizar una navegación segura a todos nuestros visitantes.
Si estáis interesados en beneficiaros de este servicio, os animamos a que visitéis su página web oficial. En ella vienen detalladas las instrucciones para ponerlo en marcha en nuestro portal de manera eficaz y sencilla.
