La expresión inglesa Hypertext Transport Protocol Secure, que puede traducirse como Protocolo Seguro de Transferencia de Hipertexto, dio lugar a la sigla HTTPS, empleada con frecuencia en el ámbito de la informática. Se trata de una versión segura del HTTP.
Para comprender qué es el HTTPS, por lo tanto, es importante saber a qué alude la idea de HTTP. Así se denomina a un protocolo de comunicación que permite la transmisión de información mediante la World Wide Web (el sistema formado por los documentos entrelazados entre sí a través de Internet).
El HTTP, por lo tanto, establece las reglas para que pueda desarrollarse una comunicación en la Web. El esquema comunicativo se basa en las peticiones que un cliente (el navegador web) le realiza a un servidor (la computadora que aloja las páginas web), el cual entrega respuestas a dichos pedidos. Cuando la sesión se realiza con éxito, el usuario obtiene como resultado la presentación del texto, las imágenes y el resto de los contenidos de una página en su navegador.
Lo que hace el HTTPS es desarrollar un canal cifrado para proteger la información que se envía y se recibe en la Web. Esta protección supone que, si un atacante consigue interceptar la transferencia de los datos, no accederá a la información en sí misma, ya que se encuentra cifrada (transcripta según una clave).
En concreto, podemos establecer que los datos que se envían mediante HTTPS son muy seguros porque están protegidos por el protocolo Seguridad en la Capa de Transporte, que también responde al nombre de TLS. Este último, exactamente, se sustenta en lo que son tres capas de seguridad:
* la de la integridad de los datos: evita que pasen desapercibidos los problemas de inconsistencia entre lo que se envía y lo que se recibe. Por ejemplo, daños o modificaciones que tengan lugar a lo largo del proceso, ya sea de manera intencionada o accidental;
* la del cifrado: supone que los datos que se intercambian en una transferencia se cifren con el claro objetivo de que no los pueda ver o interpretar cualquier usuario, aunque los hackers tarde o temprano consiguen pasar por alto estas medidas de seguridad;
* la de la autenticación: es la capa que se encarga de que los usuarios entren en contacto con el espacio web deseado. Es muy importante porque no solo transmite seguridad y confianza a los usuarios sino porque, además, los ayuda a protegerse de ciertos ataques, como son los ataques de intermediarios.
Estos últimos también se conocen con el nombre de MitM (del inglés man in the middle) o Janus. En pocas palabras, quien los ejecuta obtiene el derecho de leer y modificar datos ajenos en una red, luego de interceptar un mensaje que no vaya dirigido a él. Uno de los casos menos complejos consiste en conectarse a una red wifi que, por descuido de su dueño, no haya sido protegida.
Los datos más sensibles, como las contraseñas (passwords) y los nombres de usuarios, suelen transferirse utilizando el HTTPS. Es posible saber qué protocolo de comunicación se está usando al observar la URL en la barra de navegación del navegador: si se trata del HTTPS, la dirección comenzará con https://. De lo contrario, si está en uso el HTTP, empezará con https:// (sin la S de «Secure»).
A la hora de implementar el protocolo HTTPS que nos ocupa se indica que es necesario adoptar medidas o prácticas tales como velar por la seguridad del transporte, usar certificados de seguridad que resulten ser potentes y emplear lo que son redirecciones 301 de servidor. Todo eso sin pasar por alto que hay que evitar errores tales como tener problemas de indexación, contar con certificados caducados o disponer de incompatibilidad con el SNI. Si existe una inconsistencia, el usuario recibe una notificación por parte de su navegador para que evalúe la seguridad de la página antes de abrirla o de continuar navegando en ella.
