4.1.3 HTTP Seguro.

La internet es como una gran autopista, donde los datos fluyen a través de ella a manera de vehículos, yendo de un lugar a otro; así como bien sabemos no todos los autos están tripulados por buenas personas, de igual forma no todos los datos son “datos confiables”. 

Los datos navegan y viajan en las autopistas por medio del “protocolo de transferencia de hipertexto (http por sus siglas en inglés cuyo significado es HyperText Transfer Protocol), de esta manera todas las transacciones de la Web (World Wide Web, por sus siglas en inglés) se harán efectivas en un mismo idioma o lenguaje, algo muy importante para que estas se lleven a cabo rápidamente y con eficiencia. 

Sin embargo dentro de las autopistas de la Web, hay caminos seguros, confiables y otros que no lo son tanto; en los confiables se navega con el protocolo https y en los otros con el simple http.

Tanto HTTP como HTTPS son protocolos distintos por algunas de sus características que a continuación veremos cuáles son entre estos 2:

1.    HTTP: usa un puerto por defecto de 80 y comienzan por http://

2.    HTTPS: usa un puerto por defecto de 443 y comienza por https://

El protocolo HTTPS a diferencia del HTTP se usa principalmente para guardar información personal para encriptarla y poder hacer comunicación en la red de una manera más segura; este protocolo lo usan las entidades bancarias, tiendas en línea, y cualquier tipo de servicio que requiera el envío de datos personales y/o contraseñas.

Seguridad HTTPS es un protocolo que se usa en los navegadores que lo que hace es encriptar cualquier información del usuario y esto lo hace mediante un certificado, y este certificado lo puede hacer de clave pública para que ciertas persnas autorizadas puedan entrar a este protocolo de seguridad (se puede adquirir este certificado de manera gratuita si se paga por otros servicios o puede costar entre US $13 y US $1.500). El nivel de protección depende de la implementación en el navegador, el software del servidor y los algoritmos de cifrado actualmente soportados.

¿Qué es un HTTP Seguro?

S-HTTP (Secure HTTP) es un proceso de transacciones HTTP (HyperText Transfer Protocol; en castellano, Protocolo de Transferencia de Hipertexto) que se basa en el perfeccionamiento del protocolo HTTP creado en 1994 por EIT (Enterprise Integration Technologies). Este proceso hace posible establecer una conexión segura para transacciones de comercio electrónico mediante mensajes cifrados, y garantizar a los clientes la confidencialidad de los números de tarjetas bancarias y su información personal. La compañía Terisa Systems desarrolló una de las implementaciones de SHTTP para incluir una conexión segura entre los servidores y los clientes Web.

 ¿Cómo funciona SHTTP?

A diferencia de SSL (Secure Socket Layer) que funciona transportando capas, SHTTP garantiza la seguridad del mensaje mediante el protocolo HTTP, que marca individualmente los documentos HTML con certificados. En tanto que SSL es independiente de la aplicación utilizada y puede cifrar todo tipo de comunicación, SHTTP está íntimamente relacionado con el protocolo HTTP y cifra mensajes de forma individual.

Los mensajes SHTTP se basan en tres componentes:

1. ·         el mensaje HTTP
2. ·         las preferencias criptográficas del remitente
3. ·         las preferencias del destinatario

Así, para descifrar un mensaje SHTTP, el destinatario analiza los encabezados del mensaje para determinar el tipo de método que se utilizó para cifrar el mensaje. Luego, basándose en sus preferencias criptográficas presentes y pasadas, y en las preferencias criptográficas pasadas del remitente, el destinatario puede descifrar el mensaje.

Criptografía Asimétrica

Se usa en TTL y SSL en la cual existen 2 claves diferentes una clave pública que se puede entregar a un usuario cualquier y la privada que es guardada solo por el propietario sin ningún acceso por parte de otra persona.

Considerado como una tarjeta de identificación de clave emitido por la entidad llamada Autoridad de Certificación su estructura es determinada por la norma X.509,Su problema con el sistema anterior cuando alguien corrompe la clave pública al reemplazarla por la suya puede llegar a descifrar mensajes del emisor el Certificado permite asociar clave pública con entidad para garantizar su validez.

Certificados Cliente

Almacena la estación de trabajo de usuario o se integran en contenedor como tarjeta inteligente que permite asociarlo con algunos privilegios.

Certificados de Servidor

Instala un servidor web y permite conectar un servicio con el dueño del servicio páginas web permite garantizar la dirección URL y su dominio pertenezcan a alguna empresa determinada y permite proteger transacciones con usuarios gracias al Protocolo SSL.

Certificados VPN

(Red Privada Virtual) instala un equipo de Red que permite cifrar flujos de comunicación de extremo a extremo entre 2 puntos.

La naturaleza complementaria de SHTTP y SSL

Cuando SSL y SHTTP competían, muchas personas se dieron entonces cuenta de que estos dos protocolos de seguridad eran complementarios, ya que no trabajaban en el mismo nivel. El SSL garantiza una conexión segura a Internet, mientras que el SHTTP garantiza intercambios HTTP seguros.

Como resultado, la compañía Terisa Systems, especializada en protección de red y formada por RSA Data Security y EIT, desarrolló un kit de programación que permitió a los administradores desarrollar servidores Web implementando los protocolos SSL y SHTTP (SecureWeb Server Toolkit) así como clientes Web capaces de soportar estos protocolos (SecureWeb Client Toolkit).