Conexión SSL y cifrado HTTPS para el sitio web

Para la comunicación segura en Internet se utiliza el cifrado SSL, que cifra el flujo de datos completo con algoritmos seguros como DES o AES. Establece una criptografía de extremo a extremo eficiente y no accesible para terceros y transmite, mediante HTTPS, un sitio web incluyendo los contenidos embebidos al navegador remoto.

¿Cómo funciona el cifrado SSL mediante HTTPS?

Las páginas web se envían a un navegador mediante el Hypertext Transfer Protocol (HTTP), que a continuación genera la presentación a partir del código escrito en texto plano. Originalmente, este no contemplaba cifrado: cualquier participante en una red puede leer los datos y las respuestas sin esfuerzo técnico, registrando el tráfico y analizándolo posteriormente. Incluso información sensible como nombres de usuario y contraseñas se transmitía en texto legible. Por este motivo, los desarrolladores crearon el Hypertext Transfer Protocol Secure (HTTPS) con una conexión SSL incorporada. En esencia, se trata del protocolo clásico cifrado mediante una capa adicional: el Secure Sockets Layer (SSL) o, tras su renombramiento en la versión 3.1, la Transport Layer Security (TLS). La diferencia exacta entre SSL y TLS se trata en el artículo SSL vs TLS .

Técnicamente, HTTPS cifra un sitio web empleando una combinación de cifrado asimétrico y simétrico. Para ello, el cifrado SSL utiliza una clave pública que permite codificar pero no recuperar los datos. En un primer paso, el operador envía al cliente su certificado SSL del servidor, que entre otras cosas incluye la clave pública y la identidad del sitio web. El navegador verifica el certificado SSL comprobando su procedencia mediante una solicitud de firma de certificado (CSR) y usa la clave recibida para intercambiar con el servidor una clave única denominada clave de sesión. Esta ya es conocida por ambas partes sin haber sido transmitida nunca en texto claro. Sirve para esta única conexión SSL como contraseña temporal y aleatoria, con la que ambas partes cifran sus datos a través de HTTPS usando un algoritmo simétrico seguro como DES o AES.

Los navegadores admiten HTTPS para un sitio web de forma automática

La ventaja del procedimiento HTTPS es que se establece una conexión SSL segura y fiable sin que sea necesario intervenir en el código de un sitio web HTTPS. Este método es totalmente compatible con páginas existentes no cifradas y solo requiere una ligera modificación en la manera de transmitir los datos. Por ello es posible, mediante un certificado autorizado, convertir cualquier presencia en Internet a cifrado SSL sobre HTTPS en cuestión de minutos. Los navegadores lo detectan cuando un dominio antepone el protocolo HTTPS a un sitio web. Solicitan automáticamente el certificado necesario y, a continuación, se encargan del establecimiento de la conexión SSL.

Si un certificado no es válido —por ejemplo porque la fecha actual esté fuera del periodo de validez o no haya sido firmado por una autoridad de certificación oficial (Autoridad de Certificación, CA)—, el navegador mostrará un error o una advertencia para la conexión SSL. En algunos casos, el usuario puede decidir a continuación si desea acceder al sitio bajo su propia responsabilidad.

Limitaciones e inconvenientes de un sitio web HTTPS

Para el visitante, el uso de cifrado SSL no presenta inconvenientes significativos. Para el operador, los algoritmos criptográficos computacionalmente intensivos generan una mayor carga del sistema con un alto número de usuarios. Sin embargo, esto por lo general no se nota en hardware moderno, ya que este utiliza coprocesadores para la mayoría de los algoritmos más populares. No obstante, el cifrado SSL puede afectar al rendimiento en algunos dispositivos embebidos, como un Raspberry Pi configurado como servidor web público. Durante muchos años, configurar una conexión SSL fue técnicamente complejo y conllevó costes por la certificación. Sin embargo, esta situación ha cambiado con la evolución de los protocolos HTTPS y SSL/TLS y la aparición de autoridades de certificación gratuitas como Lets Encrypt.

Una alternativa a HTTPS mediante una conexión SSL es técnicamente posible, pero relativamente laboriosa y, por diversos motivos, no recomendable. Uno de los más importantes es la alta compatibilidad del cifrado SSL con programas independientes como los navegadores: renunciar a HTTPS en el sitio web limita mucho la compatibilidad y la posibilidad de recibir soporte a largo plazo tras actualizaciones.

Foto: typographyimages - pixabay.com