Hyper Text Transfer Protocol Secure (HTTPS) es la versión segura de HTTP. HTTPS se utiliza para la comunicación por Internet de información confidencial; por ejemplo, para transacciones en línea y el intercambio de mensajes en las redes sociales.
HTTPS es un protocolo de Internet que se establece a través de una sesión de presentación SSL/TLS. Hay exploradores web como Internet Explorer, Firefox y Chrome que muestran el icono del candado en la barra de direcciones para indicar que hay activa una conexión HTTPS.
SSL (Secure Sockets Layer) / TLS (Transport Layer Security) es una tecnología estándar para mantener la seguridad de la conexión HTTP. Utiliza algoritmos de cifrado para evitar que personas o sistemas no autorizados puedan leer y modificar la información. Los algoritmos de autenticación de SSL/TLS proporcionan una garantía de la identidad del extremo. TLS es una versión más segura y actualizada de SSL. En la actualidad, TLS es el modo principal que se utiliza para proteger el tráfico de Internet. Sin embargo, el término SSL se sigue utilizando para describir la tecnología de seguridad de las sesiones HTTPS.
En este manual, se utiliza SSL/TLS para hacer referencia a la tecnología SSL.
Para establecer una conexión HTTPS entre un cliente y un servidor, se necesita al menos el certificado de identidad del servidor para la autenticación.
La sesión de presentación SSL/TLS es el primer paso para iniciar una conexión HTTPS. Durante la presentación SSL/TLS, el servidor y el cliente realizan procedimientos de negociación y autenticación. Negocian sobre la versión de TLS, el algoritmo de intercambio de claves y el algoritmo para cifrar el intercambio de información. El conjunto de algoritmos de cifrado se denomina también conjunto de cifrado.
Ejemplo:
A continuación, encontrará un esquema que explica los pasos principales de la presentación SSL/TLS entre un servidor web y un navegador.
Presentación SSL/TLSEl navegador solicita una conexión HTTPS.
El servidor web envía una copia de su certificado de identidad incrustado con su clave pública.
El navegador verifica el certificado de identidad y la clave pública.
El navegador y el servidor web acuerdan una clave de cifrado compartida.
El navegador y el servidor web utilizan la misma clave compartida para cifrar el texto sin formato en texto cifrado y descifrar el texto cifrado en texto sin formato.
NOTA
Para garantizar la seguridad de la conexión, se negocia y se crea una nueva clave compartida por cada sesión nueva.