marog-pixcells - Fotolia

Uso de HTTPS: cómo cifrar y proteger un sitio web

Tras el lanzamiento de Chrome 68, el 24 de julio, muchos usuarios verán un letrero de “sitio no seguro” en la barra de dirección cuando naveguen a cualquier página habilitada con HTTP. Si no quiere que el sitio de su empresa sea calificado como no seguro por Google, siga estos consejos.

En estos días se habla sobre la inclusión de la S al final de HTTP para fortalecer los sitios Web, pero ¿sabe usted cómo implementar HTTPS en el sitio web de su organización?

En este consejo, echamos un vistazo al uso de Secure Sockets Layer (SSL) para proteger las comunicaciones del sitio web con encriptación.

Primero, es importante establecer sus expectativas de manera apropiada. El uso de un certificado de seguridad en un sitio web tiene dos (¡y solo dos!) propósitos. Los certificados permiten:

  1. Proteger las comunicaciones entre el cliente y el servidor contra escuchas ilegales.
  2. Proporcionar al cliente garantías sobre la identidad del servidor, protección contra el phishing y otros ataques de suplantación.

Eso es todo. El uso de las comunicaciones HTTPS no lo protegerá contra aplicaciones web mal codificadas, inyección de SQL, secuencias de comandos entre sitios (cross-site scripting), ataques de denegación de servicio (DoS) o cualquier otra amenaza Web. Pero si comprende los riesgos contra los que el cifrado lo protege, puede ser una herramienta valiosa en su arsenal de seguridad Web.

¿Qué es HTTPS?

Probablemente ya esté familiarizado con el Protocolo de transferencia de hipertexto (HTTP): el protocolo detrás de la Web. En su forma básica, HTTP usa comunicaciones no cifradas para transferir datos entre el cliente y el servidor. Por lo tanto, cualquier persona que tenga acceso a cualquier segmento de red entre usted y el servidor (en su red, en la red del servidor o en cualquier otro lugar) puede ver los contenidos de su navegación en la Web.

Si desea evitar esta escucha clandestina, algo fundamental para las transacciones financieras, el intercambio de información personal sensible o muchas otras aplicaciones privadas, puede utilizar el protocolo de transferencia de hipertexto seguro (HTTPS). Este protocolo agrega cifrado utilizando Secure Sockets Layer (SSL) a la especificación HTTP básica. Aquí hay una vista simplificada de cómo funciona:

  1. Usted inicia su navegador web y solicita una página segura utilizando el prefijo https:// en la URL.
  2. Su navegador web contacta al servidor web en el puerto HTTPS (puerto TCP 443) y solicita una conexión segura.
  3. El servidor responde con una copia de su certificado SSL.
  4. Su navegador web usa el certificado para verificar la identidad del servidor remoto y extraer la clave pública del servidor remoto.
  5. Su navegador web crea una clave de sesión, la encripta con la clave pública del servidor y envía la clave cifrada al servidor.
  6. El servidor usa su clave privada para descifrar la clave de sesión.
  7. El cliente y el servidor usan la clave de sesión para encriptar todas las comunicaciones posteriores.

Cómo implementar HTTPS en un sitio web

Es bastante fácil proteger su sitio web con un certificado SSL, lo que permite a los usuarios conectarse a través de una conexión cifrada HTTPS. Antes de poder hacerlo, debe obtener un certificado SSL de una autoridad certificadora (CA). Estos varían ampliamente en costo, entre $150 a más de $400 dólares por año por un certificado básico.

Elegir una autoridad de certificación de buena reputación es extremadamente importante. Durante el proceso de compra del certificado, la CA verificará su identidad antes de emitir el certificado. Los usuarios deben confiar en que la CA está realizando la debida diligencia antes de emitir el certificado. Más importante aún, casi siempre desea elegir una de las CA incluidas en la lista raíz de CAs de confianza de Windows. Si utiliza una CA no incluida en esta lista, los visitantes de su sitio web que utilizan sistemas Windows verán un mensaje de advertencia de que su certificado puede no ser válido.

Una vez que obtenga su certificado, debe instalarlo en su servidor web. Las instrucciones paso a paso están disponibles para instalar certificados digitales en Microsoft Internet Information Server (IIS) o servidor web Apache.

Conclusión

Instalar un certificado digital y proporcionar a los usuarios la capacidad de hacer conexiones HTTPS a su servidor web es una de las formas más simples en que puede agregar seguridad a su sitio web y aumentar la confianza del usuario en la realización de transacciones con usted a través de la Web. Esto proporciona el importantísimo ícono de "candado" en sus navegadores web y garantiza que sus comunicaciones no estén sujetas a escuchas en internet.

Sobre el autor: Mike Chapple, CISA, CISSP, es un profesional de seguridad de TI. Se ha desempeñado como investigador de seguridad de la información en la Agencia de Seguridad Nacional y la Fuerza Aérea de EE. UU. Mike es colaborador de SearchSecurity.com y autor de varios títulos de seguridad de la información, incluida la Guía de preparación de CISSP y Seguridad de la información iluminada.

Investigue más sobre Auditoría y cumplimiento