Skip to main content

Hoy en día todos los sitios se ven obligados a usar HTTPS o Hypertext Transfer Protocol Secure por sus siglas en inglés, suena complicado pero para ponerlo en términos simples hace a una web más segura. A continuación se detalla la diferencia entre HTTP y HTTPS, qué es y porqué es importante en la web hoy día.

 

Instalar un certificado SSL (HTTPS) y que el sitio tenga un candadito, hasta hace no muchos años era algo completamente opcional, al menos para la mayoría de los sitios web. Si bien HTTPS es algo que viene desde el principio de los años noventa, siempre fue algo que únicamente bancos, financieras y sitios web de comercio electrónico implementaron, para el resto de los sitios era algo poco usual, no solo por desconocimiento o falta de interés, sino también por un tema de costos.

 

En 2014 la empresa Google «recomendó» a los webmaster que implementaran SSL en sus sitios web. Sin embargo no era para tomarlo a la ligera ya que también anunció que su buscador «castigaría» con una menor clasificación en sus resultados de búsqueda a los sitios que no lo implementaran. Es así que lejos de ser una simple recomendación fue algo a tomarse en serio.

 

En ese momento muchas empresas y sitios web que vivían del tráfico, de la publicidad online y del SEO en general no estaban dispuestos a dar ninguna ventaja a la competencia y fueron los primeros en migrar sus sitios a HTTPS. Sin embargo una enorme cantidad de sitios no veían una ventaja hacerlo, por eso prefirieron no hacer la transición.

 

Google no estaba dispuesto a cesar en su cruzada de una web más segura, por lo que tomó la decisión de directamente bloquear – al menos con una advertencia – en su navegador a los sitios que no usen un certificado SSL. Éste no era un tema menor, ya que Chrome es uno de los navegadores más populares. Tiempo después, el resto de los navegadores adoptaría las mismas políticas.

 

¿Por qué tanto interés en HTTPS y que tiene de malo HTTP?

 

El protocolo HTTP es la versión básica y sin ninguna capa de cifrado que permite transportar de forma bidireccional datos entre el servidor web y el navegador del cliente. Se dice que transporta en las dos direcciones porque el navegador envía solicitudes HTTP (que pueden ser solicitudes GET, POST, PUT, DELETE, entre otras) hacia el tipo de servidor web que haya en el backend, y este responde en consecuencia con la solicitud efectuada.

 

Por ejemplo la solicitud GET efectuada por el navegador, le solicita al servidor Apache que le envíe un archivo, este puede ser un HTML, una imagen, un video, un documento PDF o literalmente cualquier tipo archivos. En una solicitud POST en cambio, el navegador le envía datos al servidor web, éstos pueden ser archivos, campos de formularios, entre otros.

 

En el caso de HTTPS es igual pero diferente. Se parece al anterior que permite efectuar las mismas operaciones antes mencionadas, solo que esta vez le agrega una capa de cifrado. En un principio esta capa estaba protegida con un cifrado SSL, de ahí la denominación de Certificados SSL, sin embargo con el tiempo este tipo de cifrado cayó en desusos por obsoleto y fue sustituido por certificados TLS mucho más seguros. De cualquier forma, aún se le llama certificado SSL aunque no sea lo correcto.

 

¿Qué es https en informática y el TLS?

 

Hoy en día está muy de moda la pregunta sobre qué es https en informática, y el TLS es algo que está sumamente relacionado.

 

El TLS o Transport Layer Security es la una nueva versión mejorada del Certificado SSL, este certificado es el que da la posibilidad de transportar datos entre dos puntos de la red de forma segura manteniendo el contenido de la comunicación de forma privada.

 

El cifrado TLS es independiente del protocolo, no solamente cifra comunicaciones HTTPS sino también POP3, IMAP, SSH, SMTP o NNTP entre muchos otros. Ésto permite que un mismo certificado SSL/TLS pueda proteger diferentes canales de comunicación independiente del protocolo, por eso los servidores suelen ofrecer el mismo servicio en puertos diferentes en caso que tenga cifrado o no.

 

Los puertos para cada protocolo son:

  • Sin cifrado para correo: 25 para SMTP, 110 para POP3 y el 143 para IMAP
  • Con cifrado para correo: 465 para SMTP, el 995 para POP3 y el 993 para IMAP
  • HTTP: puerto estándar es el 80
  • HTTPS: puerto estándar es el 443

A diferencia del correo, en el caso de HTTP/HTTPS el usuario no se da cuenta de este cambio ya que lo realiza el navegador web.

 

Cuando en el navegador se realiza una petición, por ejemplo a http://www.netuy.net, se esta haciendo una solicitud sin cifrado por tanto el navegador solicita la página al puerto 80. En cambio si en lugar de http se hace por https a la dirección https://www.netuy.net el navegador automáticamente lo solicita al puerto 443, esto es completamente transparente al usuario y pasa inadvertido. Sin embargo por detrás son 2 servicios diferentes los que responden y por tanto pueden tener comportamientos diferentes.

 

Porque usar un certificado SSL

 

Más allá del que la empresa Google califique negativamente a los sitios que no utilizan un SSL, lo cierto es que razones sobran para usarlos. Los delitos informáticos y las amenazas están a la orden del día sobre todo con redes públicas o poco seguras. En caso de no utilizar un SSL en tus sitios web, expones a que la comunicación entre tus usuarios y el servidor pueda ser interceptada en el camino por delincuentes.

 

Esta situación permite que los datos sean robados y caigan en malas manos. Los usuarios se pueden conectar al sitio desde un sin fin de ubicaciones y no necesariamente seguras, el no usar un SSL facilita el robo de identidades, números de tarjeta de crédito, datos bancarios o datos personales de los usuarios y puede representar un riesgo de seguridad para el sitio y para el servidor.

 

A la hora de elegir conviene saber sobre SSL pagos vs SSL gratuitos

 

Existen tanto SSL gratuitos como SSL pagos, la ventaja de los SSL gratuitos es que no tienen costo, funcionarán bien para proyectos pequeños y para sitios de pruebas. Sin embargo su gran inconveniente es que duran solo 3 meses, a diferencia de los pagos que duran un año y las renovaciones de los gratuitos no siempre se efectúan como corresponde, pudiendo dejar el sitio como uno no confiable.

 

Por otro lado la ventaja de los certificados pagos es que tienen soporte, garantía y se pueden utilizar para proteger servicios como el correo, características que los gratuitos no tienen.