El mundo de la ciberseguridad está repleto de acrónimos. Pueden dar un poco de miedo, pero no debería ser así. Especialmente al hablar de HTTPS, pues su labor consiste en proteger tu tráfico en internet. Puede que no te des cuenta, pero lo usas cada día sin falta. Continúa leyendo para saber más sobre HTTPS.
Índice:
¿Qué es HTTPS?
HTTPS son las siglas en inglés de «Hypertext Transfer Protocol Secure», que en español significa «protocolo seguro de transferencia de hipertexto». Es la versión segura del protocolo de transferencia de hipertexto que sustenta la web. En la práctica, el HTTPS permite que tu navegador se comunique con el servidor de un sitio web de forma privada y autenticada.
Cuando tu navegador se conecta a una página web que usa «HTTPS», la conexión se cifra mediante una tecnología llamada TLS (Transport Layer Security). El protocolo TLS protege tus solicitudes y las respuestas del sitio web de cualquier persona que intente interceptarlas o modificarlas mientras se transmiten a través de las redes.
Cualquier página web, especialmente las que requieren credenciales de inicio de sesión, debería usar HTTPS. Los portales de banca online, las redes sociales, los servicios de correo electrónico, las tiendas online, los paneles de control en la nube e incluso los pequeños blogs para miembros transmiten información confidencial. Sin el HTTPS, esa información puede filtrarse en texto sin cifrar.
Los navegadores modernos muestran un icono de candado y muestran «https://» antes del nombre de dominio. Si ves advertencias sobre una conexión insegura, un certificado SSL caducado o simplemente «http://» en la URL, ten precaución en esta página web.
HTTP vs. HTTPS
Los protocolos HTTPS y HTTP se basan en el mismo protocolo de transferencia de hipertexto subyacente, pero gestionan la seguridad de forma muy diferente.
HTTP: sin cifrado
El protocolo HTTP transfiere datos en texto sin formato. Si alguien intercepta el tráfico en una conexión HTTP, puede leer todo lo que envías, como contraseñas, formularios e información personal.
Esta falta de protección puede dar lugar a:
Ataques de intermediario.
Secuestro de sesión.
Manipulación del tráfico.
Seguimiento no deseado y publicidad inyectada.
HTTPS: cifrado, autenticación, integridad
HTTPS resuelve estos problemas al añadir cifrado y verificación:
El cifrado protege los datos en tránsito, de esta forma parecen texto codificado, ilegible sin las claves correctas.
La autenticación demuestra que la página web es legítima. Un servidor debe tener un certificado SSL válido (o certificado TLS), que confirma que estás comunicándote con la página web real y no con un impostor.
La integridad garantiza que los datos enviados entre tu navegador y el servidor no puedan modificarse durante el trayecto.
Por este motivo, los principales navegadores marcan «HTTPS» como estándar y advierten a los usuarios cuando una página web no admite este protocolo.
El protocolo seguro de transferencia de hipertexto (HTTPS) transfiere paquetes de datos entre el cliente (como tu teléfono que solicita la página web) y un servidor, dispositivo o aplicación. Al hacerlo, también encripta tu tráfico usando criptografía asimétrica.
Para establecer una conexión segura, el servidor y tú necesitáis intercambiar claves públicas y privadas. En pocas palabras, se trata de un conjunto de algoritmos necesario para la encriptación. La clave pública es compartida con terceros y es necesaria para enviarte mensajes encriptados, mientras que la clave privada se emplea para desencriptar dichos mensajes y debería permanecer siempre privada.
¿Pero cómo funciona todo esto en la práctica? Mediante un saludo SSL/TLS.
Envías una petición de «saludo» al servidor web con el que quieres comunicarte.
El servidor te responde con un «hola». Te envía un certificado TLS/SSL junto a su clave pública. Ahora ya sabes que la página es legal, y puedes establecer una conexión.
A continuación, usas la clave pública del servidor web para cifrar tu clave pública y devolvérsela.
El servidor desencripta tu clave. Ahora puedes establecer las claves de sesión que se emplearán para encriptar la comunicación.
Una vez se intercambian las claves de sesión, tu conexión queda encriptada.
Mejora tu seguridad en Internet
Almacena y gestiona tus objetos de valor digitales de forma segura
Obtén NordPassCómo cambiar tu página web a HTTPS
Si tienes una página web, cambiar de «HTTP» a «HTTPS» ya no es opcional. Los motores de búsqueda esperan que la página lo tenga, los navegadores advierten a los usuarios si no lo tienen y los visitantes confían en él. El proceso de migración no es complicado, pero requiere seguir unos pasos precisos.
Paso 1: Obtén e instala un certificado SSL
Para empezar, necesitas un certificado SSL válido expedido por una autoridad certificadora de confianza. Las opciones van desde certificados gratuitos (a través de organizaciones como Let’s Encrypt) hasta versiones de pago con validación ampliada.
Cuando ya lo tengas:
Instala el certificado en tu servidor.
Configura tu plataforma de alojamiento para usar HTTPS en todas las conexiones.
Tu certificado acredita tu identidad ante los visitantes y permite una comunicación cifrada.
Paso 2: Actualiza los enlaces y el contenido de tu página web
Una vez que tu certificado esté activo, la página web necesitará una limpieza para garantizar que nada apunte a direcciones «HTTP» antiguas.
Esto incluye:
Corregir los enlaces internos para que todas las URL comiencen por «https://».
Actualizar los enlaces multimedia y scripts (imágenes, CSS, JavaScript) para que se carguen de forma segura.
Forzar «HTTPS» configurando una redirección 301 para dirigir todo el tráfico HTTP a HTTPS de forma automática.
Si no actualizas estos enlaces, tu página web podría mostrar advertencias de «contenido mixto», lo que reduciría la confianza de los usuarios.
Paso 3: Actualiza la presencia online de tu página web
Una vez que tu página web esté completamente convertida, notifica a las herramientas y servicios que dependen de tu dominio.
Asegúrate de:
Enviar un mapa del sitio XML actualizado (sitemap.xml) a los motores de búsqueda.
Añadir la versión «HTTPS» de tu sitio web como una nueva propiedad en Google Search Console.
Actualizar la configuración SSL de tu CDN (red de distribución de contenidos) para que los activos almacenados en caché se entreguen de forma segura.
Actualizar las cuentas de Google u otras integraciones que interactúan con tu dominio.
Una vez completados estos pasos, tu sitio web ofrecerá páginas «HTTPS» seguras de forma coherente en todas las plataformas.
Último consejo
Tener protección y seguridad en internet consiste en crear una serie de hábitos fiables. Comprobar si se trata del protocolo seguro de transferencia de hipertexto (HTTPS) es una de ellas, pero aún así necesitas herramientas que protejan tus cuentas a largo plazo. Es fundamental usar contraseñas seguras y únicas, y un gestor de contraseñas te ayuda a crearlas y almacenarlas de forma segura. Si quieres una forma fácil de organizar y proteger todas tus credenciales, prueba una herramienta especializada como NordPass.