Antes era fácil escribir una dirección web. Sabíamos que el comienzo de la dirección, a veces llamada URL, era siempre “h-t-t-p, dos puntos, barra diagonal, barra diagonal, w-w-w”. Pero eso empezó a cambiar poco a poco. No sólo perdimos a veces las “www” en la URL, sino que también empezamos a ver a veces “https” en lugar de “http”.
¿Cuál es la diferencia entre HTTP y HTTPS, y cómo sabemos cuál debemos escribir cuando vamos a una dirección, si todo lo que conocemos es la parte que sigue a “www”? Si navegamos a un sitio y el HTTP cambia a HTTPS por sí solo, ¿qué significa esto?
Las diferencias entre HTTP y HTTPS
Examinemos primero qué es HTTP. Es un acrónimo de “Hyper Text Transfer Protocol” (Protocolo de Transferencia de Hipertexto) y es básicamente el protocolo utilizado para comunicarse con los sitios web. Cuando escribes la URL en tu navegador, éste “habla” con el servidor utilizado por el sitio web y te permite el acceso. Muchas veces, basta con poner el nombre del sitio con el “.com”, “.org”, etc., y el navegador web rellenará automáticamente el resto de la dirección por ti con el resto de la URL.
El problema con HTTP es que la comunicación no es necesariamente completamente privada o segura. La información que usted proporciona a un sitio web, como la información de contacto o financiera, podría ser interceptada por un tercero. Si estás en amazon.com o paypal.com, quieres estar seguro de que la información que compartes no será captada por nadie más. Lo que necesitas es un sitio que sea más seguro.
Esto es exactamente lo que significa la S en HTTPS, o “HTTP seguro”. La S significa “seguro”. No es un protocolo completamente diferente. Se trata de un efecto de estratificación. El HTTP se superpone al SSL/TLS (Secured Socket Layer/Transport Layer Security) para crear una mayor seguridad. Autentificará el sitio para que sepas que estás tratando con un sitio que es quien dice ser y también cifrará los datos.
Volvamos a Amazon.com. Cuando introduzco “amazon.com” en mi navegador, éste rellena automáticamente el resto, incluido el reconocimiento de mi cuenta y la firma. Cuando sólo navego por la tienda, no necesito más protocolo que el HTTP. No estoy proporcionando ninguna información sobre mí mismo.
Sin embargo, si voy a entrar en mi cuenta real para editar información o comprar un artículo, ésta incluye no sólo mi dirección, sino la información de mi tarjeta de crédito, por lo que quiero que sea más segura. Una vez que hago clic en mi cuenta, automáticamente cambia por sí sola a un HTTPS donde sé que será más seguro. Sé que mi información está segura aquí, ¿o debería decir más segura?
¿Cómo de seguro es el HTTPS?
El protocolo HTTPS es supuestamente seguro, pero no significa necesariamente que esté completamente a salvo. En algunas ocasiones, los propietarios del sitio pueden no haber implementado HTTPS correctamente, o que el certificado de firma esté caducado/no sea válido. Además, estar en HTTPS no significa que sea un sitio legítimo. Podría tratarse de un sitio de phishing o de hacking que tiene el mismo aspecto que amazon.com o paypal.com. En estos casos, tienes que usar tu propio juicio para saber si el sitio es de confianza o no.
¿Cómo comprobar si un sitio ha implementado HTTPS correctamente?
Si utiliza una versión reciente del navegador web, ya sea Firefox, Chrome, IE o Safari, debería poder ver el estado HTTPS del sitio desde la barra de URL.
En Firefox, cuando acceda a un sitio HTTPS, verá un candado junto a la URL. Haga clic en él y verá el estado del certificado de firma.
Desde aquí, puedes ver quién proporciona el certificado de firma (en este caso, Verisign) y si está implementado correctamente para evitar las escuchas.
En Chrome, puedes ver incluso más detalles sobre la conexión y cómo de segura es.
Si hay un error con el certificado, o que la fuente del proveedor no está verificada, esto es lo que verás en pantalla:
Entonces puedes decidir si quieres “Añadir excepción” y continuar, o salir del sitio.
Conclusión
Durante estas fiestas en las que compras todos tus regalos y obsequios por Internet, vale la pena estar más atento a la seguridad del sitio y a si la tarjeta de crédito que envías está cifrada o no. Esperemos que este artículo te haya ayudado a entender mejor las diferencias entre HTTP y HTTPS y las cosas en las que debes fijarte en un sitio supuestamente seguro, y que es realmente quien dice ser.