El Protocolo seguro de transferencia de hipertexto (en inglés, Hypertext Transfer Protocol Secure o HTTPS) es un protocolo de aplicación basado en el protocolo HTTP, destinado a la transferencia segura de datos de hipertexto, es decir, es la versión segura de HTTP.
Una conexión HTTP estándar en Internet puede ser fácilmente secuestrada por partes no autorizadas. El propósito de una conexión HTTPS es evitar esto: encriptar los datos para asegurar una transmisión de datos segura. La transmisión está encriptada y el servidor autenticado.
Cuando un usuario hace clic en un enlace o confirma una entrada de URL en la barra de direcciones con el botón Enter, el navegador establece una conexión. El servidor presenta un certificado que lo autentica como un proveedor genuino y confiable. Una vez que el cliente ha verificado la autenticidad, envía una clave de sesión que sólo puede leer el servidor. Sobre la base de estos datos clave, ahora se puede realizar el cifrado. Normalmente, se utiliza un certificado SSL.
Antecedentes y objetivos
El propósito de una conexión HTTPS es proteger los datos que se transmiten. Una conexión HTTP puede ser fácilmente interceptada, permitiendo ataques específicos a individuos. Los datos introducidos por un usuario en la ventana de su navegador son a menudo personales (información de la cuenta, correo electrónico, información de la tarjeta de crédito, etc.) y deben protegerse de dicho acceso.
Otro problema es la suplantación de identidad (phishing), mediante la cual los datos introducidos por un usuario se envían a personas no autorizadas que utilizan sitios web falsos. El uso de HTTPS en lugar de HTTP puede evitar tanto la interceptación como el phishing. Esto último es posible con un certificado. En otras palabras, el objetivo de HTTPS es proporcionar a los usuarios de Internet privacidad, seguridad y protección de datos.
Uso y relevancia
HTTPS se utiliza para todos los sitios web en los que un usuario introduce datos. Un campo de aplicación importante es la banca online. En cualquier lugar donde se utilice una cuenta protegida por contraseña, sería sensato tener una conexión HTTPS. Esto incluye el acceso a redes sociales, o cuentas de correo electrónico y de compras, en las que de otro modo se podría causar un gran daño personal con la adquisición ilegal de datos personales. La información personal también puede ser enviada sin una cuenta. Si, por ejemplo, un vuelo o unas vacaciones enteras se reservan en línea, entonces los datos aplicables deben ser comunicados a los proveedores de una manera segura.
En su propio interés, cualquier usuario de Internet debe prestar atención a una conexión segura en el lugar correcto y así proteger su privacidad. Si existe una conexión HTTPS se puede ver fácilmente en la barra de direcciones. Mostrará «https» al principio e incluso se resalta en muchos casos. También se muestra un pequeño icono de candado.
Desventajas
El HTTPS tiene algunas desventajas en comparación con las conexiones HTTP. Sin embargo, son muy pocas y deberían aceptarse como un compromiso por la seguridad que proporcionan.
- Hay cargos adicionales por certificados y costes crecientes con el aumento del tráfico. Estos pueden ser particularmente altos. Especialmente para sitios web nuevos y pequeños, estas tarifas pueden llegar a ser relativamente altas.
- Con conexiones HTTPS, el contenido no puede almacenarse en caché. Pero la tendencia hacia un mayor ancho de banda contrarresta esta desventaja.
- Un punto débil es también el menor rendimiento resultante del uso del cifrado SSL. El servidor debe realizar muchos más cálculos, aumentando así el tiempo de respuesta.
- Los hosts virtuales no funcionan con HTTPS.
Ventajas
Además de la ventaja obvia de la privacidad en línea, también hay otro pro. El uso de HTTPS no requiere ninguna instalación de software adicional. Esto significa que puede ser utilizado sin restricciones por cualquier persona. La autenticación con un certificado también inspira confianza en los clientes potenciales.
Diferencia con HTTP
La principal diferencia es la seguridad. La tecnología es esencialmente la misma, pero HTTPS incluye encriptación SSL. Por lo tanto, en principio es posible establecer todo Internet con conexiones HTTPS. Sin embargo, debido a las desventajas antes mencionadas y por costumbre, casi nadie utiliza una conexión segura cuando no es absolutamente necesaria.
Seguridad
Dado que la diferencia con el HTTP es el uso de cifrado, la seguridad HTTPS depende únicamente de la técnica de cifrado utilizada. Actualmente se trata de SSL, que generalmente se considera segura. Sin embargo, debe tenerse en cuenta que una transmisión de datos segura por sí sola no es suficiente para protegerlos completamente, sino que también debe ser almacenada de forma segura por el destinatario.