Seguridad HTTP vs HTTPS: las diferencias entre estos protocolos
Todos, incluidos los gigantes tecnológicos como Google y Mozilla, buscan sitios web seguros con el prefijo HTTPS en lugar de HTTP. Sin embargo, surge la pregunta “¿qué es HTTP vs HTTPS?” y «¿cuál es la diferencia entre estos protocolos?»
¿Qué es HTTP frente a HTTPS?
Bueno, podríamos decir que son dos protocolos de Internet relacionados pero distintos, pero eso no le serviría de mucho y sería un artículo muy corto y aburrido. Por lo tanto, nos tomaremos un poco más de tiempo para analizar las cosas por usted.
Este artículo discutirá la diferencia entre HTTP y HTTPS, por qué es importante comprender la seguridad de HTTP frente a HTTPS y cuáles son las ventajas de usar un protocolo sobre el otro.
Seguridad HTTP frente a HTTPS
En pocas palabras, «HTTP vs HTTPS» es la diferencia entre proporcionar una conexión segura y encriptada a su sitio web y elegir no hacerlo.
El primero (HTTP) es una forma insegura de comunicarse a través de Internet, mientras que el segundo (HTTPS) no lo es.
En un sentido básico, HTTPS es la versión nueva y mejorada de HTTP… pero existen diferencias técnicas que los distinguen aún más.
Comprender la diferencia entre HTTP y HTTPS es importante debido al peso que los motores de búsqueda otorgan al uso de conexiones seguras.
Por ejemplo, Google y Mozilla incluyen la seguridad de los sitios web como un factor de clasificación para sus resultados de búsqueda.
Y desde 2018, todos los principales navegadores han logrado que sus plataformas griten «No seguro» cada vez que alguien accede a un sitio web que carece de un certificado digital confiable (es decir, un certificado SSL o TLS, del que hablaremos más adelante).
Las compañías de tarjetas de crédito y otros organismos reguladores también han declarado la guerra a los sitios que no son seguros.
Si no cumple con sus requisitos, podría enfrentarse a fuertes sanciones. Y dado que prácticamente todos se están moviendo para obligarlo a tener «HTTPS» para su sitio web, es obvio que desea saber la diferencia entre HTTP y HTTPS.
Analicemos HTTP y HTTPS más en profundidad para obtener una mayor comprensión del tema en cuestión.
¿Qué es HTTP?
HTTP significa protocolo de transferencia de hipertexto y es un protocolo de capa de aplicación.
En la seguridad del sitio web, es un protocolo que permite que los servidores y los clientes se comuniquen a través de Internet.
Se considera un sistema sin estado porque proporciona conexiones bajo demanda a los navegadores que las inician.
Para intercambiar paquetes de datos a través de Internet, HTTP se basa en TCP (protocolo de control de transmisión) principalmente a través del puerto 80. Después del protocolo de enlace inicial con el cliente y el servidor, el servidor HTTP utilizará diferentes tipos de mensajes de solicitud.
HTTP es una forma insegura de comunicar datos
El mayor problema con un sitio web HTTP es que no ofrece una comunicación segura (lo que significa que los datos no están cifrados y se transmiten en formato de texto sin formato).
Mientras usa un sitio HTTP, sus datos pueden ser pirateados, robados o manipulados por atacantes.
No hace mucho tiempo, muchos sitios web usaban HTTP y cambiaron a HTTPS en la página de pago. Sin embargo, esta situación está cambiando (afortunadamente) y rápido (aunque no lo suficientemente rápido).
Hoy en día, la mayoría de los sitios utilizan la versión segura de HTTP llamada HTTPS. El cambio de HTTP a HTTPS fue instigado por la creación de SSL, o lo que se conoce como la capa de conexión segura.
Por supuesto, como todas las cosas en la vida, nada dura ni permanece igual. Lo mismo ocurre con SSL.
El protocolo SSL pasó por varias iteraciones, hasta la versión 3.0 de SSL, antes de que finalmente fuera reemplazado por su nuevo sucesor, la seguridad de la capa de transporte (TLS).
Por supuesto, también pasamos por algunas versiones de TLS y ahora estamos en la versión 1.3 de TLS. Sin embargo, es importante tener en cuenta que la mayoría de los sitios web (99,3 % a febrero de 2021) son compatibles con TLS 1.2 y solo el 42,9 % son compatibles con TLS 1.3, según los datos del panel de control de SSL Labs.
Sin embargo, solo una nota rápida para tratar de ayudarlo a mantener las cosas claras: aunque TLS reemplazó a SSL, y aunque existen algunas diferencias técnicas entre los dos protocolos, las personas en nuestra industria todavía se refieren a ambos como «SSL». ”
Este es particularmente el caso cuando la gente habla de certificados SSL/TLS. Entonces, aunque técnicamente está comprando un certificado TLS, la gente normalmente lo llamará certificado SSL o certificado SSL/TSL.
¿Que pasa cuando los sitios web usan HTTP?
Bueno, digamos que un sitio web que usa HTTP no es una imagen bonita. Verá, a los navegadores web no les gustan los sitios web que usan este protocolo inseguro.
De hecho, advierten específicamente a los usuarios cuando los sitios web son inseguros mediante la publicación de mensajes de miedo y símbolos de advertencia.
Ahora, ponte en los zapatos de tus clientes. ¿Ver un mensaje de advertencia como este inspira confianza en la noción de que este sitio web es un lugar seguro para comprar o compartir cualquier tipo de información personal?
Yo creo que no. ¡Esto puede resultar en la pérdida de negocios y llevar a sus clientes directamente a los brazos de sus competidores que tienen sitios web seguros!
Pero hay buenas noticias que se derivan de este conocimiento. Hay una manera de evitar que este tipo de mensaje aparezca en su sitio: sirviendo su sitio web a través del protocolo seguro HTTPS en lugar de usar HTTP.
¿Qué es HTTPS?
HTTPS, o protocolo seguro de transferencia de hipertexto, es básicamente la versión más nueva y segura de su predecesor.
HTTPS también se denomina a veces HTTP sobre TLS y utiliza el puerto 443 en lugar del puerto 80.
Al comparar la seguridad de HTTP con la de HTTPS, esta última obtiene los puntos más altos sin lugar a dudas. ¿Por qué? Porque cuando habilita HTTPS en su sitio correctamente, la comunicación que se lleva a cabo entre un cliente y su servidor está encriptada.
Esto significa que los entrometidos entrometidos no pueden interceptar ni alterar sus datos mientras están en tránsito.
E, independientemente de si los usuarios acceden a su sitio web desde sus computadoras portátiles o sus dispositivos móviles, ¡HTTPS protege el tráfico en ambos!
Un diferenciador realmente importante entre HTTP y HTTPS que debemos mencionar aquí es que HTTPS se basa en la infraestructura de clave pública (PKI) para hacer su trabajo.
La infraestructura de clave pública es el complejo mundo subyacente de tecnologías y procesos que hace posibles las comunicaciones seguras en Internet.
Es un ecosistema completo que consta de múltiples componentes esenciales, que incluyen (pero no se limitan a):
Certificados digitales X.509
Esto incluye certificados SSL/TLS, certificados de firma de correo electrónico, certificados de firma de código, certificados de firma de documentos, etc.).
Pares de claves criptográficas
esto incluye tanto claves públicas como privadas.
Autoridades de certificación (CA)
los terceros de confianza que son responsables de emitir los certificados y cumplir con los estándares de la industria.
¿No está seguro de por qué debería preocuparse por PKI? Déjame preguntarte esto; ¿Le gusta poder pedir comida para llevar o hacer compras nocturnas en Amazon en línea de forma segura? ¡Entonces puedes agradecer a PKI por eso!
HTTPS requiere certificados SSL/TLS
Hemos tocado esto un poco, pero lo reiteraremos aquí: habilitar HTTPS requiere el uso de un certificado SSL/TLS válido.
Este certificado digital es un archivo que contiene información sobre su organización para ayudarla a autenticarse, así como otra información criptográfica ingeniosa que ayuda a los usuarios del sitio a comunicarse con ella de forma segura a través del cifrado.
Los certificados SSL/TLS vienen en una variedad de opciones y tipos de validación que satisfacen sus necesidades.
Validación de dominio (DV): esto solo requiere que el propietario del sitio demuestre que posee el dominio.
Es el nivel más bajo de verificación y es mejor para los sitios que no recopilan información de los usuarios ni requieren que inicien sesión.
Validación de la organización (OV): este nivel de validación es más riguroso que el DV, pero no tan profundo como el siguiente tipo de validación que enumeraremos.
La validación de OV es ideal para sitios web que desean afirmar su identidad y ofrecer seguridad de datos.
Validación extendida (EV): este tipo de validación es el más estricto y requiere el nivel más alto de verificación por parte de la CA emisora. Como resultado, la información de su organización se muestra de manera más prominente. Esto es mejor para los sitios web que recopilan y necesitan proteger la información confidencial de los usuarios.
Antes de que el servidor y el cliente inicien su conversación, primero deben intercambiar información y claves en un proceso conocido como protocolo de enlace SSL/TLS. Este proceso da como resultado la creación de otra clave (una clave de sesión) que las dos partes deciden en secreto.
Esta clave es lo que utilizan para establecer la conexión cifrada y segura que se utilizará durante el resto de la sesión.
Sin HTTPS, la transferencia de datos no se cifrará. Esto significa que cualquier dato que el cliente envíe al servidor se transmitirá como texto sin formato, y cualquier persona que intercepte la conversación podrá leer y utilizar estos datos con fines maliciosos.
(Esto se conoce como ataque man-in-the-middle, o MitM). Esto significa que todo lo que ingrese en el sitio, desde su información personal y la información de su tarjeta de crédito hasta sus credenciales de inicio de sesión, estará abierto a compromiso.
¿Como se identifica usas HTTPS?
Entonces, ¿cómo se ve cuando tiene un certificado SSL/TLS instalado en su sitio web? Seguro.
No es aterrador ni preocupante. Ve un reconfortante icono de candado de seguridad en su navegador web que le indica que sus datos se transmiten de forma segura. Mucho mejor que un mensaje de «No seguro», ¿verdad?
Lo que es especialmente bueno de esto es que puede hacer clic en ese ícono para obtener información adicional sobre el certificado y, según el nivel de validación del certificado, información sobre la organización que opera el sitio.
HTTPS o HTTP: ¿Cuál es mejor?
¿Por qué cambiar a HTTPS cuando HTTP había sido «suficientemente bueno» durante todos estos años? ¿El cambio y el costo del cambio valen el tiempo y los esfuerzos?
¿Qué hace que HTTPS sea mucho más confiable que HTTP? ¿Por qué debería comprar un certificado SSL? Bueno, obtendrá sus respuestas cuando comparemos ambos protocolos y le mostremos los beneficios de https.
HTTPS proporciona seguridad adicional
Como sugiere el nombre, HTTPS es mucho más seguro que HTTP. El certificado SSL/TLS lo ayuda a proteger los datos mientras están en tránsito entre su sitio web y el cliente.
Cuando los datos viajan por Internet, rebotan entre muchos servidores antes de llegar a su destino final. Esas son muchas oportunidades para que los ciberdelincuentes lo comprometan.
Y si está utilizando un certificado que valida su identidad, también garantizará la autenticidad de su sitio para que los usuarios sepan que pueden confiar en que sus datos están seguros.
Esto también le ayuda a que su sitio se destaque de los sitios web impostores (phishing).
HTTPS ayuda a su sitio a evitar mostrar mensajes feos de «no seguro»
Como mencionamos anteriormente, a nadie le gusta ver mensajes de advertencia en sitios web que gritan «este sitio web es seguro, ¡huye!» pero eso es básicamente lo que sucede cuando usa el protocolo HTTP inseguro en su sitio web en lugar del protocolo HTTPS seguro.
Una captura de pantalla del mensaje de advertencia no seguro que se muestra cuando los usuarios visitan sitios web HTTP no seguros.
«No seguro», como es obvio, sugiere que la conexión entre los dos dispositivos no es segura.
Esto implica que cualquiera que observe la conexión puede ver fácilmente lo que se transfiere, incluidas las credenciales de inicio de sesión, los números de seguridad social y los números de tarjetas de crédito.
HTTP envía datos a través del puerto 80, mientras que HTTPS envía datos a través del puerto 443. HTTP solo opera en la capa de aplicación, pero HTTPS opera en la capa de transporte y usa tecnologías y procesos PKI.
Estas diferencias técnicas son parte del protocolo de seguridad que hace que el sitio web HTTP sea «No seguro».
HTTPS aumenta la confianza a través de la identidad
Cuando el visitante de su sitio web lea los “HTTPS” en su sitio web con un candado, podrá confiar en que la conexión con su sitio web es segura y que nadie podrá interceptarlo. Como mencionamos hace un momento, la mayoría de los consumidores no comprarán en su sitio web si ven «HTTP» y una advertencia de «No seguro» en su pantalla.
¿Y por qué deberían hacerlo? ¡Tener ese mensaje en su sitio comunica que aparentemente no le importa su seguridad!
Una de las formas más efectivas de atraer a los consumidores es garantizar la seguridad de sus datos.
Pero hay una diferencia entre estar seguro y estar a salvo. Usar el cifrado para proteger los datos es una cosa, pero no sirve de nada a los usuarios si no saben quién está recibiendo sus datos en el otro extremo.
Y es por eso que la identidad digital de su organización es importante.
Tener un negocio de comercio electrónico es muy diferente de administrar una tienda física. Cuando hace negocios en línea, no necesariamente conoce a sus clientes personalmente y, lo que es más importante, ellos no lo conocen a usted.
Como tal, de alguna manera, estos tratos son entre dos extraños. En esta situación, se hace necesario que un tercero confiable y de buena reputación asegure a los usuarios (y a sus clientes/navegadores web) que usted es un dueño de negocio genuino que tiene una buena reputación y es digno de confianza.
La mejor manera de ayudar a las personas a saber con quién están hablando realmente es afirmando su identidad a través de medios verificables.
Aquí es donde el uso de certificados OV o EV puede ser realmente útil. Antes de que una CA pueda emitir un certificado SSL/TLS, debe pasar días verificando su negocio para asegurarse de que sea legítimo.
Esto requiere comparar la información que proporciona el propietario del sitio con una variedad de fuentes oficiales de terceros y usar otros métodos de verificación.
Y solo una vez que estén seguros de que su negocio es legítimo, emitirán un certificado para su sitio.
HTTPS mejora el posicionamiento en los motores de búsqueda de Google de su sitio web
La clasificación en los motores de búsqueda es crucial para cualquier sitio web.
Cuando un visitante escribe su consulta en un motor de búsqueda, el motor de búsqueda clasificará los sitios web utilizando muchos factores diferentes.
El primer resultado orgánico en la búsqueda de Google tiene la tasa de clics más alta del 28,5%, según un informe de Search Engine Journal.
El segundo y tercer resultado tiene una tasa de 15% y 11% respectivamente, y se desploma a un mísero 2,5% para el décimo resultado.
Por lo tanto, debe hacer todo lo posible para mejorar su clasificación en los motores de búsqueda. Tener un certificado SSL y HTTPS antes de la dirección de su sitio web es algo que puede hacer para lograr ese objetivo.
Tener HTTPS lo protege de las sanciones de PCI/DSS
El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un estándar de seguridad de la información que deben seguir las empresas que aceptan el pago a través de cualquier tarjeta de crédito importante.
Si no sigue los protocolos, puede ser penalizado y enfrentar fuertes multas a las compañías de tarjetas de crédito como Visa, MasterCard y American Express.
Un sitio web que solicita los datos del titular de una tarjeta de crédito DEBE asegurarse de que dichos datos estén protegidos.
Además, los datos están suficientemente encriptados durante la transmisión.
Entonces, cuando habla de HTTP frente a HTTPS en este contexto, sabe de qué lado se encuentra la industria de las tarjetas de pago.
Cómo obtener HTTPS para su sitio web
Si desea obtener los beneficios de tener HTTPS para su sitio web, puede obtener su certificado SSL de un distribuidor de renombre.
Algunas empresas ofrecen a los clientes todo tipo de certificados a precios razonables.
Hay muchos descuentos que puede aprovechar cuando opta por comprarnos certificados SSL.
Normalmente al comprar un dominio y alojamiento web su provedor lo incluira en el precio del mismo.
Conclusión sobre la diferencia entre HTTP y HTTPS
Ahora que conoce la diferencia entre HTTP y HTTPS, podrá señalar los sitios que son (y no son) seguros para comprar.
Desde 2014, Google considera la seguridad del sitio (o la falta de ella) como un factor de clasificación.
También observará que la mayoría de los sitios sin HTTPS no aparecerán cuando escriba palabras clave para buscar algo en su motor de búsqueda.
Esos sitios estarán ocultos en el valle llamado World Wide Web (es decir, cualquier cosa después de la primera página de resultados del motor de búsqueda de Google).
A menos que los busque específicamente, no los encontrará.
En la batalla de HTTP vs HTTPS, solo puede haber uno que salga ganando.
Claramente, eso es HTTPS debido a los beneficios de seguridad de identidad y PKI en los que se basa.
Pero, ¿hasta dónde hemos llegado como comunidad de Internet en términos de cambiar de HTTP a HTTPS en su conjunto? El Informe de transparencia de Google muestra que el 95% de todos los sitios web habían logrado el cifrado a fines de enero de 2021.
Por lo tanto, este es el momento de convertir a HTTPS si todavía tiene un sitio HTTP.
