HTTPS

En telecomunicaciones y TI , el Protocolo de transferencia de hipertexto sobre capa de sockets seguros ( HTTPS ) (también conocido como HTTP sobre TLS , [1] [2] HTTP sobre SSL [3] y HTTP seguro [4] [5] ) es un protocolo para comunicación segura a través de una red informática utilizada en Internet . El puerto generalmente (pero no necesariamente) utilizado es el 443. Consiste en comunicarse a través de HTTP (Protocolo de transferencia de hipertexto) dentro de una conexión cifrada , mediante cifrado asimétrico , mediante Transport Layer Security ( TLS ) o su predecesor, Secure Sockets Layer ( SSL ) proporcionando como requisitos clave:

  1. una autenticación del sitio web visitado;
  2. protección de la privacidad (confidencialidad o confidencialidad );
  3. integridad de los datos intercambiados entre las partes comunicantes.

Información general

En su popular funcionamiento en Internet, HTTPS proporciona la seguridad del sitio web y del servidor web asociado con el que se comunica una de las partes, protegiendo la comunicación de ataques conocidos mediante la técnica man in the middle . Además, HTTPS proporciona un cifrado bidireccional de las comunicaciones entre un cliente y un servidor , lo que protege al mismo contra posibles operaciones de espionaje ( acción por la cual se escucha en secreto la conversación privada entre las partes sin su consentimiento ) y manipulación ( literalmente manipulación ). con o alteración de la comunicación ) falseando su contenido. [6] En la práctica, este mecanismo proporciona una garantía satisfactoria de que se está comunicando exactamente con el sitio web deseado (a diferencia de un sitio web falso), así como que los contenidos de las comunicaciones entre el usuario y el sitio web no pueden ser interceptados o alterados por terceros.

Históricamente, las conexiones HTTPS se usaban principalmente para pagos en transacciones en la World Wide Web (especialmente para comercio electrónico ), correo electrónico y para transacciones confidenciales dentro de los sistemas de información corporativos . A finales de la década de 2000 y principios de la de 2010, HTTPS comenzó a tener un uso generalizado y generalizado para proteger la autenticidad de las páginas web , la seguridad de las cuentas de los usuarios, y para mantener privadas las comunicaciones, la identidad y la navegación web del usuario.

Historia

Este sistema fue diseñado por Netscape Communications Corporation, que se ocupa de la autenticación y las comunicaciones cifradas, y se usa ampliamente en la World Wide Web para situaciones que requieren requisitos de seguridad especiales , como el pago de transacciones en línea. En este caso , SSL garantiza la encriptación de los datos enviados y recibidos a través de Internet .

Descripción

En los navegadores web , el URI ( Uniform Resource Identifier ) ​​que hace referencia a esta tecnología tiene un nombre de esquema httpsy es en todos los aspectos similar a los URI http. Sin embargo, HTTPS indica al navegador que utilice la capa de cifrado SSL/TLS adicional para proteger el tráfico de Internet. SSL/TLS es particularmente adecuado para el protocolo HTTP, ya que puede brindar cierta protección, incluso si solo se autentica una de las partes que se comunican. Este es el caso de HTTP en las transacciones de Internet, donde normalmente el servidor es la única parte que se autentica, mientras que el cliente examina el certificado del servidor.

HTTPS se encarga de crear un canal de comunicación seguro a través de una red informática no segura. Esto garantiza una protección aceptable contra los fisgones ( oyentes entrometidos ) y los ataques de intermediarios , siempre que se utilice un cifrado de comunicación adecuado y el certificado del servidor sea verificado y confiable.

En la base del funcionamiento de HTTPS, por encima de la Seguridad de la capa de transporte , se encuentra el protocolo HTTP en su totalidad; por esta razón, este último puede estar completamente encriptado. El cifrado del protocolo HTTP incluye:

Sin embargo, dado que las direcciones IP del host ( sitios web ) y los números de puerto son parte de los protocolos subyacentes de TCP/IP, HTTPS no puede proteger su divulgación. En la práctica, significa que incluso si un servidor web está correctamente configurado, los intrusos pueden deducir la dirección IP y el número de puerto (a veces incluso el nombre de dominio, por ejemplo, "www.example.org", pero no el resto de URL) de la web. servidor con el que se está comunicando, además de la cantidad de datos transferidos y la duración de la comunicación (duración de la sesión), pero no el contenido de la comunicación. [6]

Los navegadores web saben cómo confiar en los sitios web HTTPS basados ​​en certificados de autoridad que vienen preinstalados en su software. Los creadores de navegadores web confían en las autoridades de certificación (como Symantec, Comodo, GoDaddy y GlobalSign ) para proporcionar certificados válidos con fines de comunicación. Por lo tanto, un usuario debe confiar en una conexión HTTPS a un sitio web si y solo si se verifica todo lo siguiente:

HTTPS es especialmente importante en redes inseguras (como puntos de acceso WiFi públicos), ya que cualquier persona en la misma red local puede rastrear paquetes y descubrir información confidencial que no esté protegida por HTTPS. Además, a muchos se les paga para participar en la inyección de paquetes en redes inalámbricas con el fin de brindar un servicio para publicitar sus páginas web, mientras que otros lo hacen libremente. Sin embargo, esta operación puede explotarse maliciosamente de muchas maneras, como inyectar malware en páginas web y robar información privada de los usuarios. [7]

HTTPS también es muy importante con las conexiones en la red Tor (acrónimo de The Onion Router) para preservar el anonimato en Internet, ya que los nodos Tor maliciosos pueden dañar o alterar los contenidos que pasan por ellos de forma insegura e inyectar malware en la conexión. Por esta razón , Electronic Frontier Foundation ( EFF ) y el proyecto Tor han iniciado el desarrollo del protocolo HTTPS Everywhere [6] , que se incluye en el paquete Tor Browser. [8]

Aunque se está divulgando más información sobre la vigilancia global masiva y el robo de información personal por parte de piratas informáticos , el uso de HTTPS para la seguridad en todos los sitios web es cada vez más importante, independientemente del tipo de conexión a Internet utilizada. [9] [10] Si bien los metadatos de las páginas individuales que visita un usuario no son información confidencial, cuando esta información se combina puede revelar mucho sobre la identidad del usuario y comprometer su privacidad. [2] [11] [12]

El uso de HTTPS también permite el uso de los protocolos SPDY / HTTP/2 , que son nuevas generaciones del protocolo HTTP, diseñadas para reducir los tiempos de carga y la latencia de las páginas web.

Se recomienda utilizar HTTP Strict Transport Security (HSTS) con HTTPS para proteger a los usuarios de los ataques de intermediarios, especialmente la eliminación de SSL . [12] [13]

HTTPS no debe confundirse con el protocolo HTTP seguro (S-HTTP) poco utilizado que se describe en la especificación RFC 2660 .

Uso en sitios web

A partir del 3 de mayo de 2017, el 56,8% de los 139.032 sitios web principales cuentan con una implementación segura del protocolo HTTPS. [14] HTTPS es utilizado por el 5,24% del total de dominios italianos registrados [15] .

Integración en navegadores

La mayoría de los navegadores muestran un mensaje de advertencia si reciben un certificado no válido del servidor que actúa como autoridad certificadora. Los navegadores más antiguos, cuando se conectaban a un sitio web con un certificado no válido, mostraban al usuario un mensaje de diálogo preguntándole si deseaba continuar navegando. Los navegadores más recientes, por otro lado, muestran un mensaje de advertencia que cubre toda la ventana, mostrando al usuario la información de seguridad del sitio visitado en la barra de direcciones del navegador. En los navegadores modernos, la validación extendida de certificados muestra la barra de direcciones con un color verde. Además, la mayoría de los navegadores muestran un mensaje de advertencia al usuario cuando visita un sitio que contiene una mezcla de contenido cifrado y no cifrado.

Firefox utiliza el protocolo HTTPS para las búsquedas de Google desde la versión 14, [16] con el objetivo de "proteger a nuestros usuarios de la infraestructura de red que puede recopilar datos de los usuarios o modificar/censurar sus resultados de búsqueda". [17]

La Electronic Frontier Foundation expresó la opinión de que: " En un mundo ideal, cualquier solicitud web podría transformarse por defecto en una solicitud HTTPS ". Para los navegadores Google Chrome , Mozilla Firefox (también en Android ) y Opera , hay un complemento llamado " HTTPS Everywhere " que habilita el protocolo HTTPS predeterminado para cientos de sitios web.

Seguridad

La seguridad de HTTPS está garantizada por el protocolo TLS subyacente , que esencialmente utiliza claves privadas y públicas a largo plazo para generar claves de sesión a corto plazo. Estas claves se utilizan posteriormente para cifrar el flujo de datos intercambiados entre el cliente y el servidor. Los certificados definidos por el estándar X.509 se utilizan para autenticar el servidor (a veces incluso el cliente). En consecuencia, se requieren autoridades de certificación y certificados de clave pública para verificar la relación entre el certificado y su propietario, así como generar la firma y gestionar la validez de los certificados. Si bien esto puede ser más beneficioso que verificar identidades a través de una red de confianza, las revelaciones de vigilancia masiva en 2013 llamaron la atención sobre las autoridades de certificación como un posible punto débil para los ataques de intermediarios . [18] [19] Una propiedad importante en este contexto es el secreto directo , que garantiza que las comunicaciones cifradas registradas en el pasado no se puedan recuperar ni descifrar y que las claves o contraseñas de cifrado a largo plazo no se vean comprometidas en el futuro. No todos los servidores web proporcionan confidencialidad directa . [20]

Un sitio web debe estar totalmente alojado en el protocolo HTTPS, sin tener parte de su contenido sobre HTTP -por ejemplo, tener scripts cargados en línea de forma insegura (en claro)- o el usuario será vulnerable a ciertos ataques y sujeto a vigilancia. . Tener incluso una determinada página web de un sitio que contiene información confidencial (como una página de inicio de sesión) bajo el protocolo HTTPS, pero tener el resto del sitio web cargado sobre el protocolo HTTP en texto claro, expondrá al usuario a posibles ataques. . En un sitio web que tiene información confidencial en alguna parte, siempre que se acceda al sitio en HTTP en lugar de HTTPS, el usuario y la sesión quedarán expuestos en la red. Del mismo modo, las cookies en un sitio web activo a través del protocolo HTTPS deben tener habilitado el atributo de seguridad. [12]

Aspectos técnicos

Diferencia de HTTP

Las URL del protocolo HTTPS comienzan con https: // y usan el puerto 443 de forma predeterminada , mientras que las URL HTTP comienzan con http: // y usan el puerto 80.

HTTP no está encriptado, por lo que es vulnerable a ataques de intercepción y de intermediarios: los atacantes pueden obtener acceso a cuentas de sitios web con información confidencial o modificar páginas web para inyectar malware o publicidad maliciosa. HTTPS está diseñado para resistir este tipo de ataques y se considera seguro contra ellos (con la excepción de las versiones más obsoletas y obsoletas del protocolo SSL ).

Niveles de red

HTTPS opera en el nivel más alto del modelo TCP/IP, la capa de aplicación; al igual que el protocolo de seguridad TLS (que funciona como una subcapa inferior del mismo nivel).

En la práctica, entre el protocolo TCP y HTTP se interpone un nivel de encriptación / autenticación (transparente para el usuario) como el Secure Sockets Layer (SSL) o el Transport Layer Security (TLS) que encripta el mensaje HTTP antes de la transmisión y lo desencripta. una vez que llega a su destino. Básicamente, se crea un canal de comunicación encriptado entre el cliente y el servidor a través de un intercambio de certificados ; una vez que se ha establecido este canal, el protocolo HTTP se utiliza internamente para la comunicación. Estrictamente hablando, HTTPS en realidad no se considera como un protocolo separado de HTTP, sino que se refiere precisamente al uso de este último a través de una conexión cifrada SSL/TLS. Este tipo de comunicación asegura que solo el cliente y el servidor puedan conocer el contenido de la comunicación.

Todo en el mensaje HTTPS está encriptado, incluidos los encabezados y la carga de solicitud/respuesta del mensaje. Con la excepción del posible ataque criptográfico CCA descrito en la sección " Límites " a continuación, el atacante solo puede saber que se ha producido una conexión entre las dos partes que se comunican y puede conocer sus nombres de dominio y direcciones IP.

Adquisición de certificados

Los certificados firmados con autoridad pueden ser gratuitos [21] [22] o costar entre $ 8 [23] y $ 70 [24] por año. (2012-2014). Las organizaciones también pueden adoptar sus propias autoridades de certificación, especialmente si son responsables de configurar los navegadores para acceder a sus sitios (por ejemplo, sitios en una intranet corporativa o de las principales universidades). Estas organizaciones pueden agregar fácilmente copias de la firma de su certificado a los certificados de confianza distribuidos con el navegador web. Además, existen autoridades de certificación peer-to-peer , como CACert . Sin embargo, este último no está incluido en los certificados de origen confiables de muchos navegadores web populares (por ejemplo , Firefox , Chrome , Internet Explorer ), que pueden mostrar mensajes de advertencia a los usuarios finales. Una autoridad de certificación, " Let's Encrypt " se lanzó a fines de 2015 [25] y proporciona certificados SSL / TLS automáticos gratuitos para sitios web. [26] Según Electronic Frontier Foundation , "Let's Encrypt" hará que el cambio de HTTP a HTTPS sea "tan fácil como ejecutar un comando o hacer clic en un botón". [27]

Utilizar como control de acceso

El sistema también se puede utilizar para la autenticación de clientes con el fin de restringir el acceso al servidor web solo a usuarios autorizados. Para ello, el administrador del sitio suele crear un certificado para cada usuario, que se carga en el navegador de los usuarios. Normalmente, contiene el nombre y la dirección de correo electrónico del usuario autorizado y el servidor lo verifica automáticamente en cada reconexión para verificar la identidad del usuario, posiblemente sin siquiera ingresar la contraseña.

En caso de clave privada secreta comprometida

Una propiedad importante en este contexto es el secreto directo perfecto (PFS). Tener una clave privada secreta asimétrica a largo plazo utilizada para establecer una sesión HTTPS no debería facilitar la obtención de la clave de sesión a corto plazo y luego descifrar la conversación, incluso en un momento posterior. El intercambio de claves Diffie-Hellman (DHE) y las curvas elípticas Diffie-Hellman (ECDHE) son desde 2013 los únicos esquemas que se sabe que tienen la propiedad de confidencialidad directa perfecta. Solo el 30 % de las sesiones de los navegadores Firefox, Opera y Chromium usan esta propiedad y casi el 0 % de las sesiones de los navegadores Safari y Microsoft Internet Explorer de Apple. [20] Entre los mayores proveedores de Internet, solo Google admite PFS desde 2011. Se puede revocar un certificado antes de que caduque, por ejemplo, porque la confidencialidad de la clave privada se ha visto comprometida. La mayoría de las versiones modernas de navegadores populares como Firefox, [28] Opera, [29] e Internet Explorer en Windows Vista [30] implementan el Protocolo de estado de certificado en línea (OCSP) y la autoridad responde, diciéndole al navegador si el certificado aún es válido. O no. [31]

Operación

HTTPS es un protocolo que integra la interacción del protocolo HTTP a través de un mecanismo de encriptación Transport Layer Security ( SSL/TLS ). Esta técnica aumenta el nivel de protección contra los ataques del hombre en el medio .

El puerto predeterminado para el protocolo HTTPS es el número 443 (mientras que para el protocolo HTTP es el número 80).

Para configurar un servidor web para aceptar conexiones HTTPS, el administrador de la red debe crear un certificado digital que es un documento electrónico que asocia la identidad de una persona con una clave pública . Estos certificados pueden ser creados por servidores basados ​​en UNIX con la ayuda de herramientas como OpenSSL ssl-ca o usando SuSE gensslcert (TinyCA2, CA.pl, secuencia de comandos Perl). Estos certificados deben ser emitidos por una autoridad certificadora o en todo caso por un sistema que verifique la validez de los mismos para definir la verdadera identidad del titular (se crean navegadores web para comprobar su validez a través de una lista preestablecida ).

En situaciones particulares (como en el caso de empresas con intranet privada ) es posible disponer de un certificado digital propio que se puede emitir a sus usuarios.

Por lo tanto, esta tecnología también se puede utilizar para permitir el acceso limitado a un servidor web . El administrador a menudo crea certificados para cada usuario que se cargan en sus navegadores que contienen información como su nombre y dirección de correo electrónico de tal manera que permiten que el servidor reconozca al usuario cuando este intenta volver a conectarse sin ingresar nombre de usuario y/o contraseña _

Para un mayor grado de protección de las conexiones HTTPS frente a ataques man-in-the-middle , y en particular frente a la técnica de “ SSL stripping ” , se recomienda utilizar HTTP Strict Transport Security , un mecanismo de seguridad adicional. que fuerza el uso de HTTPS. [12] [13]

Límites

El protocolo SSL/TLS está disponible con dos opciones, simple y mutuo. En la versión simple, solo el servidor se encarga de garantizar la seguridad de la comunicación. La versión mutua es más segura, pero requiere que el usuario instale un certificado de cliente personal dentro de su navegador para autenticarse. Independientemente de la estrategia que se utilice (simple o mutua), el nivel de protección depende en gran medida de la corrección de la implementación del navegador web, el software del servidor y los algoritmos criptográficos compatibles reales. SSL/TLS no evita que todo el sitio se indexe mediante un rastreador web y, en algunos casos, el URI del recurso cifrado se puede inferir conociendo solo el tamaño de la solicitud/respuesta interceptada. [32] Esto permite que un atacante tenga acceso a texto sin formato (el contenido estático de acceso público) y texto cifrado (la versión cifrada del contenido estático), lo que permite un ataque criptográfico.

Dado que TLS opera bajo el protocolo HTTP y no tiene conocimiento de protocolos de nivel superior, los servidores TLS pueden presentar estrictamente solo un certificado para una combinación particular de puerto y dirección IP. [33] Esto significa que, en la mayoría de los casos, no es posible utilizar alojamiento virtual basado en nombres con HTTPS. Existe una solución llamada Indicación de nombre de servidor (SNI) que envía el nombre de host al servidor antes de cifrar la conexión, aunque muchos navegadores antiguos no admiten esta extensión. La compatibilidad con SNI está disponible a partir de: Firefox 2, Opera 8, Safari 2.1, Google Chrome 6 e Internet Explorer 7 en Windows Vista. [34] [35] [36]

Desde un punto de vista arquitectónico:

  1. Una conexión SSL/TLS es manejada por la primera máquina visible que inicia la conexión TLS. Si por alguna razón (enrutamiento, optimización del tráfico, etc.) esta máquina no es el servidor de aplicaciones y necesita descifrar los datos, se deben encontrar soluciones para propagar la información de autenticación del usuario o el certificado del servidor de aplicaciones, quien debe saber quién es. va a conectar
  2. Para la versión de SSL/TLS con autenticación mutua, la sesión SSL/TLS es gestionada por el primer servidor que inicia la conexión. En situaciones en las que el cifrado debe propagarse a lo largo de una cadena de servidores, la administración del tiempo de espera de la sesión se vuelve complicada de implementar.
  3. Con la versión mutua de SSL / TLS, la seguridad es máxima, pero en el lado del cliente no hay forma de finalizar correctamente la conexión SSL / TLS y cerrar la sesión del usuario, excepto esperar a que la sesión del lado del servidor expire o todos los clientes conectados. aplicaciones

Un tipo sofisticado de ataque man-in-the-middle llamado SSL stripping fue presentado en la conferencia Blackhat en 2009. Este tipo de ataque anula la seguridad proporcionada por el protocolo HTTPS al cambiar el enlace https: a un enlace http: aprovechando del hecho de que algunos usuarios de Internet en realidad escriben "https" desde la interfaz de su navegador: acceden a un sitio seguro al hacer clic en un enlace y, por lo tanto, se les engaña haciéndoles creer que están usando HTTPS cuando en realidad están usando HTTP. El atacante luego se comunica claramente con el cliente. Esto impulsó el desarrollo de una contramedida HTTP llamada HTTP Strict Transport Security (HSTS).

En mayo de 2010, un artículo escrito por investigadores de Microsoft Research y la Universidad de Indiana reveló que los datos confidenciales detallados del usuario se pueden deducir de los canales secundarios/marginales, como el tamaño del paquete. Más específicamente, los investigadores encontraron que un espía puede inferir las enfermedades/medicamentos/cirugías del usuario, sus ingresos familiares y sus secretos de inversión, a pesar de la protección HTTPS presente en las diversas aplicaciones web de alto perfil y mejores en los campos de la salud, impuestos , inversiones e investigación web.

En junio de 2014, un equipo de investigadores de la Universidad de California, Berkeley e Intel dirigido por Brad Miller demostró un enfoque generalizado para el análisis de tráfico HTTPS basado en el aprendizaje automático . [37] [38] Los investigadores demostraron que el ataque se aplicó a una variedad de sitios web, incluidos Mayo Clinic , Planned Parenthood y YouTube . [39] El ataque asume que el atacante puede visitar las mismas páginas web que la víctima para recopilar información sobre el tráfico de la red que sirve como entrenamiento de datos. Posteriormente, el atacante puede identificar similitudes en los tamaños y tipos de paquetes entre el tráfico de la víctima y el tráfico de entrenamiento de datos, lo que le permite inferir con frecuencia la página web exacta que está visitando la víctima. Por ejemplo, este ataque podría usarse para determinar si un usuario que visita el sitio web de Planned Parenthood está buscando información sobre un examen de salud preventivo o un aborto. Tenga en cuenta que el ataque no se puede utilizar para descubrir valores específicos del usuario incrustados en una página web. Por ejemplo, muchos bancos ofrecen interfaces web que permiten a los usuarios ver el saldo de su cuenta actual. Si bien el atacante podría descubrir que el usuario está viendo una página de vista de saldo de cuenta actual, no podría saber el valor exacto del saldo de cuenta actual o el número de cuenta de los usuarios.

Implicaciones SEO

El 8 de agosto de 2014, Google anuncia que los sitios alojados bajo el protocolo HTTPS se considerarán más fiables a los ojos del motor de búsqueda. El protocolo HTTPS se anuncia oficialmente como un factor de clasificación.

Notas

  1. ^ Grupo de trabajo de red, HTTP sobre TLS , en tools.ietf.org , The Internet Engineering Task Force, mayo de 2000. Consultado el 27 de febrero de 2015 ( archivado el 31 de octubre de 2018) .
  2. ^ a b HTTPS como señal de clasificación , en Google Webmaster Central Blog , Google Inc., 6 de agosto de 2014. Consultado el 27 de febrero de 2015 (archivado desde el original el 8 de marzo de 2016) .
    "Puede hacer que su sitio sea seguro con HTTPS (Protocolo de transferencia de hipertexto seguro) [...]"
  3. ^ Habilitación de HTTP sobre SSL , en docs.adobe.com , Adobe Systems Incorporated. Consultado el 27 de febrero de 2015 ( archivado el 8 de marzo de 2015) .
  4. ^ Asegure su sitio con HTTPS , en Soporte de Google, Google, Inc. Consultado el 27 de febrero de 2015 ( archivado el 15 de diciembre de 2017) .
  5. ^ ¿Qué es HTTPS? , en instantssl.com , Comodo CA Limited . Consultado el 27 de febrero de 2015 (archivado desde el original el 12 de febrero de 2015) .
    "Protocolo de transferencia de hipertexto seguro (HTTPS) es la versión segura de HTTP [...]"
  6. ^ a b c Preguntas frecuentes sobre HTTPS Everywhere , en eff.org . Consultado el 3 de mayo de 2012 ( archivado el 20 de abril de 2018) .
  7. ^ Hotel Wifi JavaScript Injection , en justinsomnia.org . Consultado el 24 de julio de 2012 ( archivado el 24 de julio de 2012) .
  8. ^ The Tor Project, Inc., Tor , en torproject.org . Consultado el 12 de mayo de 2016 ( archivado el 17 de julio de 2013) .
  9. ^ Konigsburg, Eitan, Pant, Rajiv y Kvochko, Elena, Embracing HTTPS , en open.blogs.nytimes.com , The New York Times, 13 de noviembre de 2014. Consultado el 27 de febrero de 2015 (archivado desde el original el 22 de abril de 2018) .
  10. ^ Gallagher, Kevin, Quince meses después de las revelaciones de la NSA, ¿por qué más organizaciones de noticias no usan HTTPS? , en freedom.press , Freedom of the Press Foundation, 12 de septiembre de 2014. Consultado el 27 de febrero de 2015 (archivado desde el original el 2 de diciembre de 2016) .
  11. ^ Grigorik, Ilya e Far, Pierre, Google I/O 2014 - HTTPS Everywhere , en youtube.com , Google Developers, 26 de junio de 2014. Consultado el 27 de febrero de 2015 ( archivado el 15 de marzo de 2018) .
  12. ^ a b c d Cómo implementar HTTPS correctamente , en eff.org . Consultado el 13 de junio de 2012 ( archivado el 14 de marzo de 2018) .
  13. ^ a b HTTP Strict Transport Security , en Mozilla Developer Network . Consultado el 14 de octubre de 2015 (archivado desde el original el 15 de mayo de 2012) .
  14. ^ SSL Pulse , en trustworthyinternet.org , Trustworthy Internet Movement, 3 de octubre de 2015. Consultado el 7 de mayo de 2017 (archivado desde el original el 15 de mayo de 2017) .
  15. ^ Estadísticas de Internet en italiano centroli.it , en centroli.it . Consultado el 7 de mayo de 2017 (archivado desde el original el 16 de febrero de 2017) .
  16. ^ Notas de la versión de Firefox 14.0.1 , en mozilla.org . Consultado el 24 de julio de 2012 ( archivado el 22 de julio de 2012) .
  17. ^ Firefox implementa la búsqueda HTTPS en Google , en blog.mozilla.org . Consultado el 24 de julio de 2012 ( archivado el 20 de julio de 2012) .
  18. ^ Law Enforcement Appliance Subverts SSL . Archivado el 15 de marzo de 2014 en Internet Archive ., Wired, 2010-04-03.
  19. ^ Una nueva investigación sugiere que los gobiernos pueden falsificar certificados SSL Archivado el 4 de enero de 2016 en Internet Archive ., EFF, 2010-03-24.
  20. ^ a b SSL: interceptado hoy, descifrado mañana. Archivado el 21 de septiembre de 2013 en Internet Archive , Netcraft, 2013-06-25.
  21. ^ Certificados SSL gratuitos de una autoridad de certificación gratuita , en sslshopper.com . Consultado el 24 de octubre de 2009 ( archivado el 9 de febrero de 2010) .
  22. ^ Justin Fielding, Secure Outlook Web Access with (free) SSL: Part 1 , en techrepublic.com , TechRepublic , 16 de julio de 2006. Consultado el 24 de octubre de 2009 ( archivado el 24 de marzo de 2011) .
  23. ^ Servicios SSL de Namecheap.com , en namecheap.com , namecheap. Consultado el 30 de enero de 2012 ( archivado el 4 de febrero de 2012) .
  24. ^ Secure Site Pro con certificado SSL , en ssl.comodo.com . Consultado el 23 de agosto de 2014 ( archivado el 26 de agosto de 2014) .
  25. ^ Horario de lanzamiento , en Let's Encrypt . Consultado el 21 de septiembre de 2015 ( archivado el 27 de septiembre de 2015) .
  26. ^ Kerner, Sean Michael, Let's Encrypt Effort tiene como objetivo mejorar la seguridad de Internet , eWeek.com , Quinstreet Enterprise, 18 de noviembre de 2014. Consultado el 27 de febrero de 2015 .
  27. ^ Eckersley, Peter, Launching in 2015: A Certificate Authority to Encrypt the Entire Web , eff.org , Electronic Frontier Foundation , 18 de noviembre de 2014. Consultado el 27 de febrero de 2015 ( archivado el 10 de mayo de 2018) .
  28. ^ Política de privacidad de Mozilla Firefox , en mozilla.com , Fundación Mozilla , 27 de abril de 2009. Consultado el 13 de mayo de 2009 (archivado desde el original el 26 de mayo de 2009) .
  29. ^ Opera 8 lanzado en FTP , Softpedia , 19 de abril de 2005. Consultado el 13 de mayo de 2009 (archivado desde el original el 12 de julio de 2009) .
  30. ^ Eric Lawrence, Mejoras de seguridad de HTTPS en Internet Explorer 7 , de msdn.microsoft.com , MSDN , 31 de enero de 2006. Consultado el 13 de mayo de 2009 ( archivado el 1 de octubre de 2017) .
  31. ^ Myers, M, Ankney, R, Malpani, A, Galperin, S y Adams, C, Protocolo de estado de certificado en línea - OCSP , en tools.ietf.org , Grupo de trabajo de ingeniería de Internet , junio de 1999. Consultado el 13 de mayo de 2009 ( archivado 25 de noviembre de 2017) .
  32. ^ Stanislaw Pusep, The Pirate Bay un-SSL , en sysd.org , 31 de julio de 2008. Consultado el 6 de marzo de 2009 (archivado desde el original el 8 de marzo de 2009) .
  33. ^ Cifrado fuerte SSL/TLS: Preguntas frecuentes , en apache.org . Consultado el 1 de mayo de 2019 ( archivado el 19 de octubre de 2018) .
  34. ^ Eric Lawrence, Próximas mejoras de HTTPS en Internet Explorer 7 Beta 2 , en blogs.msdn.com , Microsoft , 22 de octubre de 2005. Consultado el 12 de mayo de 2009 ( archivado el 26 de enero de 2010) .
  35. ^ Indicación de nombre de servidor (SNI) , en el interior de la cabeza de aebrahim . Consultado el 13 de mayo de 2016 (Archivado desde el original el 30 de junio de 2017) .
  36. ^ Julien Pierre, Compatibilidad del navegador para la indicación del nombre del servidor TLS , Bugzilla , Mozilla Foundation, 19 de diciembre de 2001. Consultado el 15 de diciembre de 2010 (archivado desde el original el 8 de octubre de 2018) .
  37. ^ Los trucos estadísticos extraen datos confidenciales de las comunicaciones cifradas , en technologyreview.com , MIT Technology Review, 19 de junio de 2014.
  38. ^ Researchers Use Big Data to Get Around Encryption , blogs.wsj.com , The Wall Street Journal, 23 de junio de 2014. Consultado el 13 de mayo de 2016 ( archivado el 18 de marzo de 2016) .
  39. ^ Brad Miller, Ling Huang, Anthony D. Joseph, JD Tygar, Sé por qué fuiste a la clínica: riesgos y realización del análisis de tráfico HTTPS ( PDF ), en bradmiller.io . Consultado el 13 de mayo de 2016 ( archivado el 31 de mayo de 2016) .

Artículos relacionados

Otros proyectos

Enlaces externos

Documentos oficiales

Extensiones del navegador