HTTPS
O protocolo HTTPS é unha evolución segura do protocolo HTTP, e hoxe en día é esencial para garantir a confidencialidade e integridade das comunicacións na web.
HTTPS significa HTTP Secure (ou tamén se coñece como HTTP over SSL/TLS). É simplemente o protocolo HTTP, pero funcionando sobre unha capa de cifrado segura, usando TLS (Transport Layer Security).
Aquí res resumidas as diferenzas entre HTTP e HTTPS:
| Característica | HTTP | HTTPS |
|---|---|---|
| Cifrado dos datos | Non | Si (TLS/SSL) |
| Confidencialidade | Non | Os datos viaxan cifrados |
| Integridade | Non garante | Detecta modificacións na mensaxe |
| Autenticación do servidor | Non | Certificado dixital verificado |
| Porto por defecto | 80 | 443 |
Como funciona o protocolo HTTPS
O proceso de conexión HTTPS inclúe unha etapa chamada TLS Handshake que ocorre antes da comunicación HTTPS. Durante o proceso de TLS Handshake a información viaxa sen cifrar. Esta información inclúe nomes de dominio, direccións IP e certificado do servidor.
- O cliente solicita conexión segura. Cando visitas
https://exemplo.com, o navegador inicia unha conexión ao porto 443. - O servidor envía o seu certificado dixital. Este certificado contén:
- O nome do dominio.
- A clave pública do servidor.
- A sinatura dunha autoridade de certificación (CA).
- O navegador valida o certificado. Verifica:
- Que o certificado sexa válido e non caducado.
- Que estea asinado por unha CA de confianza. Estas deben estar incluídas no almacén de CA do navegador.
- Que coincida co dominio que estás a visitar.
- Establécese unha clave secreta compartida. A través dun intercambio seguro (por exemplo, usando criptografía de chave pública), cliente e servidor xeran unha clave simétrica para cifrar os datos.
- Comeza a comunicación cifrada. Agora si, toda a comunicación HTTP (peticións e respostas) vai cifrada por TLS.