Professional Documents
Culture Documents
PROFESORA:
DELIA CAMACHO
ALUMNOS:
FELIPE SEBASTIN BENTEZ
JUAN BENTEZ
MICAELA BAEZ
DARIO CANDIA
NDICE
INTRODUCCIN 3
PROTOCOLOS 4
HTTP 5
LOS PROBLEMAS DE HTTP.. 5
SSL/TLS 7
HTTPS 9
FUNCIONAMIENTO SSL/TLS EN HTTPS 10
SSL/TLS CON HTTPS... 12
PROTECCIN CON HTTPS........................................................... 15
ERRORES COMUNES AL UTILIZAR EL PROTOCOLO HTTPS/TLS
16
GLOSARIO 17
CONCLUSIN.
19
WEBGRAFIA
20
BIBLIOGRAFA
20
ANEXO..
21
INTRODUCCIN
En los ltimos tiempos se ha dado que la utilizacin de la web ha pasado de ser una
novedad a convertirse en algo habitual en nuestro da a da, tal es as que encuestas
realizadas por la Unin Internacional de telecomunicaciones en el 2013 muestra que en las
amricas el 61% de la poblacin utiliza Internet, llegando ste porcentaje al 75% de la
poblacin en Europa.
Pero antes de ser as esta tecnologa tuvo que solucionar varios inconvenientes que se
presentaban en principio, como la accesibilidad, la compatibilidad, la seguridad, entre
otros. En ste aspecto en el presente trabajo se hablar sobre la seguridad, y siendo ms
especficos sobre protocolos web seguros.
Lo que abarca el presente tema se refiere a la seguridad de la conexin cliente/servidor,
uno de los factores a tener en cuenta ya que es en sta instancia de la web en donde el
usuario enva datos como datos de Tarjetas de crdito, nmero de documento de identidad
entre muchos otros.
Se espera que se pueda dar a entender de forma conceptual el funcionamiento de algunos
de los protocolos que utilizamos a diario y principalmente el grado de seguridad que stos
presentan.
PROTOCOLOS
HTTP
HTTP (HyperText Transfer Protocol) es un protocolo de transferencia de hipertexto que se
utiliza en la Web. Desarrollado por las instituciones internacionales W3C y IETF y se usa
4
SSL/TLS
SSL Definicin, Secure Sockets Layer (capa de puertos seguros) es un protocolo diseado
para permitir que las aplicaciones para transmitir informacin de ida y de manera segura
6
hacia atrs. Las aplicaciones que utilizan el protocolo Secure Sockets Layer s saben cmo
dar y recibir claves de cifrado con otras aplicaciones, as como la manera de cifrar y
descifrar los datos enviados entre los dos.
Con estos mecanismos SSL hace frente a los tres problemas inherentes de la comunicacin
en la web:
SSL Record Protocol. Est ubicada sobre algn protocolo de transporte confiable
(como por ejemplo TCP) y es usado para encapsular varios tipos de protocolos de
mayor nivel.
SSL Handshake Protocol. Es uno de los posibles protocolos que pueden
encapsularse sobre la capa anterior y permite al cliente y al servidor autenticarse
mutuamente, negociar un algoritmo de cifrado e intercambiar llaves de acceso.
Una de las ventajas del SSL es que es independiente del protocolo de aplicacin, ya que es
posible ubicarlo por encima del mismo en forma transparente.
Para intentar corregir las deficiencias observadas en SSL v3 se busc un nuevo protocolo
que permitiera transacciones seguras por Internet, sobre todo teniendo en cuenta que SSL
es propiedad de la empresa Nestcape. El resultado de esta bsqueda fu el protocolo TLS,
que permite una compatibilidad total con SSL siendo un protocolo pblico, estandarizado
por el IETF(Internet Engineering task forc/Grupo de trabajo de ingeniera de Internet).
Permitiendo al usuario confiar informacin personal a sitios web, ya que tus datos se
ocultan a travs de mtodos criptogrficos mientras navegas en sitios seguros.
7
HTTPS
Hypertext Transfer Protocol Secure ( HTTPS) es una combinacin del protocolo HTTP y
protocolos criptogrficos. Se emplea para lograr conexiones ms seguras en la WWW,
8
FUNCIONAMIENTO DE HTTPS
Para cifrar datos se necesita una clave. Esa clave tendr que saberla tanto el navegador
como el servidor para poder comunicarse. El primer problema aparece rpidamente: cmo
compartimos una clave de forma segura (sin que nadie ms pueda saberla)? Est claro que
la clave tiene que ser nica para cada conexin, por lo que no puede venir preconfigurada
en los ordenadores.
Aqu entra en juego una de las maravillas de la criptografa moderna: un sistema de clave
pblica/clave privada, cifrado asimtrico.
Las claves pblica y privada son un par de nmeros relacionados de una forma especial, de
tal forma que un mensaje cifrado con una clave slo puede ser cifrado con su par
correspondiente. Por ejemplo, si quiero enviar un mensaje a un servidor, lo cifro con su
clave pblica para que slo se pueda descifrar con su clave privada.
Y precisamente este es el primer paso esencial de una conexin HTTPS. Despus de haber
acordado detalles tcnicos entre navegador y servidor (versin del protocolo, algoritmos de
cifrado asimtrico y simtrico que se usarn...), el navegador cifra una preclave generada
en el momento con la clave pblica del servidor al que nos queremos conectar. Eso se
enva al servidor, que descifra la preclave con su clave privada.
Tanto el servidor como el navegador aplicarn un cierto algoritmo a la preclave y
obtendrn la misma clave de cifrado. De esta forma hemos superado el primer (y mayor)
problema que tenamos: intercambiar la clave. A partir de entonces, simplemente se cifran
y descifran los datos con esa clave.
Como nadie ms sabe esa clave, nuestras comunicaciones sern seguras y nadie podr
verlas (siempre y cuando el algoritmo de cifrado simtrico sea seguro, claro).
Alguno se preguntar por qu intercambiar una clave y no cifrar directamente los datos
usando cifrado asimtrico. La principal razn es que el cifrado simtrico es muchsimo ms
rpido que el asimtrico, e intercambiar la clave no resulta un problema que haya que
sortear.
El envo de datos mediante ste protocolo est protegido mediante las tres capas clave de
seguridad que ofrece TLS:
1. Cifrado: se cifran los datos intercambiados para mantenerlos a salvo de miradas
indiscretas. Ello significa que cuando un usuario est navegando por un sitio web,
10
SSL/TLS EN HTTPS
Una conexin SSL siempre es iniciada por el cliente. Al principio de una sesin SSL, se
realiza un protocolo de enlace SSL. Este protocolo de enlace produce los parmetros
criptogrficos de la sesin. Una visin general simplificada de cmo se procesa el
11
protocolo de enlace SSL se muestra en este ejemplo se supone que se est estableciendo la
conexin SSL entre un navegador web y un servidor web:
12
1. El cliente enva el mensaje "hello" que lista las posibilidades criptogrficas del
cliente (clasificadas por orden de preferencia del cliente), como la versin de SSL,
los grupos de programas de cifrado soportados por el cliente y los mtodos de
compresin de datos soportados por el cliente. El mensaje tambin contiene un
nmero aleatorio de 28 bytes.
2. El servidor responde con el mensaje "hello" del servidor que contiene el mtodo
criptogrfico (conjunto de programas de cifrado) y el mtodo de compresin de
datos seleccionados por el servidor, el ID de sesin y otro nmero aleatorio.
El cliente y el servidor deben dar soporte como mnimo a un conjunto de cifrado
comn; de lo contrario, el protocolo de enlace dar error. Generalmente, el servidor
elige el conjunto de programas de cifrado comn ms potente.
3. El servidor enva su certificado digital. (El servidor utiliza certificados digitales
X.509 V3 con SSL.)
Si el servidor utiliza SSL V3 y si la aplicacin de servidor (por ejemplo, el servidor
web) requiere un certificado digital para la autenticacin de cliente, el servidor
enva el mensaje "digital certificate request". En el mensaje "digital certificate
request", el servidor enva una lista de los tipos de certificados digitales soportados
y los nombres distinguidos de autoridades de certificacin aceptables.
4. El servidor enva el mensaje "hello done" de servidor y aguarda una respuesta del
cliente.
5. Al recibir el mensaje "hello done" del servidor, el cliente (el navegador web)
verifica la validez del certificado digital del servidor y comprueba que los
parmetros del mensaje "hello" del servidor son aceptables.
Si el servidor ha solicitado un certificado digital del cliente, el cliente enva un
certificado digital o, si no hay ningn certificado digital adecuado disponible, el
cliente enva la alerta "no digital certificate". Esta alerta slo es un aviso, pero la
aplicacin de servidor puede hacer que la sesin sea anmala si la autenticacin del
cliente es obligatoria.
6.
El cliente enva el mensaje "client key exchange". Este mensaje contiene el secreto
pre-maestro, un nmero aleatorio de 46 bytes utilizado en la generacin de las
claves de cifrado simtrico y las claves de cdigo de autenticacin de
mensajes (MAC), cifradas con la clave pblica del servidor.
Si el cliente ha enviado un certificado digital al servidor, el cliente enva un
mensaje "digital certificate verify" firmado con la clave privada del cliente. Al
verificar la firma de este mensaje, el servidor puede verificar explcitamente la
propiedad del certificado digital del cliente.
13
Nota:
No es necesario un proceso adicional para verificar el certificado digital del
servidor. Si el servidor no tiene la clave privada que pertenece al certificado digital,
no podr descifrar el secreto pre-maestro y crear las claves correctas para el
algoritmo de cifrado simtrico y el protocolo de enlace dar error.
7.
14
15
tus pginas siempre que sea posible. Evita el uso de la metaetiqueta noindex.
Versiones del protocolo anterior: Las versiones de OpenSSL anteriores son
vulnerables; comprueba que tengas las versiones ms recientes y nuevas de las
bibliotecas TLS.
Elementos de seguridad mezclados: Inserta nicamente contenido HTTPS en las
pginas HTTPS.
Contenido diferente en HTTP y HTTPS: Comprueba que el contenido de tus
16
GLOSARIO
1. W3C: World Wide Web Consortium (W3C), es un consorcio internacional que
genera recomendaciones y estndares que aseguran el crecimiento de la World
Wide Web a largo plazo.
2. IETF: Internet Engineering Task Force (IETF) (en espaol Grupo de Trabajo de
Ingeniera de Internet1 ) es una organizacin internacional abierta de
normalizacin, que tiene como objetivos el contribuir a la ingeniera de Internet,
actuando en diversas reas, como transporte, encaminamiento, seguridad.
3. URL: Un localizador de recursos uniforme LRU (ms conocido por la sigla URL,
del ingls Uniform Resource Locator)es una cadena de caracteres con la cual se
asigna una direccin nica a cada uno de los recursos de informacin disponibles
en Internet. Existe un URL nico para cada pgina de cada uno de los documentos
de la WWW.
4. COOKIES: es una pequea informacin enviada por un sitio web y almacenada en
el navegador del usuario, de manera que el sitio web puede consultar la actividad
previa del usuario.
5. RSA: En criptografa, RSA (Rivest, Shamir y Adleman) es un sistema criptogrfico
de clave pblica desarrollado en 1977. Es el primer y ms utilizado algoritmo de
este tipo y es vlido tanto para cifrar como para firmar digitalmente.
6. MD5: En criptografa, MD5 (abreviatura de Message-Digest Algorithm 5,
Algoritmo de Resumen del Mensaje 5) es un algoritmo de reduccin criptogrfico
de 128 bits ampliamente usado. uno de sus usos es el de comprobar que algn
archivo no haya sido modificado.
7. SHA: El SHA (Secure Hash Algorithm, Algoritmo de Hash Seguro)es una familia
de funciones hash de cifrado publicadas por el Instituto Nacional de Estndares y
Tecnologa (NIST).
8. TCP: Transmission Control Protocol (TCP) o Protocolo de Control de
Transmisin, es uno de los protocolos fundamentales en Internet.
9. X.509: En criptografa es un estndar para infraestructuras de claves
pblicas (en ingls, Public Key Infrastructure o PKI) que especifica, entre otras
cosas, formatos estndar para certificados de claves pblicas y un algoritmo de
validacin de la ruta de certificacin.
10. SNI: Server Name Indication (SNI, en espaol: Indicacin de nombre de servidor)
es una extensin del protocolo TLS. Este indica qu nombre de host el cliente est
intentando conectar antes de que el proceso de handshaking se complete. Esta
17
Conclusin
En conclusin podemos decir que a medida que creci la utilizacin de la web, con el
protocolo HTTP, tambin creci el riesgo hacia los datos que por ella circulan, y se empez
a notar las fallas que ste protocolo tena en cuanto a lo que refiere a seguridad.
18
WEBGRAFA
http://es.slideshare.net/JosefaYareni/protocolos-informaticos
https://www.digicert.com/es/ssl.htm
http://todoemailmarketing.com/tls-vs-ssl-cual-es-la-diferencia/
19
http://www.zator.com/Internet/A3_7.htm
http://www.definicionabc.com/tecnologia/http.php
http://penta2.ufrgs.br/gereseg/unlp/tut1998/ssl.htm
http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls
http://www.alegsa.com.ar/Dic/https.php
http://www.genbeta.com/web/https-asi-funciona
http://todotecnology.blogspot.com/2010/01/protocolos-de-seguridad-web.html
https://es.wikipedia.org/wiki/World_Wide_Web_Consortium
https://support.microsoft.com/es-py/kb/246071
http://www.ehowenespanol.com/diferencia-criptografia-simetrica-asimetrica-
info_195801/
https://itunews.itu.int/es/3781-Lo-mas-destacado-de-El-mundo-en-2013-datos-ycifras-relativos-a-las-TIC.note.aspx
BIBLIOGRAFA
ANEXO
20
21
22