El Protocolo de Transferencia de Hipertexto Seguro ( HTTPS ) es una extensión del Protocolo de Transferencia de Hipertexto (HTTP). Utiliza cifrado para la comunicación segura a través de una red informática y se usa ampliamente en Internet . [ 1 ] [ 2 ] En HTTPS, el protocolo de comunicación se cifra mediante Seguridad de la Capa de Transporte (TLS) o, anteriormente, Capa de Sockets Seguros (SSL). Por lo tanto , el protocolo también se conoce como HTTP sobre TLS [ 3 ] o HTTP sobre SSL .
Las principales motivaciones para HTTPS son la autenticación del sitio web al que se accede y la protección de la privacidad e integridad de los datos intercambiados durante su transmisión. Protege contra ataques de intermediario (man-in-the-middle) , y el cifrado de bloques bidireccional de las comunicaciones entre un cliente y un servidor protege las comunicaciones contra la interceptación y la manipulación . [ 4 ] [ 5 ] El aspecto de autenticación de HTTPS requiere que un tercero de confianza firme certificados digitales del lado del servidor . Históricamente, esta era una operación costosa, lo que significaba que las conexiones HTTPS totalmente autenticadas generalmente solo se encontraban en servicios de transacciones de pago seguros y otros sistemas de información corporativos seguros en la World Wide Web . En 2016, una campaña de la Electronic Frontier Foundation con el apoyo de los desarrolladores de navegadores web llevó a que el protocolo se volviera más común. [ 6 ] Desde 2018, HTTPS [ 7 ] ha sido utilizado con más frecuencia por los usuarios de la web que el HTTP no seguro, principalmente para proteger la autenticidad de las páginas en todo tipo de sitios web, asegurar las cuentas y mantener privadas las comunicaciones, la identidad y la navegación web de los usuarios.
Descripción general

El esquema de identificador uniforme de recursos (URI) HTTPS tiene una sintaxis de uso idéntica a la del esquema HTTP. Sin embargo, HTTPS indica al navegador que utilice una capa de cifrado adicional SSL/TLS para proteger el tráfico. SSL/TLS es especialmente adecuado para HTTP, ya que puede proporcionar cierta protección incluso si solo se autentica un extremo de la comunicación . Este es el caso de las transacciones HTTP a través de Internet, donde normalmente solo se autentica el servidor (mediante el análisis del certificado del servidor por parte del cliente ).
HTTPS crea un canal seguro sobre una red insegura. Esto garantiza una protección razonable contra intrusos y ataques de intermediario , siempre que se utilicen conjuntos de cifrado adecuados y que el certificado del servidor esté verificado y sea de confianza.
Debido a que HTTPS se basa completamente en HTTP sobre TLS, todo el protocolo HTTP subyacente puede cifrarse. Esto incluye la URL de la solicitud , los parámetros de consulta, las cabeceras y las cookies (que a menudo contienen información de identificación del usuario). Sin embargo, dado que las direcciones web y los números de puerto son necesariamente parte de los protocolos TCP/IP subyacentes , HTTPS no puede proteger su divulgación. En la práctica, esto significa que incluso en un servidor web correctamente configurado, los intrusos pueden inferir la dirección IP y el número de puerto del servidor web, e incluso a veces el nombre de dominio (por ejemplo, www.example.org, pero no el resto de la URL) con el que se comunica un usuario, junto con la cantidad de datos transferidos y la duración de la comunicación, aunque no el contenido de la misma. [ 4 ]
Los navegadores web saben cómo confiar en los sitios web HTTPS basándose en las autoridades de certificación que vienen preinstaladas en su software. De esta manera, los creadores de navegadores web confían en que las autoridades de certificación proporcionen certificados válidos. Por lo tanto, un usuario debería confiar en una conexión HTTPS a un sitio web cuando se cumplan todas las siguientes condiciones:
- El usuario confía en que su dispositivo, que aloja el navegador y el método para obtener el navegador en sí, no está comprometido (es decir, no hay ningún ataque a la cadena de suministro ).
- El usuario confía en que el software del navegador implemente correctamente HTTPS con las autoridades de certificación preinstaladas correctamente.
- El usuario confía en que la autoridad certificadora solo avale sitios web legítimos (es decir, que la autoridad certificadora no esté comprometida y que no haya emisión indebida de certificados).
- El sitio web proporciona un certificado válido, lo que significa que ha sido firmado por una autoridad de confianza.
- El certificado identifica correctamente el sitio web (por ejemplo, cuando el navegador visita " https://example.com ", el certificado recibido corresponde correctamente a "example.com" y no a otra entidad).
- El usuario confía en que la capa de cifrado del protocolo (SSL/TLS) sea suficientemente segura contra intrusos.
HTTPS es especialmente importante en redes inseguras y redes susceptibles de manipulación. Las redes inseguras, como los puntos de acceso Wi-Fi públicos, permiten que cualquier persona en la misma red local intercepte paquetes y descubra información confidencial no protegida por HTTPS. Además, se ha observado que algunas redes WLAN , tanto gratuitas como de pago, manipulan páginas web mediante la inyección de paquetes para mostrar sus propios anuncios en otros sitios web. Esta práctica puede ser explotada con fines maliciosos de diversas maneras, como inyectando malware en páginas web y robando información privada de los usuarios. [ 8 ]
HTTPS también es importante para las conexiones a través de la red Tor , ya que los nodos Tor maliciosos podrían dañar o alterar el contenido que pasa a través de ellos de forma insegura e inyectar malware en la conexión. Esta es una de las razones por las que la Electronic Frontier Foundation y el Tor Project iniciaron el desarrollo de HTTPS Everywhere , [ 4 ] que está incluido en Tor Browser. [ 9 ]
A medida que se revela más información sobre la vigilancia masiva global y los delincuentes que roban información personal, el uso de la seguridad HTTPS en todos los sitios web se vuelve cada vez más importante, independientemente del tipo de conexión a Internet que se utilice. [ 10 ] [ 11 ] Aunque los metadatos sobre las páginas individuales que visita un usuario pueden no considerarse sensibles, cuando se agregan pueden revelar mucho sobre el usuario y comprometer su privacidad. [ 12 ] [ 13 ] [ 14 ]
La implementación de HTTPS también permite el uso de HTTP/2 y HTTP/3 (y sus predecesores SPDY y QUIC ), que son nuevas versiones de HTTP diseñadas para reducir los tiempos de carga de las páginas, el tamaño y la latencia.
Se recomienda utilizar HTTP Strict Transport Security (HSTS) con HTTPS para proteger a los usuarios de ataques de intermediario, especialmente de eliminación de SSL . [ 14 ] [ 15 ]
HTTPS no debe confundirse con el protocolo HTTPS (S-HTTP), de uso poco frecuente, especificado en la RFC 2660.
Uso en sitios web
A partir de abril de 2018 El 33,2 % de los 1.000.000 de sitios web más visitados según Alexa utilizan HTTPS por defecto [ 16 ] y el 70 % de las cargas de página (medidas por Firefox Telemetry) utilizan HTTPS [ 17 ] . A junio de 2025. El 71,2% de los 150.000 sitios web más populares de Internet tienen una implementación segura de HTTPS (frente al 58,4% en diciembre de 2022), [ 18 ] Sin embargo, a pesar del lanzamiento de TLS 1.3 en 2018, la adopción ha sido lenta, y muchos siguen utilizando el protocolo TLS 1.2 anterior. [ 19 ]
Integración con el navegador
La mayoría de los navegadores muestran una advertencia si reciben un certificado no válido. Los navegadores antiguos, al conectarse a un sitio con un certificado no válido, mostraban un cuadro de diálogo preguntando al usuario si deseaba continuar. Los navegadores más recientes muestran una advertencia en toda la ventana. Además, muestran de forma destacada la información de seguridad del sitio en la barra de direcciones . Los certificados de validación extendida muestran la entidad legal en la información del certificado. La mayoría de los navegadores también muestran una advertencia al usuario cuando visita un sitio que contiene una mezcla de contenido cifrado y no cifrado. Asimismo, muchos filtros web devuelven una advertencia de seguridad al visitar sitios web prohibidos.
Muchos navegadores web, incluido Firefox (que se muestra aquí), utilizan la barra de direcciones para indicar al usuario que su conexión es segura; un certificado de validación extendida debe identificar a la entidad legal que emite el certificado.
Al acceder a un sitio web que solo utiliza un certificado común, en la barra de direcciones de Firefox y otros navegadores aparece un icono de candado.
La mayoría de los navegadores web alertan al usuario cuando visita sitios que tienen certificados de seguridad no válidos.
La Electronic Frontier Foundation , opinando que "en un mundo ideal, todas las solicitudes web podrían usar HTTPS por defecto", ha proporcionado un complemento llamado HTTPS Everywhere para Mozilla Firefox , Google Chrome , Chromium y Android , que habilita HTTPS por defecto para cientos de sitios web de uso frecuente. [ 20 ] [ 21 ]
Forzar a un navegador web a cargar solo contenido HTTPS ha sido compatible en Firefox desde la versión 83. [ 22 ] Desde la versión 94, Google Chrome puede "usar siempre conexiones seguras" si se activa en la configuración del navegador. [ 23 ] [ 24 ] Antes de la versión 117, Google Chrome mostraba un icono de candado en la barra de direcciones , que desde entonces ha sido reemplazado por un icono de "tono". [ 25 ] Muchos usuarios creen que un icono de candado implica que un sitio web es seguro, ignorando otras preocupaciones de seguridad. [ 26 ]
Seguridad
La seguridad de HTTPS reside en el TLS subyacente, que normalmente utiliza claves públicas y privadas de larga duración para generar una clave de sesión de corta duración , la cual se utiliza para cifrar el flujo de datos entre el cliente y el servidor. Los certificados X.509 se utilizan para autenticar el servidor (y a veces también al cliente). En consecuencia, las autoridades de certificación y los certificados de clave pública son necesarios para verificar la relación entre el certificado y su propietario, así como para generar, firmar y administrar la validez de los certificados. Si bien esto puede ser más beneficioso que verificar las identidades a través de una red de confianza , las revelaciones de vigilancia masiva de 2013 pusieron de manifiesto que las autoridades de certificación constituyen un posible punto débil que permite ataques de intermediario . [ 27 ] [ 28 ] Una propiedad importante en este contexto es el secreto hacia adelante , que garantiza que las comunicaciones cifradas registradas en el pasado no puedan recuperarse ni descifrarse si las claves secretas o contraseñas de larga duración se ven comprometidas en el futuro. No todos los servidores web proporcionan secreto hacia adelante. [ 29 ]
Para que HTTPS sea efectivo, un sitio debe estar completamente alojado en HTTPS. Si parte del contenido del sitio se carga mediante HTTP (scripts o imágenes, por ejemplo), o si solo una página que contiene información confidencial, como una página de inicio de sesión, se carga mediante HTTPS mientras que el resto del sitio se carga mediante HTTP, el usuario será vulnerable a ataques y vigilancia. Además, las cookies en un sitio servido a través de HTTPS deben tener habilitado el atributo de seguridad . En un sitio que contiene información confidencial, el usuario y la sesión quedarán expuestos cada vez que se acceda al sitio mediante HTTP en lugar de HTTPS. [ 14 ]
Técnico
Diferencia con HTTP
Las URL HTTPS comienzan con "https://" y utilizan el puerto 443 por defecto, mientras que las URL HTTP comienzan con "http://" y utilizan el puerto 80 por defecto.
HTTP no está cifrado y, por lo tanto, es vulnerable a ataques de intermediario y de interceptación de comunicaciones , que pueden permitir a los atacantes acceder a cuentas de sitios web e información confidencial, y modificar páginas web para inyectar malware o publicidad. HTTPS está diseñado para resistir este tipo de ataques y se considera seguro frente a ellos (con la excepción de las implementaciones de HTTPS que utilizan versiones obsoletas de SSL).
capas de red
HTTP opera en la capa más alta del modelo TCP/IP : la capa de aplicación ; al igual que el protocolo de seguridad TLS (que opera como una subcapa inferior de la misma capa), el cual cifra un mensaje HTTP antes de su transmisión y lo descifra al recibirlo. Estrictamente hablando, HTTPS no es un protocolo independiente, sino que se refiere al uso de HTTP convencional sobre una conexión SSL/TLS cifrada .
HTTPS cifra todo el contenido de los mensajes, incluidos los encabezados HTTP y los datos de solicitud/respuesta. Salvo el posible ataque criptográfico CCA descrito en la sección de limitaciones que aparece a continuación, un atacante, como máximo, podría descubrir que se está estableciendo una conexión entre dos partes, junto con sus nombres de dominio y direcciones IP.
Configuración del servidor
Para preparar un servidor web para que acepte conexiones HTTPS, el administrador debe crear un certificado de clave pública para dicho servidor. Este certificado debe estar firmado por una autoridad de certificación de confianza para que el navegador web lo acepte sin problemas. La autoridad certifica que el titular del certificado es el operador del servidor web que lo presenta. Los navegadores web suelen incluir una lista de certificados de firma de las principales autoridades de certificación para que puedan verificar los certificados firmados por ellas.
Obtención de certificados
Existen varias autoridades de certificación comerciales que ofrecen certificados SSL/TLS de pago de diversos tipos, incluidos los certificados de validación extendida .
Let's Encrypt , lanzado en abril de 2016, [ 30 ] proporciona un servicio gratuito y automatizado que ofrece certificados SSL/TLS básicos a los sitios web. [ 31 ] Según la Electronic Frontier Foundation , Let's Encrypt hará que cambiar de HTTP a HTTPS sea "tan fácil como dar un comando o hacer clic en un botón". [ 32 ] La mayoría de los proveedores de alojamiento web y de servicios en la nube ahora utilizan Let's Encrypt, proporcionando certificados gratuitos a sus clientes.
Utilizar como control de acceso
El sistema también puede utilizarse para la autenticación de clientes , con el fin de limitar el acceso a un servidor web a usuarios autorizados. Para ello, el administrador del sitio suele crear un certificado para cada usuario, que este carga en su navegador. Normalmente, el certificado contiene el nombre y la dirección de correo electrónico del usuario autorizado y el servidor lo verifica automáticamente en cada conexión para comprobar su identidad, incluso sin necesidad de contraseña.
En caso de que la clave secreta (privada) se vea comprometida
Una propiedad importante en este contexto es el secreto perfecto hacia adelante (PFS). Poseer una de las claves secretas asimétricas de largo plazo utilizadas para establecer una sesión HTTPS no debería facilitar la derivación de la clave de sesión de corto plazo para luego descifrar la conversación, incluso en un momento posterior. El intercambio de claves Diffie-Hellman (DHE) y el intercambio de claves Diffie-Hellman de curva elíptica (ECDHE) son, en 2013, los únicos esquemas conocidos que poseen esta propiedad. En 2013, solo el 30 % de las sesiones de Firefox, Opera y Chromium Browser la utilizaban, y casi el 0 % de las sesiones de Safari de Apple y Microsoft Internet Explorer . [ 29 ] TLS 1.3, publicado en agosto de 2018, dejó de admitir cifrados sin secreto hacia adelante. A partir de febrero de 2019 El 96,6 % de los servidores web encuestados admiten alguna forma de confidencialidad directa, y el 52,1 % utilizará la confidencialidad directa con la mayoría de los navegadores. [ 33 ] A partir de julio de 2023 El 99,6% de los servidores web encuestados admiten alguna forma de confidencialidad directa, y el 75,2% utilizará la confidencialidad directa con la mayoría de los navegadores. [ 34 ]
Revocación del certificado
Un certificado puede ser revocado antes de su vencimiento, por ejemplo, porque la confidencialidad de la clave privada se ha visto comprometida. Las versiones más recientes de navegadores populares como Firefox , [ 35 ] Opera , [ 36 ] e Internet Explorer en Windows Vista [ 37 ] implementan el Protocolo de estado de certificado en línea (OCSP) para verificar que este no sea el caso. El navegador envía el número de serie del certificado a la autoridad de certificación o a su delegado a través de OCSP (Protocolo de estado de certificado en línea) y la autoridad responde, indicando al navegador si el certificado sigue siendo válido o no. [ 38 ] La CA también puede emitir una CRL para informar a las personas que estos certificados están revocados. Las CRL ya no son requeridas por el foro CA/Navegador, [ 39 ]Sin embargo, las CA todavía las utilizan ampliamente. La mayoría de los estados de revocación en Internet desaparecen poco después de la expiración de los certificados. [ 40 ]
Limitaciones
El cifrado SSL (Secure Sockets Layer) y TLS (Transport Layer Security) se puede configurar en dos modos: simple y mutuo . En el modo simple, la autenticación la realiza únicamente el servidor. La versión mutua requiere que el usuario instale un certificado de cliente personal en el navegador web para la autenticación del usuario. [ 41 ] En ambos casos, el nivel de protección depende de la correcta implementación del software y de los algoritmos criptográficos utilizados. [ 42 ]
SSL/TLS no impide la indexación del sitio por un rastreador web y, en algunos casos, la URI del recurso cifrado puede inferirse conociendo únicamente el tamaño de la solicitud/respuesta interceptada. [ 43 ] Esto permite a un atacante tener acceso al texto plano (el contenido estático disponible públicamente) y al texto cifrado (la versión cifrada del contenido estático), lo que permite un ataque criptográfico . [ 44 ] [ 45 ]
Debido a que TLS opera en un nivel de protocolo inferior al de HTTP y no tiene conocimiento de los protocolos de nivel superior, los servidores TLS solo pueden presentar un certificado para una combinación específica de dirección y puerto. [ 46 ] En el pasado, esto significaba que no era factible usar el alojamiento virtual basado en nombres con HTTPS. Existe una solución llamada Indicación de Nombre de Servidor (SNI), que envía el nombre de host al servidor antes de cifrar la conexión, aunque los navegadores antiguos no admiten esta extensión. La compatibilidad con SNI está disponible desde Firefox 2, Opera 8, Apple Safari 2.1, Google Chrome 6 e Internet Explorer 7 en Windows Vista . [ 47 ] [ 48 ] [ 49 ]
En la conferencia Black Hat de 2009 se presentó un sofisticado tipo de ataque de intermediario llamado SSL stripping . Este tipo de ataque vulnera la seguridad que proporciona HTTPS al cambiar el enlace por otro, aprovechando que pocos usuarios de Internet escriben "https" en la interfaz de su navegador: acceden a un sitio seguro haciendo clic en un enlace y, por lo tanto, son engañados haciéndoles creer que están usando HTTPS cuando en realidad están usando HTTP. El atacante se comunica entonces en texto plano con el cliente. [ 50 ] Esto impulsó el desarrollo de una contramedida en HTTP llamada HTTP Strict Transport Security .https:http:
Se ha demostrado que HTTPS es vulnerable a diversos ataques de análisis de tráfico . Estos ataques son un tipo de ataque de canal lateral que se basa en variaciones en la duración y el tamaño del tráfico para inferir propiedades sobre el propio tráfico cifrado. El análisis de tráfico es posible porque el cifrado SSL/TLS modifica el contenido del tráfico, pero tiene un impacto mínimo en su tamaño y duración. En mayo de 2010, un artículo de investigación de investigadores de Microsoft Research y la Universidad de Indiana descubrió que se pueden inferir datos confidenciales detallados del usuario a partir de canales laterales, como el tamaño de los paquetes. Los investigadores hallaron que, a pesar de la protección HTTPS en varias aplicaciones web de alto perfil y de última generación en los sectores de salud, impuestos, inversiones y búsqueda web, un intruso podría inferir las enfermedades, medicamentos y cirugías del usuario, los ingresos de su familia y secretos de inversión. [ 51 ]
El hecho de que la mayoría de los sitios web modernos, incluidos Google, Yahoo! y Amazon, utilicen HTTPS causa problemas a muchos usuarios que intentan acceder a puntos de acceso Wi-Fi públicos, porque una página de inicio de sesión de punto de acceso Wi-Fi con portal cautivo no se carga si el usuario intenta abrir un recurso HTTPS. [ 52 ] Varios sitios web, como NoSSL.sh , garantizan que siempre permanecerán accesibles mediante HTTP [ 53 ] .
Historia
Netscape Communications creó HTTPS en 1994 para su navegador web Netscape Navigator . [ 54 ] Originalmente, HTTPS se usaba con el protocolo SSL . [ 55 ] El protocolo SSL original fue desarrollado por Taher Elgamal , científico jefe en Netscape Communications . [ 56 ] [ 57 ] [ 58 ] A medida que SSL evolucionó a Transport Layer Security (TLS), HTTPS fue especificado formalmente por RFC 2818 [ 59 ] en mayo de 2000. Google anunció en febrero de 2018 que su navegador Chrome marcaría los sitios HTTP como "No seguros" después de julio de 2018. [ 55 ] Esta medida fue para alentar a los propietarios de sitios web a implementar HTTPS, como un esfuerzo para hacer que la World Wide Web sea más segura.
Véase también
- Seguridad de la capa de transporte
- Bullrun (programa de descifrado) : un programa secreto anti-cifrado dirigido por la Agencia de Seguridad Nacional de Estados Unidos.
- Seguridad informática
- HSTS
- Cifrado oportunista
- Aturdidor
- Ataque de bicicleta
Referencias
- ↑ "Proteja su sitio con HTTPS" . Soporte de Google . Google Inc. Archivado del original el 1 de marzo de 2015. Consultado el 20 de octubre de 2018 .
- ↑ "¿Qué es HTTPS?" . Comodo CA Limited . Archivado del original el 12/02/2015 . Consultado el 20/10/2018 .
El Protocolo de Transferencia de Hipertexto Seguro (HTTPS) es la versión segura de HTTP [...]
- ↑ "Esquema URI HTTP" . Semántica HTTP . IETF . Junio de 2022. Sec. 4.2.2. doi : 10.17487/RFC9110 . RFC 9110 .
- 1 2 3 "Preguntas frecuentes sobre HTTPS Everywhere" . 08/11/2016. Archivado del original el 14/11/2018 . Consultado el 20/10/2018 .
- ↑ "Estadísticas de uso del protocolo predeterminado https para sitios web, julio de 2019" . w3techs.com . Archivado del original el 1 de agosto de 2019. Consultado el 20 de julio de 2019 .
- ↑ "Encriptando la Web" . Electronic Frontier Foundation . Archivado del original el 18 de noviembre de 2019. Consultado el 19 de noviembre de 2019 .
- ↑ "La mayoría del millón de sitios web más importantes del mundo ahora usan HTTPS" . welivesecurity.com . Consultado el 22 de mayo de 2025 .
- ↑ "Inyección de JavaScript en wifi de hotel" . JustInsomnia . 3 de abril de 2012. Archivado del original el 18 de noviembre de 2018. Consultado el 20 de octubre de 2018 .
- ↑ The Tor Project, Inc. "¿Qué es el navegador Tor?" . TorProject.org . Consultado el 30 de mayo de 2012 .
{{cite web}}: CS1 maint: servicio de archivado obsoleto ( enlace ) - ↑ Konigsburg, Eitan; Pant, Rajiv; Kvochko, Elena (13 de noviembre de 2014). "Adoptando HTTPS" . The New York Times . Archivado del original el 8 de enero de 2019. Recuperado el 20 de octubre de 2018 .
- ↑ Gallagher, Kevin (12 de septiembre de 2014). «Quince meses después de las revelaciones de la NSA, ¿por qué no utilizan HTTPS más medios de comunicación?» . Freedom of the Press Foundation. Archivado del original el 10 de agosto de 2018. Consultado el 20 de octubre de 2018 .
- ↑ "HTTPS como señal de posicionamiento" . Blog de Google Webmaster Central . Google Inc. 6 de agosto de 2014. Archivado del original el 17 de octubre de 2018. Consultado el 20 de octubre de 2018. Puedes
proteger tu sitio con HTTPS (Protocolo seguro de transferencia de hipertexto) [...]
- ↑ Grigorik, Ilya; Far, Pierre (26 de junio de 2014). "Google I/O 2014 - HTTPS Everywhere" . Google Developers. Archivado del original el 20 de noviembre de 2018. Consultado el 20 de octubre de 2018 .
- 1 2 3 "Cómo implementar HTTPS correctamente" . 15/11/2010. Archivado del original el 10/10/2018 . Consultado el 20/10/2018 .
- ↑ "HTTP Strict Transport Security" . Mozilla Developer Network . Archivado del original el 19/10/2018 . Consultado el 20/10/2018 .
- ↑ "Estadísticas de uso de HTTPS en el millón de sitios web más visitados" . StatOperator.com . Archivado del original el 9 de febrero de 2019. Consultado el 20 de octubre de 2018 .
- ↑ "Estadísticas de Let's Encrypt" . LetsEncrypt.org . Archivado del original el 19 de octubre de 2018. Consultado el 20 de octubre de 2018 .
- ↑ "Qualys SSL Labs - SSL Pulse" . www.ssllabs.com . 2 de junio de 2025. Archivado del original el 7 de diciembre de 2022. Consultado el 7 de diciembre de 2022 ..
- ↑ "TLS 1.3: La lenta adopción de un cifrado web más robusto está dando poder a los delincuentes" . Help Net Security . 6 de abril de 2020. Archivado del original el 24 de mayo de 2022. Consultado el 23 de mayo de 2022 .
- ↑ Eckersley, Peter (17 de junio de 2010). "Encripta la web con la extensión HTTPS Everywhere para Firefox" . Blog de la EFF . Archivado del original el 25 de noviembre de 2018. Consultado el 20 de octubre de 2018 .
- ↑ "HTTPS Everywhere" . Proyectos de la EFF . 7 de octubre de 2011. Archivado del original el 5 de junio de 2011. Consultado el 20 de octubre de 2018 .
- ↑ "Modo solo HTTPS en Firefox" . Archivado del original el 12/11/2021 . Consultado el 12/11/2021 .
- ↑ "Administrar la seguridad de Chrome - Android - Ayuda de Google Chrome" . support.google.com . Archivado del original el 7 de marzo de 2022. Consultado el 7 de marzo de 2022 .
- ↑ Eswarlu, Venkat (19 de julio de 2021). "Primeras impresiones del modo HTTPS-First de Chrome" . Techdows . Archivado del original el 7 de marzo de 2022. Consultado el 7 de marzo de 2022 .
- ↑ Crane, Casey. "Google reemplazará el icono del candado en Chrome versión 117" . Hashed Out . The SSL Store . Consultado el 5 de mayo de 2026 .
- ↑ Ruoti, Scott; Monson, Tyler; Wu, Jusin; Zappala, Daniel; Seamons, Kent (12 de julio de 2017). "Pesando el contexto y las compensaciones: cómo los adultos suburbanos seleccionaron su postura de seguridad en línea" . Decimotercer Simposio sobre Privacidad y Seguridad Usables (SOUPS 2017) : 211–228 . Recuperado el 5 de mayo de 2026 .
- ↑ Singel, Ryan (24 de marzo de 2010). "Un dispositivo policial subvierte SSL" . Wired . Archivado del original el 17 de enero de 2019. Consultado el 20 de octubre de 2018 .
- ↑ Schoen, Seth (24 de marzo de 2010). "Nueva investigación sugiere que los gobiernos podrían falsificar certificados SSL" . EFF . Archivado del original el 4 de enero de 2016. Consultado el 20 de octubre de 2018 .
- 1 2 Duncan, Robert (25-06-2013). "SSL: Interceptado hoy, descifrado mañana" . Netcraft . Archivado del original el 06-10-2018 . Recuperado el 20-10-2018 .
- ↑ Cimpanu, Catalin (12 de abril de 2016). "Let's Encrypt se lanza hoy y actualmente protege 3,8 millones de dominios" . Softpedia News. Archivado del original el 9 de febrero de 2019. Consultado el 20 de octubre de 2018 .
- ↑ Kerner, Sean Michael (18 de noviembre de 2014). "La iniciativa Let's Encrypt busca mejorar la seguridad en Internet" . eWeek.com . Quinstreet Enterprise. Archivado del original el 2 de abril de 2023. Consultado el 20 de octubre de 2018 .
- ↑ Eckersley, Peter (18 de noviembre de 2014). "Lanzamiento en 2015: Una autoridad de certificación para cifrar toda la web" . Electronic Frontier Foundation . Archivado del original el 18 de noviembre de 2018. Recuperado el 20 de octubre de 2018 .
- ↑ Qualys SSL Labs . "SSL Pulse" . Archivado del original (3 de febrero de 2019) el 15 de febrero de 2019. Consultado el 25 de febrero de 2019 .
- ↑ "Qualys SSL Labs - SSL Pulse" . www.ssllabs.com . Consultado el 4 de septiembre de 2023 .
- ↑ "Política de privacidad de Mozilla Firefox" . Fundación Mozilla . 27 de abril de 2009. Archivado del original el 18 de octubre de 2018. Consultado el 20 de octubre de 2018 .
- ↑ "Opera 8 lanzado en FTP" . Softpedia . 19 de abril de 2005. Archivado del original el 9 de febrero de 2019. Consultado el 20 de octubre de 2018 .
- ↑ Lawrence, Eric (31 de enero de 2006). "Mejoras de seguridad HTTPS en Internet Explorer 7" . Microsoft Docs . Archivado del original el 24 de octubre de 2021. Consultado el 24 de octubre de 2021 .
- ↑ Myers, Michael; Ankney, Rich; Malpani, Ambarish; Galperin, Slava; Adams, Carlisle (1999-06-20). "Online Certificate Status Protocol – OCSP" . Internet Engineering Task Force . doi : 10.17487/RFC2560 . Archivado del original el 25 de agosto de 2011. Recuperado el 20 de octubre de 2018 .
- ↑ "Requisitos básicos" . Foro CAB. 4 de septiembre de 2013. Archivado del original el 20 de octubre de 2014. Consultado el 1 de noviembre de 2021 .
- ↑ Korzhitskii, N.; Carlsson, N. (30 de marzo de 2021). «Estados de revocación en Internet». Medición pasiva y activa . Notas de clase en informática. Vol. 12671. págs. 175–191 . arXiv : 2102.04288 . doi : 10.1007/978-3-030-72582-2_11 . ISBN 978-3-030-72581-5.
- ↑ "Administrar certificados de cliente en dispositivos Chrome – Ayuda de Chrome para empresas y educación" . support.google.com . Archivado del original el 9 de febrero de 2019. Consultado el 20 de octubre de 2018 .
- ↑ "Criptografía práctica" . Schneier sobre seguridad . ISBN 0471223573. Consultado el 14 de abril de 2026 .
- ↑ Pusep, Stanislaw (31 de julio de 2008). "The Pirate Bay sin SSL" (PDF) . Archivado (PDF) del original el 20 de junio de 2018. Recuperado el 20 de octubre de 2018 .
- ↑ Rescorla, Eric (agosto de 2018). El protocolo de seguridad de la capa de transporte (TLS) versión 1.3 (Informe). Grupo de trabajo de ingeniería de Internet.
- ↑ Panchenko, Andriy; Lanze, Fabián; Zinnen, Andreas; Henze, Martín; Pennekamp, enero; Wehrle, Klaus; Engel, Thomas (23 de febrero de 2016). "Toma de huellas dactilares de sitios web a escala de Internet" . Conferencia: Simposio de Seguridad de Redes y Sistemas Distribuidos . doi : 10.14722/ndss.2016.23477 .
- ↑ "Cifrado seguro SSL/TLS: Preguntas frecuentes" . apache.org . Archivado del original el 19 de octubre de 2018. Consultado el 20 de octubre de 2018 .
- ↑ Lawrence, Eric (22 de octubre de 2005). "Próximas mejoras de HTTPS en Internet Explorer 7 Beta 2" . Microsoft . Archivado del original el 20 de septiembre de 2018. Consultado el 20 de octubre de 2018 .
- ↑ "Indicación de nombre de servidor (SNI)" . Dentro de la cabeza de Aebrahim . 21 de febrero de 2006. Archivado del original el 10 de agosto de 2018. Consultado el 20 de octubre de 2018 .
- ↑ Pierre, Julien (19 de diciembre de 2001). "Soporte del navegador para la indicación del nombre del servidor TLS" . Bugzilla . Fundación Mozilla. Archivado del original el 8 de octubre de 2018. Recuperado el 20 de octubre de 2018 .
- ↑ "sslstrip 0.9" . Archivado del original el 20 de junio de 2018. Consultado el 20 de octubre de 2018 .
- ↑ Shuo Chen; Rui Wang; XiaoFeng Wang; Kehuan Zhang (2010-05-20). "Fugas de canal lateral en aplicaciones web: una realidad hoy, un desafío mañana" . Microsoft Research . Simposio IEEE sobre seguridad y privacidad 2010. Archivado del original el 22 de julio de 2018. Recuperado el 20 de octubre de 2018 .
- ↑ Guaay, Matthew (21 de septiembre de 2017). "Cómo forzar la apertura de la página de inicio de sesión de una red Wi-Fi pública" . Archivado del original el 10 de agosto de 2018. Consultado el 20 de octubre de 2018 .
- ↑ "Aviso legal de nossl.sh solo para HTTP" . nossl.sh . Consultado el 18 de diciembre de 2025 .
- ↑ Walls, Colin (2005). Embedded Software: The Works . Newnes. p. 344. ISBN 0-7506-7954-9Archivado del original el 09-02-2019 . Consultado el 20-10-2018 .
- 1 2 "Una web segura llegó para quedarse" . Blog de Chromium . Archivado del original el 24 de abril de 2019. Consultado el 22 de abril de 2019 .
- ↑ Messmer, Ellen. "El padre de SSL, el Dr. Taher Elgamal, encuentra proyectos de TI de rápido crecimiento en Oriente Medio" . Network World . Archivado del original el 31 de mayo de 2014. Consultado el 30 de mayo de 2014 .
- ↑ Greene, Tim. "El padre de SSL dice que, a pesar de los ataques, el pilar de seguridad aún tiene mucha vida útil" . Network World . Archivado del original el 31 de mayo de 2014. Consultado el 30 de mayo de 2014 .
- ↑ Oppliger, Rolf (2016). «Introducción» . SSL y TLS: Teoría y práctica (2.ª ed.). Artech House . p. 13. ISBN 978-1-60807-999-5Recuperado el 1 de marzo de 2018 – a través de Google Libros.
- ↑ Rescorla, Eric (mayo de 2000). HTTP sobre TLS (Informe). Grupo de trabajo de ingeniería de Internet.
Enlaces externos
- RFC 8446 : Protocolo de seguridad de la capa de transporte (TLS) versión 1.3
- Protocolo de transferencia de hipertexto
- protocolos criptográficos
- Comunicación segura
- esquemas URI
- Seguridad de la capa de transporte
- Propiedades de Internet establecidas en 1994