HTTPS

Ampliación del protocolo de comunicaciones HTTP para admitir el cifrado TLS

El Protocolo seguro de transferencia de hipertexto ( HTTPS ) es una extensión del Protocolo de transferencia de hipertexto (HTTP). Utiliza cifrado para una comunicación segura a través de una red informática y se utiliza ampliamente en Internet . ^{[1] [2]} En HTTPS, el protocolo de comunicación se cifra mediante Transport Layer Security (TLS) o, anteriormente, Secure Sockets Layer (SSL). Por lo tanto, el protocolo también se denomina HTTP sobre TLS , ^[3] o HTTP sobre SSL .

Las principales motivaciones para HTTPS son la autenticación del sitio web al que se accede y la protección de la privacidad e integridad de los datos intercambiados mientras están en tránsito. Protege contra ataques de intermediario , y el cifrado de bloque bidireccional de las comunicaciones entre un cliente y un servidor protege las comunicaciones contra escuchas y manipulaciones . ^{[4] [5]} El aspecto de autenticación de HTTPS requiere que un tercero confiable firme los certificados digitales del lado del servidor . Históricamente, esta era una operación costosa, lo que significaba que las conexiones HTTPS completamente autenticadas generalmente solo se encontraban en servicios de transacciones de pago seguras y otros sistemas de información corporativa seguros en la World Wide Web . En 2016, una campaña de la Electronic Frontier Foundation con el apoyo de desarrolladores de navegadores web hizo que el protocolo se volviera más frecuente. ^[6] Actualmente, los usuarios web utilizan HTTPS con más frecuencia que el HTTP original, no seguro, principalmente para proteger la autenticidad de las páginas en todo tipo de sitios web, proteger cuentas y mantener privadas las comunicaciones, la identidad y la navegación web de los usuarios.

Descripción general

URL que comienza con el esquema HTTPS y la etiqueta del nombre de dominio WWW

El esquema HTTPS del Identificador uniforme de recursos (URI) tiene una sintaxis de uso idéntica a la del esquema HTTP. Sin embargo, HTTPS indica al navegador que utilice una capa de cifrado adicional de SSL/TLS para proteger el tráfico. SSL/TLS es especialmente adecuado para HTTP, ya que puede proporcionar cierta protección incluso si solo se autentica un lado de la comunicación . Este es el caso de las transacciones HTTP a través de Internet, donde normalmente sólo se autentica el servidor (el cliente examina el certificado del servidor ).

HTTPS crea un canal seguro a través de una red insegura. Esto garantiza una protección razonable contra espías y ataques de intermediarios , siempre que se utilicen conjuntos de cifrado adecuados y que el certificado del servidor esté verificado y sea confiable.

Debido a que HTTPS incorpora HTTP por completo a TLS, se puede cifrar la totalidad del protocolo HTTP subyacente. Esto incluye la URL de la solicitud , los parámetros de consulta, los encabezados y las cookies (que a menudo contienen información de identificación sobre el usuario). Sin embargo, debido a que las direcciones de sitios web y los números de puerto son necesariamente parte de los protocolos TCP/IP subyacentes , HTTPS no puede proteger su divulgación. En la práctica, esto significa que incluso en un servidor web configurado correctamente, los espías pueden inferir la dirección IP y el número de puerto del servidor web y, a veces, incluso el nombre de dominio (por ejemplo, www.example.org, pero no el resto de la URL) que con el que se comunica un usuario, junto con la cantidad de datos transferidos y la duración de la comunicación, aunque no el contenido de la comunicación. ^[4]

Los navegadores web saben cómo confiar en los sitios web HTTPS según las autoridades de certificación que vienen preinstaladas en su software. De esta manera, los creadores de navegadores web confían en las autoridades certificadoras para proporcionar certificados válidos. Por lo tanto, un usuario debe confiar en una conexión HTTPS a un sitio web si y sólo si se cumple todo lo siguiente:

• El usuario confía en que su dispositivo, que aloja el navegador y el método para obtenerlo, no está comprometido (es decir, no hay ningún ataque a la cadena de suministro ).
• El usuario confía en que el software del navegador implementa correctamente HTTPS con autoridades de certificación correctamente preinstaladas.
• El usuario confía en que la autoridad certificadora responderá sólo por sitios web legítimos (es decir, la autoridad certificadora no se ve comprometida y no se emiten certificados incorrectamente).
• El sitio web proporciona un certificado válido, lo que significa que fue firmado por una autoridad confiable.
• El certificado identifica correctamente el sitio web (por ejemplo, cuando el navegador visita "https://example.com", el certificado recibido es correctamente para "example.com" y no para otra entidad).
• El usuario confía en que la capa de cifrado del protocolo (SSL/TLS) sea suficientemente segura contra intrusos.

HTTPS es especialmente importante en redes inseguras y redes que pueden estar sujetas a manipulación. Las redes inseguras, como los puntos de acceso Wi-Fi públicos , permiten que cualquier persona en la misma red local rastree paquetes y descubra información confidencial no protegida por HTTPS. Además, se ha observado que algunas redes WLAN de uso gratuito y de pago manipulan páginas web mediante la inyección de paquetes para publicar sus propios anuncios en otros sitios web. Esta práctica se puede explotar maliciosamente de muchas maneras, como inyectando malware en páginas web y robando información privada de los usuarios. ^[7]

HTTPS también es importante para las conexiones a través de la red Tor , ya que, de lo contrario, los nodos Tor maliciosos podrían dañar o alterar los contenidos que pasan a través de ellos de forma insegura e inyectar malware en la conexión. Esta es una de las razones por las que Electronic Frontier Foundation y el Proyecto Tor comenzaron el desarrollo de HTTPS Everywhere , ^[4] que se incluye en el Navegador Tor. ^[8]

A medida que se revela más información sobre la vigilancia masiva global y los delincuentes que roban información personal, el uso de la seguridad HTTPS en todos los sitios web se vuelve cada vez más importante, independientemente del tipo de conexión a Internet que se utilice. ^{[9] [10]} Aunque los metadatos sobre páginas individuales que visita un usuario pueden no considerarse confidenciales, cuando se agregan pueden revelar mucho sobre el usuario y comprometer su privacidad. ^{[11] [12] [13]}

La implementación de HTTPS también permite el uso de HTTP/2 y HTTP/3 (y sus predecesores SPDY y QUIC ), que son nuevas versiones de HTTP diseñadas para reducir los tiempos de carga, el tamaño y la latencia de las páginas.

Se recomienda utilizar HTTP Strict Transport Security (HSTS) con HTTPS para proteger a los usuarios de ataques de intermediario, especialmente eliminación de SSL . ^{[13] [14]}

HTTPS no debe confundirse con el HTTP seguro (S-HTTP) , poco utilizado, especificado en RFC 2660.

Uso en sitios web

En abril de 2018 ^[actualizar], el 33,2 % de los 1.000.000 de sitios web principales de Alexa utilizan HTTPS de forma predeterminada ^[15] y el 70 % de las cargas de páginas (medidas mediante Firefox Telemetry) utilizan HTTPS. ^[16] En diciembre de 2022 ^[actualizar], el 58,4% de los 135.422 sitios web más populares de Internet tienen una implementación segura de HTTPS. ^[17] Sin embargo, a pesar del lanzamiento de TLS 1.3 en 2018, la adopción ha sido lenta y muchos aún permanecen en la versión anterior. Protocolo TLS 1.2. ^[18]

Integración del navegador

La mayoría de los navegadores muestran una advertencia si reciben un certificado no válido. Los navegadores más antiguos, al conectarse a un sitio con un certificado no válido, presentaban al usuario un cuadro de diálogo preguntándole si deseaba continuar. Los navegadores más nuevos muestran una advertencia en toda la ventana. Los navegadores más nuevos también muestran de manera destacada la información de seguridad del sitio en la barra de direcciones . Los certificados de validación extendida muestran la entidad jurídica en la información del certificado. La mayoría de los navegadores también muestran una advertencia al usuario cuando visita un sitio que contiene una combinación de contenido cifrado y no cifrado. Además, muchos filtros web devuelven una advertencia de seguridad al visitar sitios web prohibidos.

Comparación entre diferentes tipos de certificados SSL/TLS
(usando Firefox como ejemplo)

• 
  Muchos navegadores web, incluido Firefox (que se muestra aquí), utilizan la barra de direcciones para indicarle al usuario que su conexión es segura; un Certificado de validación extendida debe identificar la entidad legal del certificado.
• 
  Al acceder a un sitio únicamente con un certificado común, en la barra de direcciones de Firefox y otros navegadores , aparece un signo de "candado".
• 
  La mayoría de los navegadores web alertan al usuario cuando visita sitios que tienen certificados de seguridad no válidos.

La Electronic Frontier Foundation , opinando que "en un mundo ideal, cada solicitud web podría tener como valor predeterminado HTTPS", ha proporcionado un complemento llamado HTTPS Everywhere para Mozilla Firefox , Google Chrome , Chromium y Android , que habilita HTTPS de forma predeterminada para cientos de sitios web de uso frecuente. ^{[19] [20]}

Forzar a un navegador web a cargar solo contenido HTTPS ha sido compatible con Firefox a partir de la versión 83. ^[21] A partir de la versión 94, Google Chrome puede "usar siempre conexiones seguras" si se activa en la configuración del navegador. ^{[22] [23]}

Seguridad

La seguridad de HTTPS es la del TLS subyacente, que normalmente utiliza claves públicas y privadas a largo plazo para generar una clave de sesión a corto plazo , que luego se utiliza para cifrar el flujo de datos entre el cliente y el servidor. Los certificados X.509 se utilizan para autenticar el servidor (y, a veces, también el cliente). En consecuencia, las autoridades certificadoras y los certificados de clave pública son necesarios para verificar la relación entre el certificado y su propietario, así como para generar, firmar y administrar la validez de los certificados. Si bien esto puede ser más beneficioso que verificar las identidades a través de una red de confianza , las revelaciones de vigilancia masiva de 2013 llamaron la atención sobre las autoridades certificadoras como un punto débil potencial que permitía ataques de intermediario . ^{[24] [25]} Una propiedad importante en este contexto es el secreto directo , que garantiza que las comunicaciones cifradas registradas en el pasado no puedan recuperarse ni descifrarse en caso de que las claves o contraseñas secretas a largo plazo se vean comprometidas en el futuro. No todos los servidores web ofrecen confidencialidad directa. ^{[26] [ necesita actualización ]}

Para que HTTPS sea efectivo, un sitio debe estar completamente alojado en HTTPS. Si algunos de los contenidos del sitio se cargan a través de HTTP (scripts o imágenes, por ejemplo), o si solo una determinada página que contiene información confidencial, como una página de inicio de sesión, se carga a través de HTTPS mientras se carga el resto del sitio a través de HTTP simple, el usuario será vulnerable a ataques y vigilancia. Además, las cookies en un sitio servido a través de HTTPS deben tener habilitado el atributo seguro . En un sitio que contiene información confidencial, el usuario y la sesión quedarán expuestos cada vez que se acceda a ese sitio con HTTP en lugar de HTTPS. ^[13]

Técnico

Diferencia con HTTP

Las URL HTTPS comienzan con "https://" y usan el puerto 443 de forma predeterminada, mientras que las URL HTTP comienzan con "http://" y usan el puerto 80 de forma predeterminada.

HTTP no está cifrado y, por lo tanto, es vulnerable a ataques de intermediarios y de escuchas ilegales , que pueden permitir a los atacantes obtener acceso a cuentas de sitios web e información confidencial, y modificar páginas web para inyectar malware o anuncios. HTTPS está diseñado para resistir este tipo de ataques y se considera seguro contra ellos (con la excepción de las implementaciones HTTPS que utilizan versiones obsoletas de SSL).

Capas de red

HTTP opera en la capa más alta del modelo TCP/IP : la capa de aplicación ; al igual que el protocolo de seguridad TLS (que funciona como una subcapa inferior de la misma capa), que cifra un mensaje HTTP antes de su transmisión y lo descifra al llegar. Estrictamente hablando, HTTPS no es un protocolo independiente, sino que se refiere al uso de HTTP normal a través de una conexión SSL/TLS cifrada .

HTTPS cifra todo el contenido del mensaje, incluidos los encabezados HTTP y los datos de solicitud/respuesta. Con la excepción del posible ataque criptográfico CCA descrito en la sección de limitaciones a continuación, un atacante debería, como máximo, poder descubrir que se está produciendo una conexión entre dos partes, junto con sus nombres de dominio y direcciones IP.

Configuración del servidor

Para preparar un servidor web para aceptar conexiones HTTPS, el administrador debe crear un certificado de clave pública para el servidor web. Este certificado debe estar firmado por una autoridad certificadora confiable para que el navegador web lo acepte sin previo aviso. La autoridad certifica que el titular del certificado es el operador del servidor web que lo presenta. Los navegadores web generalmente se distribuyen con una lista de certificados de firma de las principales autoridades certificadoras para que puedan verificar los certificados firmados por ellas.

Adquirir certificados

Existen varias autoridades de certificación comerciales que ofrecen certificados SSL/TLS pagos de varios tipos, incluidos los certificados de validación extendida .

Let's Encrypt , lanzado en abril de 2016, ^[27] proporciona un servicio gratuito y automatizado que entrega certificados SSL/TLS básicos a sitios web. ^[28] Según Electronic Frontier Foundation , Let's Encrypt hará que cambiar de HTTP a HTTPS sea "tan fácil como emitir un comando o hacer clic en un botón". ^[29] La mayoría de los servidores web y proveedores de nube ahora aprovechan Let's Encrypt, proporcionando certificados gratuitos a sus clientes.

Usar como control de acceso

El sistema también se puede utilizar para la autenticación de clientes con el fin de limitar el acceso a un servidor web a usuarios autorizados. Para hacer esto, el administrador del sitio normalmente crea un certificado para cada usuario, que el usuario carga en su navegador. Normalmente, el certificado contiene el nombre y la dirección de correo electrónico del usuario autorizado y el servidor lo verifica automáticamente en cada conexión para verificar la identidad del usuario, potencialmente sin siquiera requerir una contraseña.

En caso de clave secreta (privada) comprometida

Una propiedad importante en este contexto es el secreto directo perfecto (PFS). Poseer una de las claves secretas asimétricas a largo plazo utilizadas para establecer una sesión HTTPS no debería facilitar la obtención de la clave de sesión a corto plazo para luego descifrar la conversación, incluso en un momento posterior. El intercambio de claves Diffie-Hellman (DHE) y el intercambio de claves Diffie-Hellman de curva elíptica (ECDHE) son en 2013 los únicos esquemas que se sabe que tienen esa propiedad. En 2013, sólo el 30% de las sesiones de los navegadores Firefox, Opera y Chromium lo utilizaron, y casi el 0% de las sesiones de Safari de Apple y Microsoft Internet Explorer . ^[26] TLS 1.3, publicado en agosto de 2018, dejó de admitir cifrados sin secreto directo. En febrero de 2019 ^[actualizar], el 96,6 % de los servidores web encuestados admiten alguna forma de secreto directo y el 52,1 % utilizará el secreto directo con la mayoría de los navegadores. ^[30] En julio de 2023 ^[actualizar], el 99,6 % de los servidores web encuestados admiten alguna forma de secreto directo y el 75,2 % utilizará el secreto directo con la mayoría de los navegadores. ^[31]

Revocación de certificado

Un certificado puede revocarse antes de que expire, por ejemplo porque se ha comprometido el secreto de la clave privada. Las versiones más nuevas de navegadores populares como Firefox , ^[32] Opera , ^[33] e Internet Explorer en Windows Vista ^[34] implementan el Protocolo de estado de certificado en línea (OCSP) para verificar que este no sea el caso. El navegador envía el número de serie del certificado a la autoridad certificadora o su delegado a través de OCSP (Protocolo de estado de certificado en línea) y la autoridad responde, diciéndole al navegador si el certificado todavía es válido o no. ^[35] La CA también puede emitir una CRL para informar a las personas que estos certificados están revocados. Las CRL ya no son requeridas por el foro CA/Browser, ^[36] sin embargo, todavía son ampliamente utilizadas por las CA. La mayoría de los estados de revocación en Internet desaparecen poco después de la expiración de los certificados. ^[37]

Limitaciones

El cifrado SSL (Secure Sockets Layer) y TLS (Transport Layer Security) se puede configurar en dos modos: simple y mutuo . En modo simple, la autenticación solo la realiza el servidor. La versión mutua requiere que el usuario instale un certificado de cliente personal en el navegador web para la autenticación del usuario. ^[38] En cualquier caso, el nivel de protección depende de la corrección de la implementación del software y de los algoritmos criptográficos utilizados.

SSL/TLS no impide la indexación del sitio por parte de un rastreador web y, en algunos casos, el URI del recurso cifrado se puede inferir conociendo solo el tamaño de la solicitud/respuesta interceptada. ^[39] Esto permite que un atacante tenga acceso al texto sin formato (el contenido estático disponible públicamente) y al texto cifrado (la versión cifrada del contenido estático), lo que permite un ataque criptográfico .

Debido a que TLS opera en un nivel de protocolo inferior al de HTTP y no tiene conocimiento de los protocolos de nivel superior, los servidores TLS solo pueden presentar estrictamente un certificado para una combinación particular de dirección y puerto. ^[40] En el pasado, esto significaba que no era factible utilizar alojamiento virtual basado en nombres con HTTPS. Existe una solución llamada Indicación de nombre de servidor (SNI), que envía el nombre de host al servidor antes de cifrar la conexión, aunque muchos navegadores antiguos no admiten esta extensión. La compatibilidad con SNI está disponible desde Firefox 2, Opera 8, Apple Safari 2.1, Google Chrome 6 e Internet Explorer 7 en Windows Vista . ^{[41] [42] [43]}

Desde un punto de vista arquitectónico:

• Una conexión SSL/TLS es administrada por la primera máquina frontal que inicia la conexión TLS. Si, por algún motivo (enrutamiento, optimización del tráfico, etc.), esta máquina frontal no es el servidor de aplicaciones y tiene que descifrar datos, se deben encontrar soluciones para propagar la información de autenticación del usuario o el certificado al servidor de aplicaciones, que debe saber quién va a estar conectado.
• Para SSL/TLS con autenticación mutua, la sesión SSL/TLS la administra el primer servidor que inicia la conexión. En situaciones en las que el cifrado debe propagarse a lo largo de servidores encadenados, la gestión del tiempo de espera de la sesión se vuelve extremadamente complicada de implementar.
• La seguridad es máxima con SSL/TLS mutuo, pero en el lado del cliente no hay forma de finalizar correctamente la conexión SSL/TLS y desconectar al usuario excepto esperando a que caduque la sesión del servidor o cerrando todas las aplicaciones cliente relacionadas.

En la Conferencia Blackhat de 2009 se presentó un tipo sofisticado de ataque de intermediario llamado eliminación de SSL . Este tipo de ataque anula la seguridad proporcionada por HTTPS al convertir el enlace en un enlace, aprovechando el hecho de que pocos usuarios de Internet escriben "https" en la interfaz de su navegador: acceden a un sitio seguro haciendo clic en un enlace y por lo tanto, se les engaña haciéndoles pensar que están usando HTTPS cuando en realidad están usando HTTP. Luego, el atacante se comunica claramente con el cliente. ^[44] Esto impulsó el desarrollo de una contramedida en HTTP llamada HTTP Strict Transport Security .https:http:

Se ha demostrado que HTTPS es vulnerable a una variedad de ataques de análisis de tráfico . Los ataques de análisis de tráfico son un tipo de ataque de canal lateral que se basa en variaciones en el tiempo y el tamaño del tráfico para inferir propiedades sobre el tráfico cifrado en sí. El análisis del tráfico es posible porque el cifrado SSL/TLS cambia el contenido del tráfico, pero tiene un impacto mínimo en el tamaño y el tiempo del tráfico. En mayo de 2010, un artículo de investigación realizado por investigadores de Microsoft Research y la Universidad de Indiana descubrió que se pueden inferir datos confidenciales detallados del usuario a partir de canales secundarios, como el tamaño de los paquetes. Los investigadores descubrieron que, a pesar de la protección HTTPS en varias aplicaciones web de alto perfil y de primera línea en atención médica, impuestos, inversiones y búsqueda web, un espía podría inferir las enfermedades/medicamentos/cirugías del usuario, su/ sus ingresos familiares y secretos de inversión. ^[45] Aunque este trabajo demostró la vulnerabilidad de HTTPS al análisis de tráfico, el enfoque presentado por los autores requirió un análisis manual y se centró específicamente en aplicaciones web protegidas por HTTPS.

El hecho de que la mayoría de los sitios web modernos, incluidos Google, Yahoo! y Amazon, utilicen HTTPS causa problemas a muchos usuarios que intentan acceder a puntos de acceso Wi-Fi públicos, porque la página de inicio de sesión de un punto de acceso Wi-Fi no se carga si el usuario intenta abra un recurso HTTPS. ^[46] Varios sitios web, como neverssl.com, garantizan que siempre serán accesibles mediante HTTP. ^[47]

Historia

Netscape Communications creó HTTPS en 1994 para su navegador web Netscape Navigator . ^[48] ​​Originalmente, HTTPS se utilizaba con el protocolo SSL . A medida que SSL evolucionó hacia Transport Layer Security (TLS), HTTPS fue especificado formalmente por RFC 2818 en mayo de 2000. Google anunció en febrero de 2018 que su navegador Chrome marcaría los sitios HTTP como "No seguros" después de julio de 2018. ^[49] Esta medida fue alentar a los propietarios de sitios web a implementar HTTPS, como un esfuerzo por hacer que la World Wide Web sea más segura.

Ver también

• Transport Layer Security
• Bullrun (programa de descifrado)  : un programa secreto anti-cifrado dirigido por la Agencia de Seguridad Nacional de EE. UU.
• La seguridad informática
• HSTS
• Cifrado oportunista
• túnel

Referencias

1. "Asegure su sitio con HTTPS". Soporte de Google . Google Inc. Archivado desde el original el 1 de marzo de 2015 . Consultado el 20 de octubre de 2018 .
2. "¿Qué es HTTPS?". Comodo CA Limited . Archivado desde el original el 12 de febrero de 2015 . Consultado el 20 de octubre de 2018 . Hyper Text Transfer Protocol Secure (HTTPS) es la versión segura de HTTP [...]{{cite web}}: Mantenimiento CS1: URL no apta ( enlace )
3. "Esquema https URI". Semántica HTTP. IETF . Junio ​​de 2022. seg. 4.2.2. doi : 10.17487/RFC9110 . RFC 9110.
4. "Preguntas frecuentes sobre HTTPS en todas partes". 8 de noviembre de 2016. Archivado desde el original el 14 de noviembre de 2018 . Consultado el 20 de octubre de 2018 .
5. "Estadísticas de uso del protocolo https predeterminado para sitios web, julio de 2019". w3techs.com . Archivado desde el original el 1 de agosto de 2019 . Consultado el 20 de julio de 2019 .
6. "Cifrar la Web". Fundación Frontera Electrónica . Archivado desde el original el 18 de noviembre de 2019 . Consultado el 19 de noviembre de 2019 .
7. "Inyección de JavaScript Wifi de hotel". Sólo insomnio . 3 de abril de 2012. Archivado desde el original el 18 de noviembre de 2018 . Consultado el 20 de octubre de 2018 .
8. The Tor Project, Inc. "¿Qué es el navegador Tor?". TorProject.org . Archivado desde el original el 17 de julio de 2013 . Consultado el 30 de mayo de 2012 .
9. Königsburg, Eitan; Pantalón, Rajiv; Kvochko, Elena (13 de noviembre de 2014). "Adoptar HTTPS". Los New York Times . Archivado desde el original el 8 de enero de 2019 . Consultado el 20 de octubre de 2018 .
10. Gallagher, Kevin (12 de septiembre de 2014). "Quince meses después de las revelaciones de la NSA, ¿por qué no más organizaciones de noticias utilizan HTTPS?". Fundación Libertad de Prensa. Archivado desde el original el 10 de agosto de 2018 . Consultado el 20 de octubre de 2018 .
11. "HTTPS como señal de clasificación". Blog del Centro para webmasters de Google . Google Inc. 6 de agosto de 2014. Archivado desde el original el 17 de octubre de 2018 . Consultado el 20 de octubre de 2018 . Puede hacer que su sitio sea seguro con HTTPS (Protocolo seguro de transferencia de hipertexto) [...]
12. Grigorik, Ilya; Lejos, Pierre (26 de junio de 2014). "Google I/O 2014: HTTPS en todas partes". Desarrolladores de Google. Archivado desde el original el 20 de noviembre de 2018 . Consultado el 20 de octubre de 2018 .
13. "Cómo implementar HTTPS correctamente". 15 de noviembre de 2010. Archivado desde el original el 10 de octubre de 2018 . Consultado el 20 de octubre de 2018 .
14. "Seguridad estricta del transporte HTTP". Red de desarrolladores de Mozilla . Archivado desde el original el 19 de octubre de 2018 . Consultado el 20 de octubre de 2018 .
15. "Estadísticas de uso de HTTPS en los principales sitios web de 1 millón". StatOperator.com . Archivado desde el original el 9 de febrero de 2019 . Consultado el 20 de octubre de 2018 .
16. "Cifremos las estadísticas". LetsEncrypt.org . Archivado desde el original el 19 de octubre de 2018 . Consultado el 20 de octubre de 2018 .
17. "Laboratorios SSL de Qualys - SSL Pulse". www.ssllabs.com . 4 de diciembre de 2022. Archivado desde el original el 7 de diciembre de 2022 . Consultado el 7 de diciembre de 2022 ..
18. "TLS 1.3: la lenta adopción de un cifrado web más potente está empoderando a los malos". Ayuda a la seguridad de la red . 6 de abril de 2020. Archivado desde el original el 24 de mayo de 2022 . Consultado el 23 de mayo de 2022 .
19. Eckersley, Peter (17 de junio de 2010). "Cifre la Web con la extensión HTTPS Everywhere Firefox". Blog de la EFF . Archivado desde el original el 25 de noviembre de 2018 . Consultado el 20 de octubre de 2018 .
20. "HTTPS en todas partes". Proyectos del FEP . 7 de octubre de 2011. Archivado desde el original el 5 de junio de 2011 . Consultado el 20 de octubre de 2018 .
21. "Modo solo HTTPS en Firefox". Archivado desde el original el 12 de noviembre de 2021 . Consultado el 12 de noviembre de 2021 .
22. "Administrar la seguridad de Chrome - Android - Ayuda de Google Chrome". soporte.google.com . Archivado desde el original el 7 de marzo de 2022 . Consultado el 7 de marzo de 2022 .
23. "Prácticamente el primer modo HTTPS de Chrome". Techdows . 19 de julio de 2021. Archivado desde el original el 7 de marzo de 2022 . Consultado el 7 de marzo de 2022 .
24. Singel, Ryan (24 de marzo de 2010). "El dispositivo de aplicación de la ley subvierte SSL". Cableado . Archivado desde el original el 17 de enero de 2019 . Consultado el 20 de octubre de 2018 .
25. Schoen, Seth (24 de marzo de 2010). "Una nueva investigación sugiere que los gobiernos pueden falsificar certificados SSL". EFF . Archivado desde el original el 4 de enero de 2016 . Consultado el 20 de octubre de 2018 .
26. Duncan, Robert (25 de junio de 2013). "SSL: interceptado hoy, descifrado mañana". Netcraft . Archivado desde el original el 6 de octubre de 2018 . Consultado el 20 de octubre de 2018 .
27. Cimpanu, Catalin (12 de abril de 2016). "Let's Encrypt se lanzó hoy y actualmente protege 3,8 millones de dominios". Noticias de Softpedia. Archivado desde el original el 9 de febrero de 2019 . Consultado el 20 de octubre de 2018 .
28. Kerner, Sean Michael (18 de noviembre de 2014). "Let's Encrypt Effort tiene como objetivo mejorar la seguridad de Internet". eWeek.com . Empresa Quinstreet. Archivado desde el original el 2 de abril de 2023 . Consultado el 20 de octubre de 2018 .
29. Eckersley, Peter (18 de noviembre de 2014). "Lanzamiento en 2015: una autoridad de certificación para cifrar toda la Web". Fundación Frontera Electrónica . Archivado desde el original el 18 de noviembre de 2018 . Consultado el 20 de octubre de 2018 .
30. Laboratorios Qualys SSL . "Pulso SSL". Archivado desde el original (3 de febrero de 2019) el 15 de febrero de 2019 . Consultado el 25 de febrero de 2019 .
31. "Laboratorios SSL de Qualys - SSL Pulse". www.ssllabs.com . Consultado el 4 de septiembre de 2023 .
32. "Política de privacidad de Mozilla Firefox". Fundación Mozilla . 27 de abril de 2009. Archivado desde el original el 18 de octubre de 2018 . Consultado el 20 de octubre de 2018 .
33. "Opera 8 lanzado en FTP". Softpedia . 19 de abril de 2005. Archivado desde el original el 9 de febrero de 2019 . Consultado el 20 de octubre de 2018 .
34. Lawrence, Eric (31 de enero de 2006). "Mejoras de seguridad HTTPS en Internet Explorer 7". Documentos de Microsoft . Archivado desde el original el 24 de octubre de 2021 . Consultado el 24 de octubre de 2021 .
35. Myers, Michael; Ankney, rico; Malpani, Ambarish; Galperin, Slava; Adams, Carlisle (20 de junio de 1999). "Protocolo de estado de certificado en línea - OCSP". Grupo de Trabajo de Ingeniería de Internet . doi :10.17487/RFC2560. Archivado desde el original el 25 de agosto de 2011 . Consultado el 20 de octubre de 2018 .
36. "Requisitos básicos". Foro CAB. Archivado desde el original el 20 de octubre de 2014 . Consultado el 1 de noviembre de 2021 .
37. Korzhitskii, N.; Carlsson, N. (30 de marzo de 2021). "Estados de revocación en Internet". Medición Pasiva y Activa . Apuntes de conferencias sobre informática. vol. 12671. págs. 175-191. doi :10.1007/978-3-030-72582-2_11. ISBN 978-3-030-72581-5. Consultado el 10 de enero de 2024 .
38. "Administrar certificados de cliente en dispositivos Chrome: ayuda de Chrome para empresas y educación". soporte.google.com . Archivado desde el original el 9 de febrero de 2019 . Consultado el 20 de octubre de 2018 .
39. Pusep, Stanislaw (31 de julio de 2008). "The Pirate Bay sin SSL" (PDF) . Archivado (PDF) desde el original el 20 de junio de 2018 . Consultado el 20 de octubre de 2018 .
40. "Cifrado fuerte SSL/TLS: preguntas frecuentes". apache.org . Archivado desde el original el 19 de octubre de 2018 . Consultado el 20 de octubre de 2018 .
41. Lawrence, Eric (22 de octubre de 2005). "Próximas mejoras de HTTPS en Internet Explorer 7 Beta 2". Microsoft . Archivado desde el original el 20 de septiembre de 2018 . Consultado el 20 de octubre de 2018 .
42. "Indicación del nombre del servidor (SNI)". dentro de la cabeza de Aebrahim . 21 de febrero de 2006. Archivado desde el original el 10 de agosto de 2018 . Consultado el 20 de octubre de 2018 .
43. Pierre, Julien (19 de diciembre de 2001). "Soporte del navegador para la indicación del nombre del servidor TLS". Bugzilla . Fundación Mozilla. Archivado desde el original el 8 de octubre de 2018 . Consultado el 20 de octubre de 2018 .
44. "sslstrip 0,9". Archivado desde el original el 20 de junio de 2018 . Consultado el 20 de octubre de 2018 .
45. Shuo Chen; Rui Wang; Xiao Feng Wang; Kehuan Zhang (20 de mayo de 2010). "Fugas de canal lateral en aplicaciones web: una realidad hoy, un desafío mañana". Investigación de Microsoft . Simposio IEEE sobre seguridad y privacidad 2010. Archivado desde el original el 22 de julio de 2018 . Consultado el 20 de octubre de 2018 .
46. Guaay, Matthew (21 de septiembre de 2017). "Cómo forzar la apertura de una página de inicio de sesión de una red Wi-Fi pública". Archivado desde el original el 10 de agosto de 2018 . Consultado el 20 de octubre de 2018 .
47. "Nunca SSL". Archivado desde el original el 1 de septiembre de 2018 . Consultado el 20 de octubre de 2018 .
48. Paredes, Colin (2005). Software integrado: las obras. Newnes. pag. 344.ISBN _ 0-7506-7954-9. Archivado desde el original el 9 de febrero de 2019 . Consultado el 20 de octubre de 2018 .
49. "Una Web segura llegó para quedarse". Blog de cromo . Archivado desde el original el 24 de abril de 2019 . Consultado el 22 de abril de 2019 .

enlaces externos

• RFC 8446: Protocolo de seguridad de la capa de transporte (TLS) versión 1.3