La importància creixent del protocol HTTPS

  • Joan Jofra explica aquesta setmana a l'Internauta les diferències entre l'HTTP i l'HTTPS

VilaWeb

Redacció

26.03.2016 - 02:00

Si dic HTTP, gairebé a tothom li vindrà al cap la part inicial de les adreces que fan referència a una web. Perquè encara que no ho escrivim nosaltres, el nostre navegador ho afegeix si no ho fem. Així que per anar a VilaWeb, l’adreça completa que envia el nostre navegador al servidor és http://vilaweb.cat

Fixeu-vos, d’una altra banda, que no he escrit www: al principi es feia servir www per deixar clar que volíem veure una adreça web i, de fet, els més vells recordaran que també hi havia llocs gopher i ftp (que encara resisteixen). Una web ben programada respondrà tant si hi poseu les tres www al davant com si no.

Tot això era per parlar d’un protocol d’internet tan vell com l’HTTP i que cada vegada és més important, l’HTTPS, que és el protocol de comunicació entre el nostre navegador i el servidor per veure i enviar dades de manera segura (per això hi ha la S final).
Però no sols encripta les comunicacions, també us assegura que us esteu connectant al lloc que us voleu connectar, no a un lloc fals. Això s’aconseguexi perquè per fer servir el protocol segur, al servidor li cal un certificat que indica qui és el propietari del lloc web. Així que a més d’assegurar la comunicació bidireccional, el protocol us informa de qui és el propietari del lloc web.
I per què en parlem, avui?
Doncs perquè Google ha decidit que marcarà en un futur negativament els llocs web amb problemes de seguretat o amb problemes amb els certificats de seguretat: en unes altres paraules, que marcarà negativament totes les webs que no tinguin comunicació encriptada segura. Perquè vol que totes les webs siguin encriptades. I no us penseu que això és nou: Google ja ho va dir el 2014.
Encrypt All The Things és una campanya que vol promoure justament que les webs abandonin el sistema HTTP i que facin servir el sistema segur de l’HTTPS.
Aquesta campanya té aliats molt potents, més enllà del potent Google: també hi ha Apple, Mozilla, Twitter, Dropbox, Facebook, Microsoft i Yahoo!, a més del govern dels Estats Units, que obliga que tots els llocs web governamentals (els que acaben amb .gov) siguin HTTPS abans que s’acabi el 2016.
Els de Mozilla, que també en són molt actius, han publicat una sèrie de reportatges sobre la necessitat d’encriptació pels periodistes perquè, diuen, ‘l’encriptació no tan sols protegeix la intimitat, sinó que també permet la lliure expressió’.
Com funciona?
Per anar a un lloc web HTTPS expressament haurem d’escriure https:// o bé, si el lloc és ben programat, escriurem simplement l’adreça i el servidor s’encarregarà de redirigir-nos al lloc HTTPS.
Feu-ne la prova amb Google: poseu a la barra d’adreces del vostre navegador Google.com, sense res més, i veureu com acabeu a https://www.google.com
En el moment de fer la connexió entre el nostre navegador i el servidor, el certificat SSL crea una connexió encriptada. A continuació apareix un cadenat a la barra d’adreces del navegador i apareix https:// perquè nosaltres veiem que tot funciona de manera segura. Si el servidor té un certificat EV (‘Extended Validation’ o validació ampliada) la barra i el cadenat seran de color verd.
El nostre navegador verifica que el certificat sigui correcte, és a dir, que sigui emès pel lloc web que veiem, que no hagi caducat i que hagi estat emès per una empresa de confiança.
Si voleu comprovar que el vostre lloc web és ben configurat podeu passar la prova de Qualys SSL Labs, que us dirà si compliu tots els requeriments o si una web que visiteu els compleix. Si sou curiosos, molt curiosos, poseu l’adreça de l’Agencia Española de Protección de Datos (AEPD), la que teòricament ha de vetllar per la seguretat de les nostres dades i veureu que tenen una qualificació F, la pitjor que es pot obtenir…
Identitat del lloc web
Un certificat, el podem fer nosaltres mateixos: és el que s’anomena certificat autofirmat. Aquest certificat ja compleix la primera funció, encriptar les dades, però el nostre navegador ens avisarà que el servidor no és reconegut per ningú excepte per nosaltres i, normalment, ens dirà que no ens en refiem, si nosaltres no som importants. Els de Google certifiquen ells mateixos que són Google i, en aquest cas, sí que tothom s’ho creu.
Si volem un certificat reconegut, haurem d’anar a alguna entitat certificadora, semblants a les entitats certificadores que reconeixen la nostra identitat a internet: les entitats certificadores de llocs web o empreses que certifiquen qui és i qui hi ha al darrere d’una web.
Els més barats emetent certificats són els de Let’s Encrypt, insuperables si feu servir GNU/Linux. Són gratuïts i amb un sistema de certificació i posada en marxa molt senzill. A continuació hi ha els de Comodo, que podeu comprar a Don Dominio: ofereixen els primers noranta dies gratuïts i, una vegada provat i demostrat que funciona, pagant 5,95 euros l’any tindreu el certificat Comodo Postiive SSL.
Si aneu a la pàgina de certificats de Don Dominio veureu que des de 5,95 euros a 279,95 euros l’any teniu molt per a escollir, i són només els que venen ells! Els més cars són els emesos per entitats certificadores reconegudes directament pel vostre navegador i que també són reconeguts pels usuaris.
Ara, si voleu el famós cadenat verd que surt a la barra de navegació, el que garanteix no sols que la comunicació és encriptada sinó que l’entitat emissora ha comprovat qui sou i certifica que sou qui sou, el que s’anomena validació ampliada, us costarà com a mínim 126,95 euros. Com podeu imaginar, els venedors de certificats diuen que la barra verda fa augmentar la confiança dels clients…
Més costs
Un cost addicional que heu de tenir en compte quan penseu que voleu tenir un certificat SSL per a identificar el vostre web és el de l’adreça IP específica, perquè així com el protocol HTTP permet de tenir moltes webs en una mateixa adreça IP i repartir-ne el cost entre tots els usuaris, el protocol HTTPS exigeix que només hi hagi una web i només una a la mateixa adreça IP.
No n’he parlat, però els qui han hagut de configurar un servidor amb un certificat SSL saben que no és una tasca fàcil. Vosaltres, com a usuaris, penseu que la vida a internet us serà molt més fàcil i segura.

Us proposem un tracte just

Esperàveu topar, com fan tants diaris, amb un mur de pagament que no us deixés llegir aquest article? No és l’estil de VilaWeb.

La nostra missió és ajudar a crear una societat més informada i per això tota la nostra informació ha de ser accessible a tothom.

Això té una contrapartida, que és que necessitem que els lectors ens ajudeu fent-vos-en subscriptors.

Si us en feu, els vostres diners els transformarem en articles, dossiers, opinions, reportatges o entrevistes i aconseguirem que siguin a l’abast de tothom.

I tots hi sortirem guanyant.

per 75 € l'any

Si no pots, o no vols, fer-te'n subscriptor, ara també ens pots ajudar fent una donació única.

Si ets subscriptor de VilaWeb no hauries de veure ni aquest anunci ni cap. T’expliquem com fer-ho

Recomanem

Fer-me'n subscriptor