servicio - Diferencia entre el protocolo https y el certificado SSL

Dos piezas de una solución.

https es el protocolo que define cómo el cliente y el servidor van a negociar una conexión segura.

El Certificado SSL es el documento que utilizarán para acordar la autenticidad de los servidores.

HTPS es el nuevo HTTPS. HTTPS es altamente vulnerable a SSL Stripping / MITM (hombre en el medio). para citar el violet imperial de adam langley (google) blog:

"HTTPS tiende a provocar que las personas den charlas burlándose de la seguridad de los certificados y del ecosistema que los rodea".

El problema es que la página no se sirve a través de HTTPS. Debería haber sido así, pero cuando un usuario escribe un nombre de host en un navegador, el esquema predeterminado es HTTP. El servidor puede intentar redirigir a los usuarios a HTTPS, pero esa redirección es insegura: un atacante de MITM puede reescribirla y mantener al usuario en HTTP, simulando el sitio real todo el tiempo. El atacante ahora puede interceptar todo el tráfico a este sitio web perfectamente configurado y seguro.

Esto se llama eliminación de SSL y es terriblemente simple y devastadoramente efectivo. Probablemente no lo veamos con frecuencia porque no es algo que los poderes corporativos deban hacer, por lo que no está en dispositivos estándar. Pero es poco probable que ese respiro dure mucho tiempo y quizás ya haya terminado: ¿cómo sabríamos siquiera si se estaba utilizando?

Para detener la eliminación de SSL, debemos hacer que HTTPS sea el único protocolo. No podemos hacer eso para todo Internet, pero podemos hacerlo sitio por sitio con HTTP Strict Transport Security (HSTS).

HSTS le dice a los navegadores que siempre realicen solicitudes a través de HTTPS a los sitios de HSTS. Los sitios se convierten en HSTS ya sea al estar integrados en el navegador o al anunciar un encabezado:

Strict-Transport-Security: max-age = 8640000; includeSubDomains

El encabezado está en vigor durante el número de segundos especificado y también puede aplicarse a todos los subdominios. El encabezado se debe recibir a través de una conexión HTTPS limpia.

Una vez que el navegador sabe que un sitio es solo HTTPS, el usuario que escribe mail.google.com está seguro: la solicitud inicial usa HTTPS y no hay ningún agujero para que un atacante lo explote.

(mail.google.com y una serie de otros sitios ya están integrados en Chrome como sitios de HSTS, por lo que no es posible acceder a accounts.google.com a través de HTTP con Chrome, ¡tuve que importarme esa imagen! Si desea ser incluido en la lista incorporada de HSTS de Chrome, envíame un correo electrónico).

HSTS también puede protegerlo, el webmaster, de cometer errores tontos. Supongamos que le ha dicho a su madre que siempre debe escribir https: // antes de ir a su sitio bancario o tal vez configurar un marcador para ella. Honestamente, es más de lo que podemos o deberíamos esperar de nuestros usuarios. Pero digamos que nuestro usuario supererogatorio ...]

debido a obstructivas / muy estúpidas reglas de enlace para nuevos usuarios en , no puedo darte el resto de la respuesta de Adam y tendrás que visitar el blog de Adam Langley en https://www.imperialviolet.org/2012/07/19/hope9talk.html

"Adam Langley trabaja tanto en la infraestructura de servicio HTTPS de Google como en la red de Google Chrome".

HTTPS es HTTP (Protocolo de transferencia de hipertexto) más SSL (Secure Socket Layer). Necesita un certificado para usar cualquier protocolo que use SSL.

SSL permite que los protocolos arbitrarios se comuniquen de forma segura. Permite a los clientes (a) verificar que efectivamente se están comunicando con el servidor que esperan y no un hombre en el medio y (b) encriptar el tráfico de red para que otras partes que no sean el cliente y el servidor no puedan ver la comunicación.

Un certificado SSL contiene una clave pública y un emisor de certificado. Los clientes no solo pueden usar el certificado para comunicarse con un servidor, sino que los clientes pueden verificar que el certificado fue firmado criptográficamente por una autoridad certificadora oficial. Por ejemplo, si su navegador confía en la autoridad de certificación VeriSign y VeriSign firma mi certificado SSL, su navegador confiará inherentemente en mi certificado SSL.

Hay algunas buenas lecturas aquí: http://en.wikipedia.org/wiki/Transport_Layer_Security

HTTPS es un protocolo de capa de aplicación. Puede proporcionar no repudio de solicitudes o respuestas individuales a través de firmas digitales.

SSL es un protocolo de nivel inferior y no tiene esta capacidad. SSL es un cifrado de nivel de transporte.

HTTPS es más flexible que SSL: una aplicación puede configurar el nivel de seguridad que necesita. SSL tiene menos opciones, por lo que es más fácil de configurar y administrar.