Proyecto final elo323: Protocolo

de seguridad HTTPS

Integrantes: - Marcel Barraza - Cristian Campos

- Andrés Medina

¿Porqué nace HTTPS?● Internet es por esencia inseguro.

● Ha medida que internet fue evolucionando fue entregando servicios nuevos como transacciones comerciales, manejo de cuentas comerciales, venta de productos, entre otros.

● Nace la necesidad de crear un protocolo que sea seguro y que soporte los nuevos servicios.

Soluciones a este problema

●SSL: Secure Sockets Layer desarrollado por Netscape para asegurar confidencialidad, autenticación, e integridad usado por HTTPS.

●S-HTTP: Secure HyperText Transfer Protocol desarrollado por E. Rescorla y A. Schiffman de Enterprise Integration Technologies (EIT). es la evolución de SSL.

●TLS:Transport Layer Security

●PCT , SET, Cybercash, entre otros.

Soluciones a este problema

Luego HTTPS se vale de los protocolos antes mencionados SSL o TLS para proveer canal de cifrado para la transferencia de hipertexto en internet.

HTTPS

HTTPS

HTTPS (Hypertext Transfer Protocol Secure), es una combinación del protocolo HTTP y protocolos criptográficos. Se usa para conexiones más seguras en el WWW. Algunos de sus usos principales son la transferencia de información sensible como claves, transacciones comerciales, en internet.

HTTPS

La idea principal del protocolo es crear un canal seguro sobre una red insegura.La confianza viene dada por la autoridad certificadora preinstalada en el software del navegador.

Características Técnicas

Cifrado basado en SSL/TLS para crear un canal cifrado, nivel de cifrado depende del servidor remoto y del navegador utilizado.Trabaja en puerto 443.Trabaja en capa de aplicaciones, pero el protocolo de seguridad opera en la capa de red, donde cifra y descifra todo los mensajes recibido.

HTTP vs HTTPS

HTTP: Utiliza como defecto el puerto número 80, y las URLs comienzan en forma de http://, es inseguro contra ataques de man-in-the-middle y eavesdropping.HTTPS: Utiliza como defecto el puerto número 443, y las URLs comienza de la forma https://, esta diseñado para resistir esos ataques y ser seguro.

Ejemplos

Demostración práctica del funcionamiento de HTTPS

-Idea: Verificar de alguna forma el funcionamiento de HTTPS en la práctica.

- Para esto, se optó por captar y analizar los paquetes de datos de una conexión HTTPS, utilizando la herramienta wireshark.

Demostración practica de HTTPS : Resultados

Diagrama teórico conexión HTTPS, usando SSL/TLS :

handshake: ClientHello

handshake: ServerHello

handshake: Certificate

handshake: ServerHelloDone

handshake: ClientKeyExchangeChangeCipherSpec

handshake: Finished

ChangeCipherSpec

handshake: Finished

application_data

application_data

Demostración practica de HTTPS : Resultados

Paquetes captados utilizando herramienta wireshark :

Estructura y datos de paquetes HTTPS en la practica:

Paquetes captados utilizando herramienta wireshark :

Client Hello: Métodos de compresión soportados por el cliente

Estructura y datos de paquetes HTTPS en la practica:

Paquetes captados utilizando herramienta wireshark :

Server Hello, Certificate, ServerHelloDone: Client Key Exchange, Change cipher Spec, Encrypted Handshake Message:

Conclusiones

-HTTPS soluciona la problemática inicialmente planteada por medio de la utilización de protocolos de seguridad como SSL o TLS.

- Actualmente HTTPS trabaja mayormente bajo TLS, la versión evolucionada de SSL.

- Se pudo comprobar de manera practica la estructura de comunicación y forma de los paquetes que posee el protocol HTTPS.

¿PREGUNTAS?