¿Hay alguna diferencia entre HTTP y HTTPS cuando uso mi casa / mi propia conexión a Internet?

TLS proporciona tres cosas:

• Confidencialidad: que nadie puede ver el tráfico entre usted y facebook.com (incluido el tipo en la siguiente tabla en Starbucks, su ISP, algunos equipos de red incompletos en el centro de datos TOSOS NSA , nadie).
• Integridad: que nadie está modificando los mensajes mientras viajan entre usted y facebook.com (esto es independiente de la Confidencialidad porque algunos tipos de ataques le permiten modificar el mensaje de manera maliciosa, incluso si no lo hace) No sé cuáles son los mensajes).
• Autenticación: está hablando con el servidor facebook.com auténtico, no con una versión falsificada.

  

La idea básica que obtuve de ellos es que, al usar https, todas las cosas se cifran en el lado del cliente y luego se envían al servidor. (Por favor corríjame si estoy equivocado)

Esto cubre las partes de confidencialidad e integridad, pero falta la parte de autenticación:

  

Para demostrar que no estás hablando con un servidor web falso.

Supongamos que configuro una versión de phishing de Facebook y de alguna manera hackeo el enrutador de su casa (fácil) o ISP (más difícil) para que cuando escriba facebook.com se resuelva en mi dirección IP en lugar de la real. He creado una copia exacta de la pantalla de inicio de sesión que espera e ingresará su nombre de usuario y contraseña. Muahaha! Ahora tengo su nombre de usuario y contraseña.

¿Cómo previene esto HTTPS? Respuesta: con Certificados:

SiabrimoselcertificadoenDevToolsdeminavegador>Seguridad,veremosesto:

DigiCertesloquesedenomina Autoridad de certificación (CA) de confianza pública . De hecho, DigiCert es una de las entidades de certificación en las que su navegador confía de forma inherente porque su "certificado raíz" está incrustado en el código fuente de su navegador. Puede ver la lista completa de entidades emisoras de certificados raíz de confianza buscando en la configuración del navegador y buscando "Certificados" o "Raíces de confianza" o algo así.

Por lo tanto, su navegador confía de forma inherente en DigiCert y, a través de este certificado, DigiCert ha certificado que el servidor con el que está hablando es el facebook.com real (porque tiene la clave privada que coincide con el certificado). Obtienes el candado verde y sabes que todo está bien.

Sólo por diversión, hagamos un facebook.com falso. Agregué esta línea a mi archivo de hosts para que cada vez que escriba facebook.com redirija a la dirección IP de google.com :

209.85.147.138  facebook.com

Google, ¿qué estás haciendo para intentar robar mi contraseña de Facebook? ¡Gracias a Dios que HTTPS está aquí para protegerme! Mi navegador está muy descontento porque el certificado que se presentó (para google.com ) no coincide con la URL que solicitó ( facebook.com ). Gracias HTTPS!

Respuesta corta:

HTTPS tiene la intención de establecer una conexión segura entre un sitio web registrado y su computadora de usuario, por lo que puede estar seguro de que el sitio visitado es realmente lo que quería visitar, y los datos no se adquieren / alteran en tránsito.

Long anser:

Si lo entendí correctamente, su idea básica es que solo un administrador de la red puede monitorear su actividad y no hay nada de eso en casa. Este no es el caso.

Cualquier individuo, grupo, compañía (ISP) o estado puede ver y alterar el tránsito y, por lo tanto, infectar su computadora. Hoy en día, Internet es más bien una ciberwarzona, donde las entidades mencionadas a menudo atacan incluso a sus aliados para robar información = dinero = poder, ganar control, amenazar o dañar físicamente a las personas a través de la piratería informática. Incluso las herramientas estatales están disponibles para individuos en el mercado negro. Las herramientas / malware persistentes sobreviven al cambiar el disco duro, para que puedan monitorearlo / dañarlo a largo plazo.

El problema con https es que también puede ser hackeado de muchas maneras, por lo que le da una falsa sensación de seguridad, lo que podría ser más peligroso.

Esta es la razón por la cual es importante usar https, siempre que pueda, y también preocuparse por la seguridad del sistema. Puede descargar extensiones para que los navegadores lo dirijan automáticamente a los sitios HTTPS, cuando sea posible.

Las otras respuestas son buenas hasta ahora. Agregaré un ángulo más: Internet es una malla de enrutadores sin conexión; El router wifi de tu casa es solo uno de ellos. Cualquier conexión HTTP que realice a un servidor web en otro lugar de la red normalmente toma una ruta a través de una docena de enrutadores para llegar allí. Ese camino cambia frecuentemente dependiendo de las condiciones de la red; No puedes predecir qué enrutadores usarás. Cada uno de estos enrutadores es propiedad y está administrado por una persona o compañía diferente [1].

Todas esas personas tienen la capacidad de ver sus datos a medida que pasan. Podrían hacer esto de forma rutinaria, en situaciones no maliciosas, durante el curso de la resolución de problemas diaria, porque esa malla de enrutadores necesita supervisión y administración constantes para que siga funcionando; este esfuerzo abarca varios campos de carrera solo. (Las personas que eligen estos campos profesionales tienden a ser bastante inflexibles acerca de la buena seguridad y tienden a tomar en serio su responsabilidad social, pero lo único que los mantiene fuera de sus datos en un sentido práctico es su propia conciencia y reputación).

Entonces, el equipo, el software y la capacidad ya están allí; Todo lo que un malo debe hacer es cooptar el enrutador o el sistema de monitoreo de otra persona.

Las conexiones HTTPS toman la misma ruta, pero como están cifradas, solo el administrador del servidor web puede ver el contenido de texto sin cifrar; Los administradores del enrutador solo verán lo que parece ruido aleatorio. (El propio servidor web puede estar comprometido, pero ese es un problema diferente).

[1] Jugar con el comando traceroute o tracert te dará una idea de cómo pueden ser estas rutas.

Con HTTP, la información fluye a través de esta tubería entre su computadora y el servidor:

Deizquierdaaderecha:sucomputadora,elespacioaéreoquerodeaasucomputadoraysuenrutadorwifi,suenrutador,elcableasucajaISPlocal,sucajaISPlocal,unavastareddedispositivosycablesquedesconoceynotienecontrolsobrelacajaISPlocaldelservidor,elcablealservidoryelservidormismo.

Encualquierlugardelárearoja,lainformaciónpuedeserrastreadaymanipulada.Cualquieraquecontroleunadelascajasrojaspuedehusmearymanipularlainformación.Cualquierapuederomperunodelosconductosrojosyobteneraccesoalainformaciónquefluyeatravésdeélyrastrearloomanipularlo.

Suinformaciónsoloestáseguradentrodelascajasytuberíasverdesyazules.

ConHTTPS,lainformaciónfluyeatravésdeestacanalización:

Su computadora y el servidor establecen una tubería virtual que no se puede abrir, y la ejecutan a través de todas las tuberías y cajas entre sí. Ahora su información está segura en todos los puntos en tránsito.

Sí, hay una gran ventaja al utilizar HTTPS sobre HTTP.

1. HTTP no está no cifrado a través de PKI, y como tal, toda la información se pasa a través de texto sin formato, legible por un detector de paquetes y por cada parte del equipo por el que pasan los paquetes una vez que salen del módem.
2. Con HTTP, no hay forma de que uno sepa si el propietario del sitio es quién dice que son y, como tal, no hay manera de que uno sepa si está siendo sometido a un ataque MITM.
   • Por esta razón, se recomienda utilizar siempre HTTPS si un sitio lo ofrece, ya que esta es la única manera en que un usuario puede confiar en que el contenido que se está sirviendo no se ha alterado.

Con HTTPS, toda la información enviada y recibida se cifra a través de PKI, como mínimo con una clave de cifrado de 1024 bits / equivalente y hash SHA256, sin embargo, muchos sitios han cambiado a 2048 bits / equivalente, y es más probable que cualquier inicio de sesión de procesamiento del sitio no se use. una clave de cifrado de 2048 bits / equivalente.

• Por ejemplo, al utilizar HTTP, todos los equipos por los que pasan esos paquetes pueden leer exactamente qué información se está enviando y recibiendo (esto incluye contraseñas, números de cuenta y de CC, etc.); sin embargo, si utiliza HTTPS, todo lo que se podría leer sería la información del encabezado.

Su pregunta también surge mucho con las WebUI del enrutador en las LAN, y aunque el tráfico nunca sale de la red local, debe accederse a él solo a través de HTTPS, de lo contrario, todas las contraseñas, incluidas las de raíz, se enviarán como texto simple.

• No importa si una persona es la única en / acceder a su red local ... si las contraseñas / información confidencial se deben enviar / recibir, HTTPS siempre debe acceder a ellas, especialmente cuando solo se necesita una unos minutos para generar una CA o CA / ICA autofirmada , y usar la CA o ICA para firmar una CSR para el servidor.

Incluso si no te importa demasiado la posibilidad de que tu ISP / gobierno sea malvado, hay al menos dos ataques que son fáciles de realizar contra tu conexión doméstica para que HTTPS sea lo único que proteja tus datos:

• El ataque doble malvado donde alguien configura un enrutador wifi con el mismo nombre que el tuyo pero con una señal más potente, para que termines conectándote a ellos en lugar de a tu propio enrutador wifi (las configuraciones wifi típicas del hogar solo incluyen una Autenticación: el equipo portátil prueba su identidad con la contraseña, pero el enrutador no tiene que demostrarlo por sí mismo.
• El secuestro del enrutador, que suele ser fácil: el software del enrutador tiende a ser inseguro, y no hay un proceso de actualización de seguridad, por lo que una vez que se descubre una vulnerabilidad para su versión específica del enrutador, su enrutador permanece vulnerable para siempre. Hay varias herramientas listas para usar e incluso malware automatizado que se dirige a los enrutadores. P.ej. este ataque ocurrió hace unos meses.