Si hago clic en un enlace de descarga en una página que usa ssl, ¿la descarga también usará ssl?
Si la respuesta no es (o: a veces sí, a veces no): ¿hay alguna forma de forzarla para que sea protegida?
Lo pregunto porque la descarga de un programa y su manipulación en el camino puede ser tan mala, si no peor, que tener una página web o mi solicitud, manipulada o interceptada.
Cuando "descargas desde una página", esto significa que en realidad estás siguiendo un enlace. En algún lugar de la fuente HTML de la página está el enlace que indica dónde se encuentra realmente el archivo.
La descarga utilizará HTTPS si el enlace lo dice; Utilizará HTTP si el enlace lo dice. El hecho de que la página se haya obtenido con SSL es bastante ortogonal: una página obtenida a través de SSL puede contener un enlace no SSL y viceversa. Si el enlace es un "enlace básico", entonces al permitir que el cursor de su mouse "pase el cursor" sobre el enlace, su navegador podrá mostrar en algún lugar de la barra de estado (tradicionalmente en la parte inferior de la ventana) qué URL realmente usará cuando haga clic; De esa manera, puede ver si la descarga usará SSL o no.
(Si el enlace en la página HTML es relativo , no especifica un nombre de servidor o protocolo, y apunta a un archivo en el mismo servidor - entonces el mismo protocolo que el se utilizará para obtener la página HTML. Sin embargo, también se puede especificar un "enlace completo", que incluirá un protocolo explícito, que será https:// o http:// , para, respectivamente, SSL y no SSL. )
Editar: un ejemplo de "flotar":
Cuandocolocomimousesobreelenlace"Windows Installer (64-bit)", el navegador muestra en la parte inferior el enlace que se seguirá para esta descarga. Esa URL comienza con https:// , por lo que la descarga utilizará SSL.
(El navegador aquí es Chromium en Linux; los detalles de los enlaces que se muestran dependen del sistema operativo y del navegador).
Algunos paquetes de software pueden beneficiarse de una protección adicional. Por ejemplo, los paquetes de instalación para Windows pueden estar firmado ; La firma le brinda cierta garantía contra la modificación de los datos en tránsito, independientemente de cómo haya obtenido el archivo. Otro método tradicional es con valores hash: un sitio web con SSL hace una lista de los hashes de los archivos (con alguna función de hash como MD5); puede volver a calcular el hash en lo que descargó y ver si coincide con los valores del sitio web (consulte esta página para obtener una Por ejemplo, en el caso de las imágenes ISO para el CD / DVD de instalación para el sistema operativo Ubuntu).
Estos métodos permiten desacoplar el método de transferencia de la verificación. De esa manera, puede obtener los archivos de medios eficientes (por ejemplo, un protocolo peer-to-peer) y, a la vez, verificar que obtuvo lo auténtico.
Si el enlace es relativo, entonces sí, utilizará el SSL. Si el enlace es absoluto, utilizará el valor codificado, que podría ser http o https.
No puede forzar su protección porque algunos sitios no admiten SSL, ya que requiere un certificado y una configuración adicional del servidor.
No siempre y la mayoría de las veces hay poco que puedas hacer.
Primero lo primero. ¿Qué estás descargando que tiene que ser seguro? Si es una imagen de tu familia entonces bien. Si es un software de prueba, entonces olvídalo, a quién le importa. Explico por qué digo esto en uno de los comentarios a continuación.
Los sitios web pequeños tendrán los archivos en el mismo servidor en el que están ubicadas las páginas del sitio web, por lo que es muy probable que sean https. Para estar seguro, coloque el cursor del mouse sobre el enlace y observe la barra de estado.
Los sitios web grandes utilizan múltiples redes de distribución de contenido y puede ser https o no. Realmente depende del nivel de servicio que tienen con la red de distribución.
La forma más fácil de estar seguro es hacer clic derecho en el enlace y copiarlo. Péguelo en la barra de direcciones y agregue la s después de http si aún no está allí. Si recibe un error, el servidor de descarga no tiene un certificado instalado y no hay otra opción.
Lea otras preguntas en las etiquetas web-browser network tls