Академический Документы
Профессиональный Документы
Культура Документы
<-- archivo index.html que contiene la página principal del sitio -->
Se ha recortado la respuesta del servidor web a la parte interesante de la misma.
Como se ve, en primer lugar el servidor informa del éxito de la petición (200 OK) y de
la versión del protocolo que conoce (HTTP/1.1). También indica la fecha y hora en el
servidor (Date) y la versión y módulos del servidor web (Server).
Lo realmente interesante es la cabecera Content-Type, que le dice al navegador el tipo
de contenido que viene a continuación (text/html) seguido del contenido propiamente
dicho (el archivo index.html en el directorio base del servidor web). Si en lugar de pedir
una página en formato HTML se solicita un recurso binario, como por ejemplo un
archivo gráfico, la respuesta será de la forma siguiente:
HTTP/1.1 200 OK
Date: Sun, 10 Nov 2002 23:15:31 GMT
Server: Apache/1.3.26 (Unix) mod_bwlimited/1.0 PHP/4.2.2
mod_log_bytes/0.3
FrontPage/5.0.2.2510 mod_ssl/2.8.9 OpenSSL/0.9.6b
Last-Modified: Fri, 01 Nov 2002 12:23:38 GMT
ETag: "23c32f-171cb-3dc2724a"
Accept-Ranges: bytes
Content-Length: 94667
Content-Type: image/png
Age: 131
Una respuesta como la primera, pero en este caso se indica que a continuación viene
el contenido de un archivo binario en formato PNG, el tamaño en octetos del archivo, y
la fecha de su última modificación. Esta fecha, y el valor de las etiquetas ETag son
usados por los cachés de protocolo HTTP para decidir si almacenar o no en su
memoria y disco el recurso al cual se refieren, por considerarlo más reciente que la
copia que ya tenían (en caso de tenerla). Cuando alguien vuelve a solicitar ese mismo
recurso y la caché ve la petición, devuelve al cliente la copia almacenada en su
memoria, lo cual acelera la carga del recurso y reduce la carga en los enlaces de la
red y en el servidor remoto.
Servicios HTTP 2
Evidentemente el protocolo HTTP es mucho más amplio pero sirve para saber qué
sucede desde que introducimos una URL en nuestro navegador, hasta que vemos el
resultado en pantalla. Saber estos detalles es especialmente útil a la hora de intentar
resolver problemas de navegación.
Servicios HTTP 3
La aprobación del cliente se realiza cuando éste verifica la validez del identificador
digital del servidor, desencriptándolo y utilizando su clave pública. También se suelen
autenticar fechas, URL, etc. Una vez verificada la identidad, el cliente genera una
clave aleatoria y la encripta utilizando la clave pública del servidor y el algoritmo
concertado. A continuación la envía al servidor.
En este momento ambos conocen sus respectivas claves, de forma que están listos
para intercambiar información de forma segura utilizando la clave secreta acordada y
los algoritmos específicos. Para reutilizar en otra sesión el handshake, cada servidor
asigna a cada sesión SSL un identificador de sesión único, guardado en caché, que
utilizará el cliente para futuras conexiones.
Hay que señalar que, a pesar de utilizar claves de 128 bits, se han conseguido
rupturas de la seguridad, lo que indica que información muy sensible (como
transacciones que impliquen grandes cantidades de dinero) no están absolutamente
seguras utilizando protocolo SSL.
Cuando se abandona una sesión SSL, normalmente la aplicación presenta un
mensaje, advirtiendo que la comunicación no es segura y confirma que el cliente
desea efectivamente finalizar la sesión.
El protocolo SSL es sin duda alguna el más utilizado hoy en día en Internet,
utilizándolo casi todos los servidores de compras. Aun así, mantiene los defectos
antes mencionados: utilizar únicamente clave pública y no exigir verificación al cliente.
Servicios HTTP 4
2.2.1 Cifrado
La mejor forma de proteger la información intercambiada por la Web es utilizar la
criptografía. Las técnicas de cifrado impiden que los usuarios no autorizados puedan
acceder al contenido de un documento, y sólo el usuario destinatario puede leerlo, ya
que sólo él es, capaz de descifrarlo. Aunque, aparentemente el cifrado asimétrico es
más seguro que el simétrico, todavía presenta algunos problemas, como son:
• La clave privada debe mantenerse en secreto.
• La clave pública debe ser conocida por todas aquellos usuarios que quieran
enviar un mensaje cifrado, y para ello hay que hacerla pública, como su
nombre indica.
• Cualquier usuario puede manipular la clave pública de otro usuario, y por ese
motivo aparecen las entidades que certifican la autenticidad de la clave pública
de un usuario.
Estas técnicas de cifrado preservan la confidencialidad. Pero existen en la actualidad
técnicas que, además de garantizar la confidencialidad, también aseguran la integridad
y la autenticación. Estas técnicas se basan en la utilización de la firma digital.
NOTA:
Cifrado simétrico. En este tipo de cifrado el emisor y el receptor comparten la misma clave,
teniendo un algoritmo común para cifrar y descifrar el mensaje transmitido. La clave única hay que
compartirla y, por tanto, tiene que viajar por la red con el riesgo de que sea leída.
Cifrado asimétrico. En este tipo de cifrado el usuario utiliza dos claves, una privada que sólo él
conoce, y una pública que debe ser conocida por los usuarios que quieran enviarle un mensaje
cifrado. Cuando se envía un mensaje cifrado, se utiliza la clave pública del usuario destino para
cifrarlo. Sólo el usuario destino, que conoce la clave privada correspondiente, puede descifrar el
mensaje. Hay, por tanto, una clave (la privada) que no viaja por la red.
Servicios HTTP 5
El problema de las firmas digitales es el de siempre: el cuidado que tiene el usuario en
la protección de sus claves. De nada sirve utilizar algoritmos sofisticados y
mecanismos muy seguros si luego el usuario no es capaz de cuidar de sus claves.
Para obtener el certificado digital se
debe acudir a una autoridad
certificadora, que llevará a cabo la
identificación personal. A continuación
genera las claves, pública y privada, y
entrega al usuario la tarjeta o disquete
que contiene esta clave privada, así
como el software necesario para su
uso y que ha de instalar el usuario en
su máquina. A partir de este momento
ya se puede utilizar la firma digital
para «firmar» los documentos que
considere el usuario y a los que se le
adjunta, al ser enviados por correo
electrónico, el certificado digital
obtenido a través de la autoridad
certificadora, y que garantiza la
identidad del usuario remitente.
Esta tarjeta contiene la clave privada y lleva un chip con información relativa al titular
de dicha tarjeta, la clave pública, el mecanismo de utilización de las claves, la fecha de
emisión, el periodo de validez, el número de serie, la identificación de la autoridad
certificadora, etc. Son tarjetas personales con un código secreto que sólo conoce el
titular y, se puede decir, que son como un DNI digital.
Se puede diferenciar entre firma electrónica y firma digital. La firma electrónica utiliza
el sistema de criptografía simétrica generando una misma clave para el emisor y el
receptor. La firma digital utiliza el sistema de criptografía asimétrico generando dos
claves, pública y privada. A nivel internacional, la legislación favorece la utilización de
la firma digital por ser más segura.
Servicios HTTP 6
Algunos ejemplos de entidades de certificación son los siguientes:
• Fábrica Nacional de Moneda y Timbre (www.cert.fnmt.es/certif/): la FNMT es la
autoridad pública de certificación española (Proyecto CERES). Sus certificados
son utilizados para la relación de los usuarios con la Administración pública.
Por ejemplo, la Agencia Tributaria (http://www.aeat.es/) utiliza el certificado
emitido por la FNMT, ya que la declaración de la renta se puede presentar vía
Internet gracias a este proyecto.
• FESTE (http://www.feste.es): el Patronato de FESTE (Fundación para el
Estudio de la Seguridad de las Telecomunicaciones) está formado por el
Consejo General del Notariado, el Consejo General de la Abogacía y la
Universidad de Zaragoza. Su objetivo es garantizar las comunicaciones de tipo
electrónico, y para ello emiten tres tipos de certificados: notariales, certificados
web y certificados para ser utilizados por instituciones privadas.
• IPSCA (http://www.ipsca.es): es una empresa española que comercializa la
emisión de certificados digitales, como son los certificados de Servidor Seguro
para el comercio electrónico. También emite certificados de prueba de tres
meses de duración para firmar correos.
• VERISIGN (http://www.verisign.es): división española (creada en 2003) de la
empresa estadounidense VeriSign, pionera y líder a nivel mundial que
proporciona servicios de seguridad en Internet a empresas, tanto grandes
como medianas, y a usuarios particulares, entre ellas la emisión de certificados
digitales.
Servicios HTTP 7