Mantener la seguridad y privacidad cuando navegamos por Internet podemos decir que es algo fundamental. Nuestros datos personales pueden verse comprometidos y podemos sufrir ataques cibernéticos muy diversos. Simplemente con entrar en una web, podemos ser víctimas de ciertos ataques. Ahí es donde entra en juego utilizar protocolos como HTTPS, que llegó para hacer más seguro el anterior HTTP. Ahora bien, ¿podemos tener un Internet aún más seguro? En este artículo vamos a hablar de HTTPA y de cómo funciona.
HTTPA, el sucesor de HTTPS para más seguridad
Hoy en día HTTPS es el principal protocolo que utilizan las aplicaciones y páginas web. Ofrece una conexión rápida, segura y también podemos decir que privada. No obstante, tiene ciertas limitaciones que hacen que no sea un protocolo perfecto en cuanto a seguridad y privacidad, por lo que puede ser mejorado.
Gracias a HTTPS, cuando visitamos una página web podemos verificar que ese servicio corresponde a la entidad legítima, algo que aporta seguridad y confianza. Sin embargo, ese protocolo no verifica el comportamiento real de ese servicio. Incluso si ese servicio publicara el código fuente, realmente no habría forma de saber si se está ejecutando o no ese código y, por tanto, no hay ningún peligro. No existe forma de saber si realmente los datos van a ser tratados de una forma, más allá de confiar en ese servicio y en su comportamiento.
Ahora, un grupo de investigadores de seguridad han ideado lo que llaman HTTP Attestable o HTTPA. Utiliza como base HTTPS, pero con mejoras para hacer que sea más fiable y seguro. ¿Qué significa esto? Básicamente una prueba de lo que mencionábamos anteriormente: vamos a poder saber si ese servicio en concreto realmente actúa como se presupone y podemos verificar el comportamiento.
Con esto evitamos tener que confiar de manera ciega en una página web, aunque sea HTTPS, y realmente ver cómo actúa. Es un plus más de confianza, una manera de saber que un servicio es fiable y reducir aún más la posibilidad de sufrir algún tipo de ataque cibernético o robo de datos al navegar. Hay que tener en cuenta que HTTPS tiene limitaciones de seguridad, aunque se trate de un protocolo muy extendido y fiable hoy en día.
Cómo funciona este protocolo
Podemos decir que HTTPA funciona gracias a que el usuario final puede verificar las garantías de un servidor al que está accediendo. Básicamente la persona que entra en esa página o servicio online puede verificar si realmente es un servidor de confianza o no. De esta forma puede decidir si es fiable y entra o, por el contrario, no es de confianza.
Hay que mencionar que HTTPA hereda partes claves de HTTPS, como es el uso de TLS y verificación de identidad del host mediante certificado. Pero además de eso, ofrece una garantía adicional de lo que llaman atestación o verificación remota. Esto va a permitir que el protocolo HTTPA que el usuario final, el cliente, únicamente confíe en aquello que ve seguro y tener su propia lista de bloqueos.
El objetivo final de HTTPA es reducir aún más la superficie de ataque que puede suponer un riesgo al usar HTTPS. Básicamente mejorar la seguridad de un protocolo muy extendido y que hoy en día es fiable, para poder reducir el riesgo de sufrir ataques cibernéticos.
Actualmente podemos decir que HTTPS proporciona acceso a los servicios con seguridad, pero sin ser confiables por lo que hemos explicado. Un atacante podría realizar ataques de privilegios para controlar una sesión, por ejemplo. De esta forma puede comprometer el canal seguro entre el servidor y el cliente. En cambio, con HTTPA podemos lograr un acceso al servicio seguro y confiable. Un atacante no podría piratear con facilidad las claves de sesión y es más difícil que pueda romper la privacidad y seguridad del cliente al acceder al servidor.
En definitiva, HTTPA aparece como un nuevo protocolo que aspira a convertirse en el sucesor de HTTPS para lograr una mayor seguridad y privacidad al navegar por Internet. Puedes ver toda la documentación y su funcionamiento.
Fuente obtenida de: https://www.redeszone.net/noticias/seguridad/httpa-protocolo-navegar-seguridad/
