HTTPA: ¿El Protocolo Sucesor De HTTPS?
Hoy en día HTTPS es el principal protocolo que utilizan las aplicaciones y páginas web. Ofrece una conexión rápida, segura y también podemos decir que privada. No obstante, tiene ciertas limitaciones que hacen que no sea un protocolo perfecto en cuanto a seguridad y privacidad, por lo que puede ser mejorado.
Gracias a HTTPS, cuando visitamos una página web podemos verificar que ese servicio corresponde a la entidad legítima, algo que aporta seguridad. Sin embargo, ese protocolo no verifica el comportamiento real de ese servicio. Incluso si ese servicio publicara el código fuente, realmente no habría forma de saber si se está ejecutando o no ese código y, por tanto, no hay ningún peligro. No existe forma de saber si realmente los datos van a ser tratados de una forma, más allá de confiar en ese servicio y en su comportamiento.
Ahora, un grupo de investigadores de seguridad han ideado lo que llaman HTTP Attestable o HTTPA. Utiliza como base HTTPS, pero con mejoras para hacer que sea más fiable y seguro. ¿Qué significa esto? Básicamente una prueba de lo que mencionábamos anteriormente: vamos a poder saber si ese servicio en concreto realmente actúa como se presupone y podemos verificar el comportamiento.
Con esto evitamos tener que confiar de manera ciega en una página web, aunque sea HTTPS, y realmente ver cómo actúa. Es un plus más de confianza, una manera de saber que un servicio es fiable y reducir aún más la posibilidad de sufrir algún tipo de ataque cibernético o robo de datos al navegar. Hay que tener en cuenta que HTTPS tiene limitaciones de seguridad, aunque se trate de un protocolo muy extendido y fiable hoy en día.
¿Qué es HTTPA?
HTTPA (HTTPS Attestable) no es más que una nueva versión de HTTPS que añade una capa extra de seguridad. Con este protocolo toda la información que se comparta se hará mediante un software seguro y en un entorno fiable (TEE). Esto es posible gracias al uso de certificados adicionales y técnicas de criptografía para garantizar que nadie pueda interceptar los datos ni que se hayan modificado durante el proceso; ya sea por parte de un usuario malintencionado o un software fraudulento.
Si en HTTPS se asume que las dos partes son de confianza y que el intercambio de información se hará de forma segura, con HTTPA se confía en el cliente pero no en el servidor. Será el cliente quien tendrá que permitir que el servidor pueda ejecutar el código, aunque no puede garantizarse que todo el servidor sea un entorno seguro. Es decir, HTTPA añade un extra de seguridad, pero sigue arrastrando algunas limitaciones de HTTPS.
¿Cómo funciona HTTPA?
Según el documento en el que se describe HTTPA [PDF], su funcionamiento se divide en tres fases:
- Una fase inicial de solicitud y respuesta de la verificación previa HTTP, se comprueba si el servidor acepta o no HTTPA.
- Una fase intermedia de solicitud y respuesta de atestación HTTP, que verifica el envío de la información.
- Por último, la solicitud y respuesta de sesión de confianza HTTP, que gestiona la solicitud de información y su envío.
De esta forma se mejora la seguridad en internet al introducir la atestación remota, un mecanismo que permite garantizar la máxima seguridad de los datos. Todo con la intención de que los servicios en internet permitan al usuario verificar que el intercambio se realiza en las condiciones más seguras, al verificar antes de proceder al envío de datos que existe una certificación adicional.
Este proceso podría ocasionar problemas de ancho de banda y aumento de la latencia, ya que los datos deben atravesar un camino más largo entre emisor y receptor. En cualquier caso, sus creadores aseguran que los tiempos serán muy parecidos a los obtenidos con HTTPS.
Por el momento HTTPA no es más que una sugerencia, aún quedaría por lanzar oficialmente la propuesta de creación de un nuevo estándar y abrir una consulta pública.
Podemos decir que HTTPA funciona gracias a que el usuario final puede verificar las garantías de un servidor al que está accediendo. Básicamente la persona que entra en esa página o servicio online puede verificar si realmente es un servidor de confianza o no. De esta forma puede decidir si es fiable y entra o, por el contrario, no es de confianza.
Hay que mencionar que HTTPA hereda partes claves de HTTPS, como es el uso de TLS y verificación de identidad del host mediante certificado. Pero además de eso, ofrece una garantía adicional de lo que llaman atestación o verificación remota. Esto va a permitir que el protocolo HTTPA que el usuario final, el cliente, únicamente confíe en aquello que ve seguro y tener su propia lista de bloqueos.
El objetivo final de HTTPA es reducir aún más la superficie de ataque que puede suponer un riesgo al usar HTTPS. Básicamente mejorar la seguridad de un protocolo muy extendido y que hoy en día es fiable, para poder reducir el riesgo de sufrir ataques cibernéticos.
Actualmente podemos decir que HTTPS proporciona acceso a los servicios con seguridad, pero sin ser confiables por lo que hemos explicado. Un atacante podría realizar ataques de privilegios para controlar una sesión, por ejemplo. De esta forma puede comprometer el canal seguro entre el servidor y el cliente. En cambio, con HTTPA podemos lograr un acceso al servicio seguro y confiable. Un atacante no podría piratear con facilidad las claves de sesión y es más difícil que pueda romper la privacidad y seguridad del cliente al acceder al servidor.
En definitiva, HTTPA aparece como un nuevo protocolo que aspira a convertirse en el sucesor de HTTPS para lograr una mayor seguridad y privacidad al navegar por Internet. Puedes ver toda la documentación y su funcionamiento.
Via: blog.segu-info.com.ar