4

Servicio HTTP

5. El servidor web seguro

Un servidor web es seguro cuando garantiza la comunicacin con el cliente web con autenticacin y confidencialidad. El protocolo SSL permite establecer una comunicacin segura y codificada entre el servidor web y el navegador. SSL trabaja conjuntamente con el protocolo HTTP, creando un protocolo de transmisin de hipertexto seguro llamado HTTPS. El protocolo HTTPS se basa en dos tipos de criptografa: Simtrica o de clave compartida:es un mtodo criptogrfico en el cual se usa una misma clave para cifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar. Una vez ambas tienen acceso a esta clave, el remitente cifra un mensaje usndola, lo enva al destinatario, y ste lo descifra con la misma. Asimtrica o de clave pblica-privada: que usa un par de claves para el envo de mensajes. Las dos claves pertenecen a la misma persona que ha enviado el mensaje. Una clave es pblica y se puede entregar a cualquier persona, la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella.Adems, los mtodos criptogrficos garantizan que esa pareja de claves slo se puede generar una vez, de modo que se puede asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de claves. Si el remitente usa la clave pblica del destinatario para cifrar el mensaje, una vez cifrado, slo la clave privada del destinatario podr descifrar este mensaje, ya que es el nico que la conoce. Por tanto se logra la confidencialidad del envo del mensaje, nadie salvo el destinatario puede descifrarlo. Si el propietario del par de claves usa su clave privada para cifrar el mensaje, cualquiera puede descifrarlo se usa para la autenticacin del emisor. Los sistemas de cifrado asimtricos se inventaron con el fin de evitar por completo el problema del intercambio de claves de los sistemas de cifrado simtricos utilizando su clave pblica 1

Servicio HTTP

Ambos tipos presentan diversas ventajas e inconvenientes, pero cumplen con los objetivos deseados. En concreto, la criptografa asimtrica se utiliza en los procesos de autenticacin, ya que cada usuario protege su clave secreta. No obstante, es lenta para el cifrado, a diferencia de la criptografa simtrica, mucho ms rpida, aunque poco eficaz a la hora de gestionar las claves.

5.1. Qu es la firma digital?

Es una porcin de cdigo que se adjunta a un mensaje y que garantiza al destinatario la identidad del remitente y la integridad del mensaje. Se utiliza en entornos de clave pblica. Consiste en un mtodo criptogrfico que asocia la identidad de una persona o de un equipo informtico al mensaje o documento.

Servicio HTTP

5. El servidor web seguro

5.1. Qu es la firma digital?
Todo el proceso es transparente para el usuario. La asociacin entre la firma digital y la persona que la utiliza es el objetivo de los certificados digitales. El certificado digital (CSR) se define como el conjunto de caracteres aadidos a un documento que acreditan al autor del documento (autenticacin) y la integridad de los datos. El certificado digital contiene la clave pblica del usuario y algunos datos personales como el nombre, apellidos, DNI, etctera, firmados digitalmente por una autoridad certificadora (CA). La CA es un tercero de confianza que permite que personas que no se conocen entre s, puedan confiar en los certificados que se presentan el uno al otro. Son CA, por ejemplo, Verisign o la Fbrica Nacional de Moneda y Timbre. El certificado digital lo utiliza el usuario para firmar sus mensajes con su clave privada (criptografa asimtrica), que solo l conoce y que impide que pueda despus negar que es el autor. La validez de la firma puede ser comprobada por cualquier otro usuario que tenga la clave pblica del autor.

Servicio HTTP

5. El servidor web seguro

5.2. El protocolo SSL
En apartados anteriores se vio cmo Apache gestiona la autenticacin del usuario mediante credenciales. El protocolo SSL (Secure Socket Layer) garantiza que todo el intercambio de informacin realizado en una sesin de conexin se hace de forma segura mediante encriptacin. En una conexin TCP/IP, el protocolo SSL proporciona las garantas siguientes: 1. Confidencialidad: cifra la informacin transferida. 2. Integridad del mensaje: controla cualquier modificacin intencionada o accidental en la informacin mientras se transmite por Internet. 3. Autenticacin del servidor: asegura la identidad del servidor al que se establece la conexin y al que puede enviar el usuario informacin personal mediante el certificado de servidor. 4. Autenticacin de cliente: el servidor conoce la identidad del usuario y le permite o no su acceso a reas protegidas. Para ello, el cliente debe tener instalado un certificado de cliente en su ordenador que identifica en el servidor al cliente. El protocolo SSL utiliza una clave de sesin que se genera en cada transaccin. Cuanto mayor sea la longitud de la clave, ms difcil ser romper la encriptacin. La mayora de los navegadores soportan claves de sesin de 128 bits.
4

Servicio HTTP

5. El servidor web seguro

5.2. El protocolo SSL
La comunicacin se realiza en dos fases: 1. Fase de saludo (handshaking, estrechar las manos): el cliente y el servidor se identifican mediante el intercambio de claves pblicas (encriptacin asimtrica) y llevan a cabo la autenticacin utilizando certificados digitales. 2. Fase de comunicacin: se realiza el intercambio de datos utilizando, generalmente, una clave de tipo simtrico. Los navegadores llevan ya incorporados un mdulo SSL que se activa de forma automtica cuando es necesario. Normalmente, se escribe https:// en la URL.