HTTPS (HTTP Secure)

Protocolos & Transporte Security Notes Jan 9, 2026 HTTP
protocol security encryption tls ssl

Definición

HTTPS (HTTP Secure) es HTTP envuelto en una capa segura TLS (Transport Layer Security). Piénsalo como HTTP usando una armadura: el mismo protocolo, pero con encriptación protegiendo cada byte de datos transmitido entre cliente y servidor.

Cuando ves ese icono de candado en tu navegador, eso es HTTPS en acción. Cada petición y respuesta se encripta antes de la transmisión, así que incluso si alguien intercepta el tráfico, verá galimatías en lugar de datos legibles. HTTPS también proporciona autenticación: sabes que estás hablando con el servidor real, no con un impostor.

HTTPS opera en el puerto 443 (vs el puerto 80 de HTTP). Durante la configuración de conexión, cliente y servidor realizan un handshake TLS para establecer claves de encriptación. Después de eso, todo el tráfico HTTP fluye a través del túnel encriptado. Los navegadores modernos requieren HTTPS para muchas características (geolocalización, service workers, HTTP/2) y marcan sitios HTTP planos como “No Seguros”.

Ejemplo

Sitio Web Bancario: Cuando inicias sesión en tu banco en https://bank.com, HTTPS encripta tu contraseña durante la transmisión. Sin HTTPS, cualquiera en la misma WiFi podría ver tus credenciales.

Checkout de E-commerce: Amazon usa HTTPS para todas las páginas. Cuando ingresas detalles de tarjeta de crédito, HTTPS asegura que están encriptados en tránsito. Las compañías de tarjetas de crédito requieren HTTPS para cumplimiento PCI.

Autenticación de API: Las APIs modernas requieren HTTPS. Cuando tu aplicación envía Authorization: Bearer TOKEN a una API, HTTPS previene el robo del token. OAuth 2.0 exige HTTPS para endpoints de tokens.

Protección en WiFi Pública: En una cafetería, HTTPS previene que otros en la WiFi vean qué páginas visitas, qué datos envías o roben cookies de sesión. Sin HTTPS, la WiFi pública es una pesadilla de seguridad.

Analogía

La Carta Sellada: HTTP es como una postal: cualquiera que la maneje puede leer el mensaje. HTTPS es como un sobre sellado: solo el destinatario puede leerlo. Incluso si el cartero tiene curiosidad, el mensaje permanece privado.

El Camión Blindado: Enviar dinero vía HTTP es como lanzar efectivo en un camión abierto. Cualquiera podría tomarlo. HTTPS es un camión blindado con compartimientos cerrados: incluso si los ladrones atacan, el dinero permanece protegido.

La Llamada Encriptada: HTTP es un altavoz: todos cerca pueden escuchar. HTTPS es una llamada telefónica encriptada: incluso si alguien pincha la línea, solo escuchan ruido, no tu conversación.

Ejemplo de Código

// Petición HTTPS (encriptada en tránsito)
GET /api/account/balance HTTP/1.1
Host: api.bank.com
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...

// Lo que ve un espía (galimatías)
16 03 03 00 a5 02 00 00 a1 03 03 5c 8f 9a 2b...

// Respuesta HTTPS (desencriptada en cliente)
HTTP/1.1 200 OK
Content-Type: application/json
Strict-Transport-Security: max-age=31536000

{
  "account": "****1234",
  "balance": 5432.10,
  "currency": "USD"
}

Diagrama

sequenceDiagram
participant Client
participant Server
Client->>Server: Handshake TLS (negociar encriptación)
Server->>Client: Certificado del servidor (verificar identidad)
Client->>Server: Petición HTTP Encriptada
Server->>Client: Respuesta HTTP Encriptada
Note over Client,Server: Todo el tráfico encriptado con TLS

Notas de Seguridad

SECURITY NOTES

CRÍTICO - …

Configuración y Validación:

  • SIEMPRE usar HTTPS en producción, NUNCA HTTP plano.
  • Usar TLS 1.2 mínimo, TLS 1.3 preferido.
  • Obtener certificados de CAs confiables (Let’s Encrypt es gratis).
  • Habilitar HSTS (HTTP Strict Transport Security) para forzar HTTPS.
  • Deshabilitar versiones TLS antiguas (1.0, 1.1) y cifrados débiles.
  • Validar certificados apropiadamente (verificar dominio, expiración, revocación).

Monitoreo y Protección:

  • Usar certificate pinning para aplicaciones móviles.
  • Redirigir todo el tráfico HTTP a HTTPS (301 Moved Permanently).
  • Nunca mezclar contenido HTTP y HTTPS (advertencias de contenido mixto).
  • Renovar certificados antes de expiración.
  • Monitorear logs de transparencia de certificados.
  • Considerar mTLS para comunicación servidor-a-servidor.

Mejores Prácticas

  1. Usar HTTPS en todas partes, sin excepciones
  2. Obtener certificados de Autoridades de Certificación confiables (Let’s Encrypt es gratis y automatizado)
  3. Habilitar HTTP Strict Transport Security (HSTS) con max-age largo
  4. Usar TLS 1.3 moderno o mínimo TLS 1.2
  5. Deshabilitar cifrados y protocolos débiles (TLS 1.0, TLS 1.1, SSLv3)
  6. Implementar renovación automática de certificados (certbot, acme.sh)
  7. Probar configuración SSL con herramientas como SSL Labs
  8. Redirigir HTTP a HTTPS con estado 301
  9. Usar registros DNS CAA para restringir emisión de certificados
  10. Monitorear fechas de expiración de certificados

Errores Comunes

Usar HTTP para páginas “no sensibles” (¡las cookies se filtran!), certificados autofirmados en producción, certificados expirados, contenido mixto HTTP/HTTPS, no habilitar HSTS, permitir versiones TLS débiles, validación de certificados inapropiada, olvidar renovar certificados, no probar configuración HTTPS.

Estándares & RFCs

Standards & RFCs
1)RFC 2818- HTTP Over TLS
2)RFC 8446- TLS 1.3
3)RFC 6797- HTTP Strict Transport Security (HSTS)
4)RFC 7469- Public Key Pinning

Términos Relacionados

Related Terms: