Encara que moltes vegades no ens adonem, quan escrivim una adreça URL a la barra del navegador, les lletres «HTTP» la precedeixen. No obstant això, quan consultem el nostre banc en línia o accedim a pàgines que contenen les nostres dades personals, el més habitual és que vegem les sigles «HTTPS».
Això no és ni una falta, ni un simple adorn; el protocol HTTPS té com a objectiu reforçar la seguretat de la connexió. Concretament, HTTPS garanteix que ens estem connectant al lloc que volem accedir i que no se'ns desvia (o que la informació que facilitem no s'envia) cap a un altre lloc. És a dir, una pàgina web amb una connexió HTTPS suposa una garantia de seguretat per als usuaris i una font de credibilitat per als propietaris.
Actualment, gairebé totes les pàgines web instal·len certificats SSL per facilitar les connexions segures (en gran mesura també perquè Google ha insinuat repetides vegades que considera l'HTTPS com un factor de qualitat).
Per sort, no cal ser un virtuós de la programació web per instal·lar un certificat SSL i configurar una política HSTS que ens permetin oferir la màxima seguretat mitjançant HTTPS.
Per què utilitzar HTTPS?
El protocol HTTP ha estat durant molt de temps l'estàndard per accedir als llocs web. El problema és que, igual que moltes de les tecnologies primitives de la web, HTTP va resultar ser menys segur del que es pensava al principi. Els pirates informàtics han anat desenvolupant maneres d'enganyar el navegador dels visitants.
L'HTTPS, en canvi, obstaculitza aquestes temptatives. Si dissenyem un lloc web que només funciona amb aquest protocol, oferirem una mesura extra de protecció. Dit això, encara queda la qüestió de com es pot «obligar» els usuaris a utilitzar només la versió HTTPS del lloc.
En efecte, una simple redirecció es pot eludir fent que el navegador cregui que ja ha arribat a la destinació. Els hackers i els seus programes maliciosos sovint fan servir aquesta tècnica: en confondre els usuaris, poden falsificar la direcció del lloc i posar en marxa el seu arsenal d'eines i estratègies per accedir a les dades personals.
Com imposar un estàndard de seguretat als visitants?
Com veiem, no ens podem acontentar amb oferir una connexió segura a un lloc web. A més, cal assegurar-se que els usuaris sempre la facin servir.
La solució més elegant consisteix a imposar la política HSTS (HTTP Strict Transport Security; en castellà, «HTTP amb Seguretat de Transport Estricta»). És un mode de connexió que obliga tots els navegadors que accedeixen al domini a comunicar-se únicament mitjançant sol·licituds HTTPS.
Què és un certificat SSL?
Un Certificat SSL és una mena de clau digital que vincula una organització a un nom de domini d'internet. Podria comparar-se amb un títol de propietat o dret de propietat d'un terreny. Serveix de prova que un nom de domini està relacionat amb una determinada entitat.
Aquest certificat Secure Socket Layer indica als navegadors web que només es pot accedir al lloc a través d'una connexió segura. Per identificar una pàgina web amb un certificat SSL vàlid, només cal mirar la barra d'adreces. Normalment veurem un símbol de cadenat juntament amb el nom de l'entitat a què pertany el certificat i el protocol HTTPS.
Com funciona el HSTS?
Com esmentàvem abans, comptar amb un certificat SSL no és suficient per garantir la total seguretat dels visitants. Podríem comparar el certificat amb tenir un guarda a lentrada. Podreu aturar gairebé totes les amenaces que se us presentin a la porta, però no podreu fer gaire si el caco troba una altra ruta d'accés. El paper de l'HSTS en aquest exemple seria el de forçar tots els visitants a passar per la garita abans d'entrar-hi.
El protocol HSTS converteix totes les sol·licituds no segures que faci un navegador en sol·licituds protegides per HTTPS. D'aquesta manera, les dades intercanviades entre el servidor web i l'usuari es protegeixen mitjançant el xifratge.
Així doncs, per implementar aquesta mesura de seguretat calen dues coses
- Un certificat SSL vàlid per al nom de domini.
- Un encapçalat Strict-Transport-Security (encapçalat HSTS).
La capçalera és un fitxer que s'instal·la al domini web i que interpel·la el navegador des de la primera connexió. En general, us transmet una sèrie d'informació i normes que el navegador ha de seguir quan interactua amb el domini en qüestió. En el cas d'una capçalera HSTS, les regles defineixen que el navegador no podrà accedir a la versió no segura (en HTTP) del lloc web durant un cert període de temps. Aquest termini se sol fixar en diversos mesos o fins i tot anys.
Implementació de HSTS
La posada en marxa d'aquest protocol s'ha de fer de manera gradual. Per començar, és bona idea establir el període de validesa de l'HSTS en pocs minuts, per provar totes les funcions de la pàgina web i garantir que les sessions i les dades dels usuaris es gestionen correctament. Tot seguit, el termini es pot estendre a una setmana per identificar errors menys obvis. Quan tot funciona sense problemes, la durada es pot establir durant els dos anys, per exemple.
No cal dir que, si per alguna raó deixem de fer servir el certificat SSL i la versió HTTPS de la pàgina web ja no és accessible, el protocol HSTS evitarà que els navegadors que havien accedit a la pàgina en el passat tornen a entrar. Per això cal anar amb compte i tenir sempre un certificat vàlid.
El HSTS no és una solució infal·lible contra la pirateria o la intercepció de dades. Continua havent-hi formes per eludir aquestes mesures de seguretat, però per posar-les en pràctica són necessaris atacs molt més sofisticats. A més, la implementació de HSTS contribueix significativament a millorar la reputació del nostre lloc web i, en conseqüència, el posicionament als cercadors.