5.4.2 Secure Socket Layer (SSL): Protocolo https

    Toda transacción segura por internet debe de cumplir con cuatro aspectos: autenticidad, integridad, confidencialidad y no repudio. SSL es un sistema de protocolos de propósito general diseñado para establecer comunicaciones seguras, propuesto en 1994 por la empresa Netscape Communications Corporation, y está basado en la implementación conjunta de algoritmos simétricos y asimétricos, certificados digitales y firmas digitales para así conseguir un medio seguro de comunicación a través de internet. Permite autentificación y confidencialidad en las transacciones de internet siendo usado principalmente para actividades como son el intercambio de números de tarjetas de crédito o contraseñas que permiten el acceso a sistemas privados. Hoy constituye la solución de seguridad implantada en la mayoría de los servidores web que ofrecen servicios de comercio electrónico y es el estándar de comunicación segura en los navegadores web más importantes. La identidad de servidor web seguro se consigue mediante el certificado digital correspondiente, del que se comprueba su validez antes de iniciar el intercambio de datos sensibles (autentificación), mientras que la seguridad de integridad de datos intercambiados se encarga la firma digital mediante funciones hash y la comprobación de resúmenes de todos los datos enviados y recibidos.
    ¿Cómo podemos saber si una conexión se está efectuando mediante SSL?. Generalmente los navegadores disponen de un icono que lo indica, es un pequeño candado de color amarillo en la parte inferior derecha de la ventana que podemos ver en la Figura:


    Si el candado esta cerrado nos encontramos ante una conexión segura. Al hacer doble clic sobre el candado cerrado nos aparece el certificado digital del servidor web seguro:


    Además, las páginas que proceden de un servidor SSL vienen implementadas mediante protocolo HTTP seguro, haciendo referencia a ello en la URL, que emperezará siempre por https.
    SSL viene implementado por defecto en los navegadores, lo que permite que cualquier usuario puede realizar compras por internet de forma segura sin tener que conocer el sistema a fondo ni preocuparse por instalar programas adicionales. La implementación en la parte del vendedor es mas complicada, ya que tiene que disponer obligatoriamente de un certificado digital y lo debe solicitar a la Autoridad Certificadora oportuna. Una vez que el servidor dispone de certificado, el usuario puede realizar su compra. A partir de ese momento el vendedor adquiere el PIN de la tarjeta crédito del cliente, la fecha de caducidad y sus datos personales, por lo que deberá de tener algún sistema que le permita el envío de estos datos a una entidad financiera capaz de realizar la transferencia bancaria necesaria para completar el pago. La comunicación entre el comerciante y el bancario se realiza mediante un protocolo seguro y privado, de forma similar a lo que ocurre cuando pagamos en un comercio real con nuestra tarjeta de crédito. Estos sistemas se conocen como pasarelas de pago. El sistema de pasarela más a avanzado se denomina TPV , Terminal de Punto de Venta, donde se conecta un Terminal especial al servidor web del vendedor y mediante un software basado en script CGI (Common Gateway Interface) se realiza la comunicación segura entre ellos. EL TPV incluye los mecanismos se seguridad necesarios para que tanto el comerciante como el cliente puedan tener confianza en el entorno comercial sobre internet.
    La tecnología basada en los protocolos SSL proporcionó grandes avances en la implantación de sistemas de comunicaciones seguras que han dado como resultado un crecimiento importante de transacciones efectuadas desde internet. Si lo visualizamos desde el punto de vista de las bases necesarias para considerar una comunicación segura por internet podemos sacar las siguientes conclusiones:     Se ha comprobado que SSL proporciona seguridad en la transacción cliente-servidor seguro, pero queda otra fase de la transacción, la que va desde el servidor hasta a la empresa emisora de la tarjeta de crédito, y sobre ésta no tiene ningún tipo de control. Toda la seguridad de la transacción recae en la confianza que el cliente tenga con el vendedor, pues en sus manos queda el ser honrado y no realizar ningún fraude con los datos obtenidos y en la posterior entrega del producto comprado. Por este motivo solo las empresas con una honradez demostrada podrán a priori ganarse la confianza de los potenciales clientes.
    Para conseguir una seguridad plena se han desarrollado otros sistemas, como por ejemplo SET, que se comenta a continuación, pero SSL a pesar de sus fallos, sigue siendo la más utilizada, y esto es debido a que su tecnología es rápida, fácil de implementar, barata y cómoda para el usuario, que no tiene que conocer como funciona tan sólo usarla. Y desde el punto de vista del comerciante SSL es igualmente sencillo de implementar.





Página Anterior              Arriba              Página Siguiente