navegador.org guía independiente · sin publicidad

HTTPS y seguridad de la conexión

HTTPS cifra lo que se intercambia entre tu navegador y el sitio web. Que la conexión esté cifrada no significa que el sitio sea legítimo: una página de phishing también puede tener candado. Conviene saber qué garantiza HTTPS y qué no.

Qué hace
Cifra los datos entre tu dispositivo y el servidor, y verifica que estás hablando con el dominio que dice ser.
Tecnología
TLS, sucesor de SSL. La "S" en HTTPS viene de "Secure".
El candado
Indica conexión cifrada, no honestidad del sitio.
Si falta
El navegador marca la página como "No seguro" y, en formularios, avisa.

Qué pasa cuando entras a un sitio con HTTPS

Antes de intercambiar nada, tu navegador y el servidor hacen un saludo (en inglés, handshake). El servidor presenta un certificado digital firmado por una autoridad reconocida, en el que afirma "yo soy navegador.org". Tu navegador comprueba la firma, verifica que el dominio coincide y que el certificado no ha caducado. Si todo encaja, ambos acuerdan una clave de cifrado para esta sesión y empiezan a comunicarse.

A partir de ahí, lo que se transmite —cookies, formularios, contraseñas— viaja cifrado. Tu proveedor de internet, el dueño del WiFi del bar y cualquier intermediario de la red sabe que has visitado ese dominio, pero no qué páginas concretas has visto ni qué datos has enviado. Esto, junto con el resto del proceso, está en cómo funciona un navegador.

El candado, lo que significa y lo que no

El candado en la barra de direcciones dice tres cosas, todas técnicas:

1. La conexión está cifrada.
2. El servidor presentó un certificado válido para el dominio que ves.
3. Una autoridad certificadora reconocida firmó ese certificado.

No dice nada sobre la honestidad del sitio. Cualquiera puede pedir un certificado gratuito (Let's Encrypt, por ejemplo, los emite automáticamente) para un dominio que controle, incluido un dominio diseñado para parecerse a otro. Un sitio de phishing perfectamente puede tener su candado.

Lo único que protege contra el phishing es leer el dominio, no el candado. La explicación práctica está en URLs y direcciones web y en phishing y sitios fraudulentos. La regla básica: el dominio real está justo antes del primer / tras https://.

SSL, TLS y por qué los nombres se mezclan

El sistema empezó llamándose SSL (Secure Sockets Layer) a finales de los 90. Tras varias versiones se sustituyó por TLS (Transport Layer Security), del que hoy se usa principalmente la versión 1.3, descrita por el IETF. Mucha documentación y muchos productos siguen llamándolo "SSL" por costumbre, aunque técnicamente sea TLS. Cuando veas "certificado SSL" o "instalar SSL", son en la práctica certificados TLS.

Tipos de certificado

Hay tres niveles de validación, todos con cifrado equivalente:

DV (Domain Validation). El emisor solo comprueba que quien pide el certificado controla el dominio. Es lo más común y se emite gratis o casi.

OV (Organization Validation). Verifica también la organización detrás del dominio.

EV (Extended Validation). Validación más estricta. Hace años los navegadores mostraban el nombre de la empresa en verde junto a la barra; los principales han retirado ese tratamiento porque resultaba más confuso que útil.

A efectos prácticos, hoy todos los certificados se ven igual en la barra. Lo importante es que el certificado existe y coincide con el dominio que esperas.

Errores comunes y qué significan

Cuando algo falla en la negociación, el navegador no muestra la página y avisa con un mensaje del tipo "Tu conexión no es privada". Las causas habituales:

NET::ERR_CERT_DATE_INVALID — el certificado ha caducado o tu reloj está mal. Comprueba primero la fecha y hora del sistema.

NET::ERR_CERT_AUTHORITY_INVALID — el certificado lo ha firmado alguien que tu navegador no reconoce. Puede ser un sitio mal configurado, una intercepción intencionada (red corporativa) o un ataque.

NET::ERR_CERT_COMMON_NAME_INVALID — el certificado es válido, pero para otro dominio. Suele indicar configuración incorrecta del sitio.

Más detalles y cómo actuar en errores comunes.

Cuándo no saltarse el aviso: nunca, si vas a introducir contraseñas o datos bancarios. Algunas redes corporativas insertan certificados propios para inspeccionar tráfico; eso explica avisos legítimos en entornos profesionales, pero también significa que tu empleador puede estar viendo lo que envías. En tu casa o en redes públicas, un aviso de certificado inesperado es razón suficiente para no seguir.

HTTP a secas todavía existe

Algunas páginas siguen usando http:// sin cifrar. Tu navegador las marcará como "No seguro" en la barra de direcciones. Para una página puramente informativa puede ser molesto pero relativamente inocuo; para cualquier formulario, login o pago, es inaceptable. Los navegadores modernos llevan tiempo empujando para que toda la web sea HTTPS, y lo han conseguido en su mayoría.

Algunos navegadores (Firefox, Brave, Chrome reciente) tienen un modo en el que intentan siempre HTTPS y avisan cuando no es posible. Está bien activarlo si tu navegador lo ofrece.

Lo que HTTPS no hace

HTTPS no oculta qué dominios visitas a tu proveedor de internet o a la red WiFi a la que estés conectado. No te hace anónimo (eso requiere otras herramientas como Tor). No protege contra malware ya descargado. No verifica la legitimidad del negocio detrás del sitio. No evita que el propio sitio guarde y use tus datos como quiera. Y, conviene repetir: no garantiza que la página sea quien dice ser, sólo que la conexión está cifrada y el certificado coincide con el dominio que ves.

Ver también