Blog de nerion

Con el objetivo de facilitar a los usuarios la navegación segura a través de la web, la Electronic Frontier Foundation (EFF) ha desarrollado un plugin para Firefox que permite utilizar SSL para aquellos sitios web que implementen dicho protocolo.

Https Everywhere surge a raíz de la implementación de SSL por parte de google en sus búsquedas.  Para ello, la Electronic Frontier Foundation en colaboración con Tor Project, ha desarrollado una extensión para Firefox  que permite navegar por la web haciendo uso de SSL .

De forma genérica, cuando un navegador desea establecer una conexión SSL con un sitio web, se siguen los siguientes pasos:

1. El usuario escribe en su navegador la URL del servicio web seguro con el que quiere conectar. Ej: https://ssl.nerion.es/
2. El servidor web envía su certificado firmado por una autoridad de confianza al cliente.
3. El cliente valida dicho certificado para comprobar si realmente se corresponde con el dominio del sitio web que dice ser. En caso de tratarse de un certificado no válido el navegador alertaría al usuario de un posible fraude por parte de dicha página.
4. Tras el intercambio de un conjunto de claves, la comunicación del navegador con el sitio web se cifra hasta que finaliza la sesión.

Muchos sitios web sólo implementan SSL de forma automática cuando necesitan autenticar y conseguir las credenciales de un usuario, o bien cuando se envía información a través de formularios, pero mantienen el resto de la sesión con HTTP. Esto implica que los datos viajan en claro y si son interceptando pueden ser leídos por terceros.

Aquí es donde entra en juego  Https everywhere permitiendo establecer una conexión SSL  durante toda la sesión que se tenga con el servicio web sin necesidad de especificar el protocolo https en el cuadro de navegación del navegador. De esta manera, aquellos usuarios preocupados por la privacidad de sus datos pueden estar seguros de que sus datos viajan de encriptados mediante una conexión SSL.

Para instalar HTTPS Everywhere simplemente es necesario instalar el plugin desde su sitio web  y especificar los servicios en los que se quiere usar HTTPS. Tras reiniciar el navegador, siempre que se acceda a dichos servicios automáticamente se establecerá una comunicación HTTPS en vez de HTTP.

Alguno de los servicios configurados por defecto son: Facebook, Google, Twitter, Wikipedia, Paypal

Adicionalmente, el pluginofrece la opción de añadir nuevos servicios a los ya existentes mediante ficheros XML y el uso de expresiones regulares siempre y cuando el sitio web tenga soporte SSL. A continuación se muestra ejemplo que permite forzar la conexión HTTPS para el sitio web de la Wikipedia:

<ruleset name=”Wikipedia”>
<rule from=”^http://([^@:/][^/:@])\.wikipedia\.org/wiki/” to=”https://secure.wikimedia.org/wikipedia/$1/wiki/”/>
</ruleset>

Una vez establecidas las reglas, se copiarían los ficheros en el directorio HTTPSEverywhereUserRules/ dentro del perfil de Firefox y se reiniciaría el navegador. Se puede hacer uso de la consola de errores de Firefox para comprobar si las nuevas reglas están generando algún tipo de error.