HTTPA, el posible sucesor de HTTPS
La llegada de HTTPS trajo consigo una web más segura, ya que al utilizar este protocolo las conexiones se cifran. A pesar de los avances, queda margen para mejorar aún más las conexiones; por ello, se está considerando un nuevo protocolo: HTTPA.
¿Qué es HTTPA?
HTTPA (HTTPS Attestable) no es más que una nueva versión de HTTPS que añade una capa extra de seguridad. Con este protocolo toda la información que se comparta se hará mediante un software seguro y en un entorno fiable (TEE). Esto es posible gracias al uso de certificados adicionales y técnicas de criptografía para garantizar que nadie pueda interceptar los datos ni que se hayan modificado durante el proceso; ya sea por parte de un usuario malintencionado o un software fraudulento.
Si en HTTPS se asume que las dos partes son de confianza y que el intercambio de información se hará de forma segura, con HTTPA se confía en el cliente pero no en el servidor. Será el cliente quien tendrá que permitir que el servidor pueda ejecutar el código, aunque no puede garantizarse que todo el servidor sea un entorno seguro. Es decir, HTTPA añade un extra de seguridad, pero sigue arrastrando algunas limitaciones de HTTPS.
¿Cómo funciona?
Según el documento en el que se describe HTTPA, su funcionamiento se divide en tres fases:
- Una fase inicial de solicitud y respuesta de la verificación previa HTTP, se comprueba si el servidor acepta o no HTTPA.
- Una fase intermedia de solicitud y respuesta de atestación HTTP, que verifica el envío de la información.
- Por último, la solicitud y respuesta de sesión de confianza HTTP, que gestiona la solicitud de información y su envío.
De esta manera se mejora la seguridad en internet al introducir la atestación remota, un mecanismo que permite garantizar la máxima seguridad de los datos. Todo con la intención de que los servicios en internet permitan al usuario verificar que el intercambio se realiza en las condiciones más seguras, al verificar antes de proceder al envío de datos que existe una certificación adicional.
Este proceso podría ocasionar problemas de ancho de banda y aumento de la latencia, ya que los datos deben atravesar un camino más largo entre emisor y receptor. En cualquier caso, sus creadores aseguran que los tiempos serán muy parecidos a los obtenidos con HTTPS.
Por el momento HTTPA no es más que una sugerencia, aún quedaría por lanzar oficialmente la propuesta de creación de un nuevo estándar y abrir una consulta pública.