bypassing-es

HTTPS Everywhere

HTTPS Everywhere es un complemento de Firefox desarrollado por una colaboración entre The Tor Project (https://www.torproject.org) y Electronic Frontier Foundation (https://eff.org/). Su objetivo es cifrar nuestras comunicaciones con un número de sitios Web, incluyendo Google, Wikipedia y plataformas de red sociales muy populares como Facebook y Twitter.

Muchos sitios en la Web ofrecen algún soporte para cifrado sobre HTTPS, pero se hace difícil utilizarlos. Por ejemplo, ellos pueden conectarnos por defecto a través de HTTP, incluso cuando HTTPS esté disponible. O pueden llenar las páginas cifradas con enlaces que nos llevan de regreso al sitio sin cifrar. De esta forma, los datos (como nombre de usuario y contraseña) enviados y recibidos por estos sitios Web son transferidos en texto plano y pudieran ser vistos por terceros.

La extensión HTTPS Everywhere soluciona estos problemas reescribiendo todas las solicitudes de estos sitios a HTTPS. (Aunque la extensión se llama “HTTPS Everywhere”, solo activa HTTPS en una lista de sitios particular y solo puede usar HTTPS en sitios que lo soporten. No puede hacer que nuestra conexión hacia un sitio que no ofrece HTTPS como una opción sea segura).

Es necesario notar que muchos de estos sitios aún incluyen una gran cantidad de contenido de terceros que no están disponibles sobre HTTPS, como imágenes o iconos. Como siempre, si el icono con forma de candado del navegador está abierto o tiene una marca de exclamación, quiere decir que estamos vulnerables ante algunos adversarios que usan ataques activos o análisis de tráfico. Sin embargo, será mayor el esfuerzo necesario para monitorear nuestro navegador.

Algunos sitios Web (como Gmail) brindan soporte HTTPS automáticamente, pero usar HTTPS Everywhere también nos protege de ataques SSL-stripping, en los que un atacante oculta la versión HTTPS del sitio si inicialmente intentamos acceder con la versión HTTP.

Sobre el tema podemos profundizar en: https://www.eff.org/https-everywhere.

Instalación

Primero, descargamos la extension HTTPS Everywhere desde el sitio oficial: https://www.eff.org/https-everywhere.

Seleccionamos la última versión liberada. En el ejemplo a continuación, se usó la versión 0.9.4 de HTTPS Everywhere .(Puede ser que ya haya una versión nueva disponible)

 

Hacemos clic en “Permitir”. Necesitaremos reiniciar Firefox haciendo clic en el botón "Reiniciar ahora". HTTPS Everywhere estará instalado.

 

Configuración

Para acceder al panel de configuración de HTTPS Everywhere en Firefox 4 (Linux), hacemos clic en el menú en la parte superior izquierda de nuestro navegador y seleccionamos Add-ons Manager. (Es bueno notar que la ubicación del Manager de add-ons de Firefox varía según las distintas versiones para sistemas operativos)


Hacemos clic en el botón Options.



Se mostrará una lista con todos los sitios Web donde se deben aplicar las reglas de redireccionamiento HTTPS. Si tenemos problemas con una regla de redireccionamiento específica, podemos desmarcarla aquí. En este caso, HTTPS Everywhere no intervendrá más en la forma en que nos comunicamos con un sitio específico.

Uso

Una vez que esté HTTPS Everywhere habilitado y configurado, es muy fácil y transparente de usar. Escribimos una URL http insegura (por ejemplo, http://www.google.com).

 

Presionamos Enter. Automáticamente seremos redireccionados al sitio Web encriptado HTTPS (en este ejemplo:  https://encrypted.google.com). No es necesaria ninguna otra acción.

Si la red bloquea HTTPS

Nuestro operador de red puede decidir bloquear las versiones seguras de los sitios Web para incrementar su habilidad de espiar lo que hacemos. En esos casos, HTTPS Everywhere puede evitar que usemos estos sitios porque fuerza a nuestro navegador a usar solamente versiones seguras de estos sitios, nuca la versión insegura. (Por ejemplo, se ha oído sobre una red Wi-Fi en un aeropuerto donde todas las conexiones http eran permitidas, pero no las conexiones HTTPS. Quizás los operadores de la WI-FI estaban interesados en ver lo que hacían los usuarios. En el aeropuerto, los usuarios con HTTPS Everywhere no podían navegar en algunos sitios a menos que deshabilitaran temporalmente HTTPS Everywhere).

En este escenario, debemos seleccionar usar HTTPS Everywhere junto a una herramienta de evasión de censura como Tor o una VPN para evadir el bloqueo del acceso seguro a los sitios Web.

Adicionando soporte para sitios adicionales en HTTPS Everywhere

Podemos adicionar nuestras propias reglas al complemento HTTPS Everywhere para nuestros sitios web favoritos. Podemos encontrar como hacer esto en: https://www.eff.org/https-everywhere/rulesets. El beneficio de adicionar  reglas es que estas enseñan a HTTPS Everywhere a asegurarse de que el acceso a estos sitios es seguro. Pero es bueno recordar: HTTPS Everywhere no nos permite acceder a los sitios de forma segura a menos que los operadores quieran que los sitios estén disponibles a través de HTTPS. Si un sitio no soporta HTTPS, no hay beneficio de adicionar reglas para él.

Si estamos administrando un sitio Web y tenemos una versión HTTPS disponible, una buena práctica sería enviarle la dirección al equipo de HTTPS Everywhere para que la incluyan en la liberación oficial.