Comprender la seguridad online: protocolos SSL y TLS
No es ningún secreto que el mundo de Internet se ha convertido en un lugar caótico tanto para las empresas como para los consumidores. Hay muchos sitios web y servicios diferentes por los que navegar, lo que conlleva muchos riesgos tanto para los usuarios como para las empresas. Además, los ataques de hackers se han convertido en un problema creciente en los últimos años.
Entonces, ¿cómo puedes mantener tu información personal y empresarial a salvo? La respuesta está en asegurar tu conexión a Internet, además de proteger tu hosting y dominio. Para ello vamos a profundizar en los protocolos SSL y TLS.
¿Qué son los protocolos SSL y TLS?
La mayoría de nosotros conoce los certificados SSL que aseguran nuestra página web. ¿Pero qué significa SSL?
Se trata de la abreviatura de Secure Socket Layer y junto a TLS, la abreviatura de Transport Layer Security, se trata de protocolos que encriptan los datos durante una conexión a través de una encriptación de clave pública.
Pero ¿son lo mismo? No del todo, a pesar de que se usan indistintamente. Esto es principalmente debido a que ambos son protocolos de seguridad que establecen una comunicación encriptada entre un servidor y un cliente (ya sea una web o un gestor de correo).
Una de las diferencias es que TLS es el sucesor del protocolo SSL, por lo que resulta importante ver cómo llegamos hasta la versión actual de estos protocolos.
Historia y evolución del protocolo SSL/TLS
En 1995, Netscape publicó el protocolo SSL 2.0 (la versión 1.0 no se llegó a publicar por contener fallos graves de seguridad). Esta versión también contenía vulnerabilidades de seguridad, tanto a nivel criptográfico como práctico, por lo que en 1996 se publicó SSL 3.0, la cual era una versión muy renovada respecto a sus predecesoras.
Durante los años 90, los dos navegadores más importantes eran Netscape e Internet Explorer, lo que provocaba una gran competencia entre Netscape y Microsoft. Debido a esto, Microsoft hizo su propia revisión antes del lanzamiento de la versión 3.0. Para evitar que este protocolo fuera un arma más en esta pelea y evitar que existieran versiones diferentes, se decidió que el Grupo de Trabajo de Ingeniería de Internet o Internet Engineering Task Force (o IETF) sería el encargado de seguir adelante con este protocolo y su proceso de estandarización.
Esto nos lleva a 1999, cuando el IETF publica la que vendría a ser la versión SSL 3.1. Debido al acuerdo entre Netscape y Microsoft, este se renombró a TLS.
Desde la publicación inicial del TLS 1.0, tres versiones más han sido publicadas. La primera fue el TLS 1.1, publicada en 2006, la cual añadía protección contra ataques de encadenado de bloques de cifrado (CBC) y soporte para parámetros de registro de la IANA. Ambas versiones, 1.0 y 1.1 son consideradas hoy en día vulnerables y se lleva anunciado su retirada desde marzo de 2020.
En 2008 se publicó el TLS 1.2, que incluía importantes seguridades de seguridad de especificación del hash y algoritmo usado por el cliente y el. Diez años después se publica TLS 1.3, el cual sustituye el soporte en MD5 por SHA-224 como método de encriptación.
Aunque la mayoría de las empresas están trabajando para convertir el protocolo TLS 1.3 el protocolo de seguridad por defecto, esta posición ahora mismo está ocupada por el TLS 1.2.
¿Cómo funcionan estos protocolos?
Cuando tu servicio de web o de correo dispone de un certificado SSL, esto incluye una clave privada y una pública que permiten al servidor cifrar y descifrar los datos que se intercambian entre este y cualquier visitante.
Al acceder a la web, el navegador realiza un proceso conocido como handshake o apretón para identificar al servidor, por lo que si el certificado no es correcto, se mostrará un error.
Una vez el navegador determina que el certificado es correcto y el servidor ha sido autenticado, se crea un enlace cifrado entre ambos, haciendo que los datos viajen de manera segura.
Entonces, ¿por qué se llaman certificados SSL?
En realidad, un certificado SSL y un certificado TLS significan exactamente lo mismo: certificados digitales X.509 que ayudan a autentificar el servidor y facilitar el proceso de apretón para producir una conexión segura.
Y aunque la mayoría de los proveedores de estos certificados se siguen refiriendo a ellos como certificados SSL, se trata de una cuestión de marca, motivo por el cual el nombre persiste.
Como quieras llamarlos, un certificado no es lo mismo que un protocolo. Así que no importa como los llames, lo que importa es el protocolo que usa, y esto viene determinado por la configuración de tu Hosting o Servidor.
¿Sustituye TLS a SSL?
Como hemos comentado antes, desde marzo de 2020 se está trabajando en la depreciación de los protocolos anteriores a TLS 1.2, puesto que se trata de versiones obsoletas por sus conocidas vulnerabilidades de seguridad.
Desde 2020, puede que al acceder a alguna web hayas encontrado este mensaje: ERR_SSL_OBSOLETE_VERSION. Esto significa que la página que estás visitando aún se encuentra trabajando con estas versiones antiguas de TLS. Para mejorar la seguridad en Internet, las empresas detrás de los navegadores más utilizados han llegado a un acuerdo para dejar de mostrar estas páginas webs obsoletas y así obligar a sus propietarios a actualizar sus sitios web.
Pero el protocolo TLS no solo se usa para tus páginas web, tu correo electrónico también trabaja con estas medidas de seguridad. Recuerda que, si revisas la cabecera de tu correo electrónico, podrás ver la encriptación utilizada en su envío, lo cual garantiza que los datos han viajado seguros.
TLS, por lo tanto, es la evolución del protocolo menos seguro SSL. Es importante instalar certificados SSL para asegurar tu web y tu correo, así como actualizar tu web para trabajar con el protocolo TLS más actual de tu servidor para garantizar la integridad de tus datos.