Puestos

Es posible que últimamente estés oyendo hablar cada vez más de SSL y TLS en las noticias. Estos términos están siendo utilizados por empresas como Google para concienciar a más gente de su importancia a la hora de navegar (hablo de ti, Chrome).

Existe una marcada distinción entre SSL y TLS. Se trata de dos protocolos que cifran los datos enviados por Internet. Estos protocolos son objetivos para los criptógrafos, los expertos en seguridad de redes y los desarrolladores que quieren establecer enlaces cifrados entre un servidor web y los navegadores.

¿Qué son SSL y TLS?

Una conexión segura está encriptada. El cifrado protege los datos que envías y recibes para que nadie más pueda leerlos.

Hay dos tipos de encriptación: SSL y TLS. Cada uno tiene sus pros y sus contras, pero ambos proporcionan una conexión segura.

SSL, o Transport Layer Security, es un protocolo criptográfico que proporciona seguridad en las comunicaciones a través de una red informática. Protege la integridad y la confidencialidad de los datos mediante el cifrado.

TLS, o Transport Layer Security, es un estándar para la comunicación segura en Internet. Permite que las aplicaciones cliente/servidor se comuniquen a través de una red de forma que se evite el espionaje y la manipulación de la información.

¿Por qué necesita un certificado SSL/TLS?

Los certificados SSL/TLS cifran los datos enviados entre su sitio web y sus usuarios. Toda la información que se envía es segura y no es visible para otros. Esto es vital para proteger información sensible como números de tarjetas de crédito, contraseñas y otros datos.

Sin un certificado SSL/TLS, cualquier persona en la misma red que su sitio web puede interceptar el tráfico entre su servidor y los navegadores de sus usuarios. Esto podría permitirles ver toda la información que se intercambia e incluso alterarla antes de enviarla por su camino.

Diferencia entre SSL y TLS

TLS y SSL proporcionan una autenticación y transmisión de datos segura en Internet. Pero, ¿en qué se diferencian TLS y SSL? ¿Hay que preocuparse por ello?

SSL

TLS

Las siglas SSL significan Secure Sockets Layer,  TLS son las siglas de Transport Layer Security.
Netscape creó SSL en 1995. El Grupo de Trabajo de Ingeniería de Internet (IETF) desarrolló TLS por primera vez en 1999.
Tiene tres versiones:

  • SSL 1.0
  • SSL 2.0,
  • SSL 3.0.
Tiene cuatro versiones:

  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
  • TLS 1.3
En todas las versiones de SSL se han encontrado vulnerabilidades, y todas han sido desaprobadas.  A partir de marzo de 2020, TLS 1.0 y 1.1 dejarán de ser compatibles.

En la mayoría de los casos, se utiliza TLS 1.2.

Un servidor web y un cliente se comunican de forma segura mediante SSL, un protocolo criptográfico que utiliza conexiones explícitas. Mediante TLS, el servidor web y el cliente pueden comunicarse de forma segura a través de conexiones implícitas. TLS ha sustituido a SSL.

Otras diferencias importantes en el funcionamiento de SL y TLS son las siguientes:

Autenticación de mensajes

Una de las principales diferencias entre SSL y TLS es la autenticación de los mensajes. SSL utiliza códigos de autenticación de mensajes (MAC) para garantizar que los mensajes no sean manipulados durante la transmisión. TLS no utiliza MACs para la protección, sino que se basa en otros medios, como el cifrado, para evitar la manipulación.

Protocolo de registro

El Protocolo de Registro es la forma en que se transportan los datos a través de un canal de comunicaciones seguro tanto en TLS como en SSL, pero tiene algunas diferencias menores. En TLS, sólo se puede llevar un registro por paquete, mientras que en SSL, se pueden llevar varios registros por paquete (aunque esto se implementó raramente).

Además, algunas características del protocolo de registro de TLS no se incluyen en SSL, como las opciones de compresión y relleno.

Suites de cifrado

TLS admite varias suites de cifrado, que son algoritmos utilizados para el cifrado y el descifrado. El conjunto de cifrado más conocido es el intercambio de claves efímero Diffie-Hellman (DHE) basado en curvas elípticas, que proporciona un secreto perfecto hacia adelante (PFS) y puede utilizarse con cualquier longitud de clave. Otras suites de cifrado admiten el PFS, pero su uso es menos frecuente. SSL sólo admite un conjunto de cifrado con PFS, que utiliza una clave RSA de 1024 bits.

Mensajes de alerta

El protocolo SSL utiliza mensajes de alerta para informar al cliente o al servidor sobre un error específico durante la comunicación. El protocolo TLS no tiene ningún mecanismo equivalente.

En pocas palabras, SSL ya no se utiliza, y TLS es el nuevo término para el anticuado protocolo SSL como estándar de cifrado actual utilizado por todos. Aunque TLS es técnicamente más preciso, SSL se utiliza ampliamente.

¿Por qué TLS sustituyó a SSL?

Para proteger las aplicaciones en línea o los datos en tránsito de las escuchas y la alteración, el cifrado TLS es ahora un procedimiento rutinario. TLS ha sido vulnerable a brechas como Crime y Heartbleed en 2012 y 2014. Aunque ha demostrado avances significativos en eficiencia y seguridad, no es realista creer que es el protocolo más seguro.

Christopher Allen y Tim Dierks, de Consensus Development, crearon el protocolo TLS 1.0, una mejora de SSL 3.0.

Aunque el cambio de nombre implica una diferencia sustancial entre ambos, no había muchas.

Según DierksMicrosoft cambió su nombre para salvar la cara. Afirmó:

Para no dar la impresión de que el IETF respaldaba el protocolo de Netscape, tuvimos que cambiar el nombre de SSL 3.0 como parte del cambio de nombre (por la misma razón). Y así, se creó TLS 1.0 (que era SSL 3.1). Por supuesto, mirando hacia atrás, toda la situación parece ridícula.

SSL está siendo sustituido por TLS, y prácticamente todas las versiones de SSL se han considerado obsoletas debido a fallos de seguridad documentados. Un ejemplo es Google Chrome, que dejó de utilizar SSL 3.0 en 2014. La mayoría de los navegadores online contemporáneos no soportan SSL en absoluto.

¿Por qué sustituir sus certificados SSL por certificados TLS?

La principal razón para sustituir sus actuales certificados SSL por los nuevos certificados TLS es que son incompatibles entre sí: utilizan protocolos y algoritmos diferentes. Esto significa que cualquier navegador o aplicación cliente que utilice un protocolo no podrá conectarse de forma segura con un servidor que utilice el otro protocolo sin que se realicen cambios de configuración explícitos en ambos lados de la conexión.

Palabras finales

Tanto los certificados SSL como los TLS proporcionan la misma función de encriptación del flujo de datos si los comparamos. Una versión mejorada y más segura de SSL fue TLS. Sin embargo, los certificados SSL, que están ampliamente disponibles en línea, tienen la misma función de proteger su sitio web. En realidad, ambos proporcionan la barra de direcciones HTTPS, que ha llegado a ser reconocida como la característica distintiva de la seguridad en línea.

Mientras que SSL y TLS protegen su sitio web del uso no autorizado, DMARC protege su dominio de correo electrónico de la suplantación. DMARC es un estándar de autenticación de correo electrónico que le permite tomar medidas contra los correos electrónicos enviados desde fuentes no autorizadas que suplantan su nombre de dominio.

Comenzando su camino hacia aplicación de DMARC con PowerDMARC le permitirá gobernar su dominio por completo, adquirir visibilidad en sus canales de correo electrónico al ritmo más rápido del mercado y realizar una transición segura hacia políticas más estrictas.