Si es nuevo en seguridad web y SSL, aprender los entresijos de ambos puede ser un negocio. Es posible que sepa vagamente que los certificados SSL “mantienen su sitio seguro”, pero no exactamente cómo o por qué. Y luego la gente comienza a integrar certificados TLS y estás completamente perdido. ¿Son iguales o completamente diferentes?
Si alguna vez se ha preguntado qué tiene que ver TLS con SSL, esta publicación de blog arrojará algo de luz sobre el tema.
SSL, o Secure Sockets Layer, es un protocolo criptográfico que se utiliza para establecer comunicaciones seguras y cifradas a través de la web entre un cliente y un servidor a través de HTTPS. Diariamente, esa sería una conexión entre un navegador web y un sitio web. El cifrado garantiza que todos los datos enviados a través de esta conexión sean ilegibles para terceros.
TLS, o Transfer Layer Security, también es un protocolo criptográfico. Hace lo mismo que un certificado SSL, solo que mejor. Es esencialmente una versión mejorada de SSL que es más rápida y segura. Aunque el resultado es el mismo, SSL y TLS crean la conexión cifrada de diferentes formas en segundo plano, desde el tipo de mensajes de autenticación enviados hasta cómo establecen los protocolos de registro. Estos pasos necesarios para establecer una conexión cifrada son lo que llamamos negociación SSL o TLS.
Hasta ahora estás conmigo, ¿no? La siguiente parte es lo que suele desanimar a la gente.
Con toda probabilidad, si está utilizando un certificado SSL en 2020, en realidad funciona con TLS. El término “certificado SSL” es en realidad un nombre inapropiado. “Certificado TLS” sería un nombre más preciso.
Para comprender por qué los certificados SSL son en realidad certificados TLS, tendremos que retroceder algunas décadas y examinar cómo se formaron estos certificados digitales.
SSL se desarrolló por primera vez a mediados de la década de 1990 en respuesta a la creciente necesidad de una mejor seguridad en la World Wide Web a medida que aumentaba el número de personas, instituciones y empresas que lo usaban. A medida que la banca y las compras en línea comenzaron a despegar, hubo una mayor conciencia de que los datos de las personas, desde la información personal hasta los números de tarjetas de crédito, debían protegerse.
Así es como Netscape creó SSL 1.0 en 1994. Aunque supuso un cambio radical en el mundo del cifrado en línea, esta primera versión tenía muchos agujeros de seguridad importantes, por lo que nunca tuvo una versión pública. SSL 2.0 lanzado en 1995 y 3.0 lanzado en 1996 trajo mejoras, pero todavía tenía muchos agujeros de seguridad.
Aquí es donde entra TLS. Con la urgente necesidad de un protocolo de cifrado más seguro, los investigadores han comenzado a trabajar en algo nuevo.
En 1999, se creó el protocolo TLS y posteriormente reemplazaría a SSL por completo. La primera versión de TLS fue la versión 1.0 y fue seguida por TLS 1.1 lanzada en 2006, TLS 1.2 en 2008 y la última versión, TLS 1.3, que fue lanzada en 2018. Cada versión de TLS viene con actualizaciones importantes. Nivel de seguridad, por lo que Tanto es así que la última versión de TLS funciona de manera completamente diferente a la primera versión de SSL desarrollada hace más de dos décadas.
En la actualidad, TLS 1.2 y 1.3 son los protocolos criptográficos más utilizados. El uso de la versión final de SSL (3.0) fue obsoleto en 2015 por el IETF (Grupo de trabajo de ingeniería de Internet). Cuando se trata de navegación web, SSL es fundamentalmente obsoleto.
Principalmente con fines de marca y marketing. El nombre “Certificado SSL” simplemente se ha convertido en sinónimo de cifrado y seguridad web. Aunque SSL ya no se utiliza actualmente, es el término de la industria para este tipo de certificado digital.
Ya pasó el momento de cambiar el nombre a certificados TLS. De repente, llamarlos certificados TLS puede resultar muy confuso para quienes no están íntimamente familiarizados con los protocolos de Internet. Pueden pensar que estás hablando de algo completamente diferente.
De cualquier manera, el debate sobre si llamarlos certificados SSL o TLS es en realidad un poco engañoso. La creación de una conexión cifrada a través de SSL o TLS no está controlada por el certificado digital en sí, sino por las configuraciones de su servidor y el navegador utilizado.
Si ha creado su sitio web en los últimos años y funciona en navegadores web modernos, es muy poco probable que sus servidores estén configurados para usar SSL o versiones anteriores de TLS, de lo contrario no funcionarían, simplemente no. Google Chrome dejó de admitir la última versión de SSL en 2014, ya que los principales navegadores y empresas de tecnología se comprometieron a desaprobar el uso de TLS 1.0 y 1.1 a finales de año. Es probable que su servidor esté configurado para admitir TLS 1.2 o 1.3, siendo este último el preferido.
Puede comprobar las configuraciones de su servidor usando esta herramienta. Si desea actualizar las configuraciones de su servidor TLS, comuníquese con su proveedor de alojamiento web o contrate a un administrador del sistema.