Los certificados SSL vs. TLS son protocolos criptográficos que encriptan los datos que se intercambian/transfieren entre el servidor web y un usuario.
hew! La seguridad en Internet es un mundo lleno de jerga. Para un novato como yo es una pesadilla dar sentido a estos términos y cómo funcionan juntos.
Se necesita mucho empuje para entender cómo funcionan y cómo son diferentes unos de otros.
Si has estado leyendo sobre SSL recientemente, te habrás tropezado con TLS también.
SSL se refiere a Secure Sockets Layer mientras que TLS se refiere a Transport Layer Security. Básicamente, son uno y lo mismo, pero, totalmente diferentes.
¿Qué tan similares son ambos? SSL y TLS son protocolos criptográficos que autentifican la transferencia de datos entre servidores, sistemas, aplicaciones y usuarios. Por ejemplo, un protocolo criptográfico encripta los datos que se intercambian entre un servidor web y un usuario.
SSL fue un primer protocolo criptográfico de este tipo. TLS, por su parte, fue una versión actualizada reciente de SSL.
¿Por qué se necesita un certificado SSL/TLS?
La ciberseguridad se ha convertido en una grave amenaza que se extiende por todas las secciones de Internet. Desde colegios hasta empresas y particulares, pone en riesgo los datos de usuarios de todo tipo y tamaño. El riesgo es especialmente mayor cuando hay intercambio de información a través de los sistemas cliente y servidor.
Es necesario un sistema seguro que cifre el flujo de datos de ambos lados. Un certificado SSL/TLS ayuda a ello. Actúa como un sistema de encriptación de punto final que encripta los datos impidiendo el acceso no autorizado por parte de los hackers.
En la actualidad, SSL también ha ganado importancia como una señal de clasificación seria debido al anuncio de Google. Los sitios web con certificados SSL obtienen un mejor posicionamiento en las búsquedas, tienen una mejor experiencia de usuario y no plantean ningún problema de seguridad, incluso durante las transacciones de comercio electrónico.
Un resumen sobre SSL
Netscape desarrolló SSL en el año 1994. Se concibió como un sistema que garantizaría una comunicación segura entre los sistemas cliente y servidor en la web. Poco a poco, el IETF (Grupo de Trabajo de Ingeniería de Internet) recogió el protocolo y lo estandarizó como tal. Le siguieron dos versiones de SSL que subsanaron las vulnerabilidades encontradas en la versión 1. La versión actual de SSL es la 3.0. Si miramos la historia de abajo, podemos asumir que el IETF intentó seriamente asegurar los datos en línea con una seguridad robusta en su mejor momento.
SSL 1.0 | Debido a un fallo de seguridad, SSL 1.0 no se publicó. |
SSL 2.0 | SSL v2.0 fue la primera versión pública de SSL por Netscape. Se lanzó en febrero de 1995, pero hubo fallos de diseño que obligaron a Netscape a lanzar SSL v.3. Sin embargo, SSL v.2.0 fue obsoleta en 2011. |
SSL 3.0 | SSL v3 fue una versión de actualización de la versión anterior SSL v2.0 que corregía algunos fallos de diseño de seguridad de SSL v2.0 Sin embargo, SSL v3.0 se consideró inseguro en 2004 debido al ataque POODLE. |
Un resumen sobre TLS
TLS significa Transport Layer Security, que es un protocolo criptográfico sucesor de SSL 3.0, que fue lanzado en 1999.
TLS 1.0 | TLS 1.0 que fue una actualización de SSL v.3.0 lanzada en enero de 1999, pero que permite el downgrade de la conexión a SSL v.3.0. |
TLS 1.1 | Después de esto, TLS v1.1 fue lanzada en abril de 2006, que era una actualización de la versión TLS 1.0. Añadió protección contra ataques CBC (Cipher Block Chaining). En marzo de 2020, Google, Apple, Mozilla y Microsoft anunciaron la desaparición de las versiones TLS 1.0 y 1.1. | TLS 1.2 | TLS v1.2 se publicó en 2008 y permite especificar el hash y el algoritmo utilizados por el cliente y el servidor. Permite el cifrado autenticado, al que se le añadió más soporte con modos de datos extra. TLS 1.2 era capaz de verificar la longitud de los datos basándose en el conjunto de cifrado. | TLS 1.3 | TLS v1.3 fue lanzado en agosto de 2018 y tenía características importantes que lo diferenciaban de su versión anterior TLS v1.2 como la eliminación del soporte de MD5 y SHA-224, requerir la firma digital cuando se utiliza la configuración anterior, el uso obligatorio de Perfect forward secrecy en caso de intercambio de claves basado en clave pública, los mensajes de handshake ahora se cifrarán después de «Server Hello». |
Diferencias entre SSL y TLS
Sin embargo, las diferencias entre SSL y TLS son muy pequeñas. De hecho, sólo un técnico será capaz de detectar las diferencias. Las diferencias notables incluyen:
Suites de cifrado
El protocolo SSL ofrece soporte para la suite de cifrado Fortezza. TLS no ofrece soporte. TLS sigue un mejor proceso de estandarización que facilita la definición de nuevas suites de cifrado como RC4, Triple DES, AES, IDEA, etc.
Mensajes de alerta
SSL tiene el mensaje de alerta «Sin certificado». El protocolo TLS elimina el mensaje de alerta y lo sustituye por varios otros mensajes de alerta.
Protocolo de registro
SSL utiliza el código de autenticación de mensajes (MAC) después de cifrar cada mensaje mientras que TLS por otro lado utiliza HMAC – un código de autenticación de mensajes basado en hash después de cada cifrado de mensajes.
Proceso de handshake
En SSL, el cálculo del hash también comprende el secreto maestro y el pad mientras que en TLS, los hashes se calculan sobre el mensaje de handshake.
Autenticación de mensajes
La autenticación de mensajes en SSL une los detalles de la clave y los datos de la aplicación de forma ad-hoc mientras que la versión TLS se basa en el código de autenticación de mensajes basado en HMAC.
Estas son las diferencias esenciales entre un certificado SSL y TLS. Como he mencionado antes, se necesita un ojo entrenado para entender las diferencias.
In nutshell, SSL is obsolete and TLS is new name of older SSL protocol as modern encryption standard using by everybody. Technically, TLS is more accurate, but everyone knows SSL.
Pocas consideraciones sobre el protocolo TLS
- Impide que los intrusos manipulen los pases de comunicación entre el servidor y el usuario.
- También impide que los intrusos escuchen la comunicación del servidor.
- TLS añade latencia al tráfico del sitio.
- TLS utiliza el cifrado asimétrico para el establecimiento de la conexión entonces, permite el cifrado simétrico para el cliente y el servidor para una conexión más rápida.
- Con la adición de HTTP/2, TLS hace que la conexión sea más rápida.
Por último, ¿necesitas un certificado SSL/TLS?
Si miras el certificado SSL frente al TLS, ambos realizan la misma tarea de cifrar el intercambio de datos. TLS fue una versión actualizada y segura de SSL. No obstante, los certificados SSL que abundan en Internet sirven para el mismo propósito de asegurar su sitio web. De hecho, ambos ofrecen a los sitios web la misma barra de direcciones HTTPS que ha llegado a ser reconocida como el símbolo distintivo de la seguridad en línea.