SSL o Secure Sockets Layer es un protocolo de seguridad de Internet basado en el cifrado. Inicialmente fue desarrollado por Netscape en 1995 para garantizar la privacidad, la autenticación y la integridad de los datos en las comunicaciones de Internet. SSL es el predecesor del cifrado TLS moderno que se utiliza hoy en día.
¿Cómo funciona SSL/TLS?
- Para ofrecer un alto grado de privacidad, SSL cifra los datos que se transmiten por la web. Por ello, cualquiera que intente interceptar estos datos se encontrará con una mezcla confusa de caracteres, que será muy difícil de descifrar.
- SSL inicia un proceso de autenticación, conocido como establecimiento de comunicación, entre dos dispositivos que se comunican para garantizar que ambos sean lo que aparentan.
- Además, SSL firma digitalmente los datos para proporcionar integridad de datos , que verifica que no se hayan manipulado los datos antes de alcanzar al destinatario designado.
Ha habido diversas iteraciones de SSL, cada una más segura que la anterior. En 1999, SSL se actualizó para convertirse en TLS.
¿Por qué es importante el SSL/TLS?
Originalmente, los datos de la web se transmitían en texto no cifrado que cualquiera podía leer si interceptaba el mensaje. Por ejemplo, si un consumidor visitaba un sitio web de compras, hacía un pedido e introducía su número de tarjeta de crédito en el sitio web, ese número de tarjeta de crédito viajaba por Internet sin ser ocultado.
El SSL se creó para corregir este problema y proteger la privacidad del usuario. Al cifrar los datos entre un usuario y un servidor web, el SSL garantiza que cualquiera que intercepte los datos solo pueda ver un desorden de caracteres codificado. El número de la tarjeta de crédito del consumidor está ahora seguro, solo visible en el sitio web de compras donde lo introdujeron.
El SSL también detiene ciertos tipos de ataques cibernéticos: autentica los servidores web, lo cual es importante porque los atacantes a menudo intentan crear sitios web falsos para engañar a los usuarios y robar datos. También previene que los atacantes manipulen los datos en tránsito, como el precinto del envase de un medicamento.
¿Son lo mismo SSL Y TLS?
El SSL es el predecesor directo de otro protocolo conocido como TLS (Transport Layer Security). El Grupo de trabajo de ingeniería de Internet (IETF, por sus siglas en inglés) propuso en 1999 una actualización del SSL. Como esta actualización la estaba desarrollando el IETF, y Netscape ya no participaba en el proyecto, se cambió el nombre a TLS. No hay diferencias drásticas entre la versión final de SSL (3.0) y la primera versión de TLS; el nombre simplemente se cambió para indicar el cambio de propietario.
Como están tan estrechamente relacionados, los dos términos se suelen usar indistintamente y con frecuencia se confunden. Algunos todavía usan SSL para referirse al TLS, mientras que otros utilizan el término “cifrado SSL/TLS”, porque el nombre SSL es muy conocido.
¿Está SSL todavía actualizado?
El SSL no se ha actualizado desde el SSL 3.0 en 1996 y, hoy en día, se considera que está obsoleto. El protocolo SSL tiene varias vulnerabilidades conocidas y, por ello, los expertos en seguridad recomiendan que se deje de usar. De hecho, la mayoría de navegadores web modernos ya no son compatibles con SSL.
El TLS es el protocolo de cifrado actualizado que se sigue implementando en línea, aunque todavía muchos lo llaman “cifrado SSL”. Esto puede ser confuso para los consumidores interesados en adquirir soluciones de seguridad. Lo cierto es que cualquier proveedor que ofrezca “SSL” hoy en día proporcionará, con toda probabilidad, protección TLS, que es el estándar del sector desde hace casi veinte años. Sin embargo, debido a que mucha gente todavía busca “protección SSL”, el término sigue apareciendo en muchas páginas de productos.
El SSL solo puede ser implementado por sitios web que tengan un certificado SSL (técnicamente un certificado “TLS”). Un certificado SSL es como una tarjeta de identificación o una acreditación que prueba que alguien es quien dice ser. Los certificados SSL son almacenados y mostrados en la web por el servidor de un sitio web o de una aplicación.
Uno de los datos más importantes del certificado SSL es la clave pública del sitio web. La clave pública posibilita la encriptación y la autenticación. El dispositivo del usuario ve la clave pública y la utiliza para establecer claves de cifrado seguras con el servidor web. Mientras tanto, el servidor web también tiene una clave privada que se mantiene en secreto; la clave privada descifra los datos cifrados con la clave pública.
Las autoridades de certificación (AC) son responsables de la emisión de los certificados SSL.
Cloudflare ofrece certificados SSL gratuitos para las empresas. Los sitios web protegidos por Cloudflare pueden activar el SSL con unos pocos clics. Es posible que los sitios web deban configurar un certificado SSL en su servidor de origen también: en este artículo hay más instrucciones.