Revista sobre los certificados SSL/TLS y las autoridades certificadoras

Revista con recomendaciones, sugerencias e información de interés sobre los certificados SSL/TLS y la seguridad de los certificados SSL/TLS y guías para trabajar con los certificados SSL/TLS.

SSL & TLS: ¡diferencias que quizás desconocierais!

20-4-2018 Si sois lectores asiduos de nuestra Revista quizás os hayáis fijado en que desde hace tiempo llevamos utilizando el nombre Certificado SSL/TLS. En el siguiente artículo nos gustaría explicar por qué decidimos utilizar esta ampliación y cómo hay que entenderla. ¡Pero sobre todo conoceréis la respuesta a la pregunta sobre la diferencia entre la sigla SSL y TLS!

Algo de la historia

La sigla SSL sirve para simplificar la colocación Secure Sockets Layer, TLS significa Transport Layer Security. Seguramente ya sabéis que en ambos casos se trata de protocolos para una transmisión de datos cifrada, es decir protegida, entre el cliente y el servidor. El protocolo TLS es simplemente un sucesor del SSL, en concreto del SSL 3.0.

La evolución del SSL a TLS la podéis imaginaros como una especie de cuento, por supuesto, con un final feliz. Los estándares criptográficos iban mejorando y las formas de comunicación más o menos antiguadas fueron al final sustituidas por unas mejores...

El protocolo SSL fue desarrollado en la primera mitad de los años 90 por la compañía Netscape Communications Corporation. Esta vendía en aquel tiempo el software para los servidores web que utilizaban para una transmisión cifrada de los datos precisamente el SSL. Al contrario, en el caso del TLS, que fue presentado en el año 1999, se suponía que ya el nombre mismo indicaba que se trataba de un estándar abierto y accesible para todos, destinado a cualquier compañía o proyecto, es decir, sin la etiqueta de patente de Netscape. Además, la finalidad inicial del SSL era la de servir solamente para la conexión HTTP mientras que en el caso del TLS ya se tenían en cuenta los puertos POP3, SMTP a IMAP. Lo que pasa es que antes no se suponía que además de los bancos, también en otros sitios se quisiera cifrar, incluso no era deseable un desarrollo de la criptografía fuerte... En fin, los tiempos cambian.

Sin embargo, a la hora de comprar el Certificado SSL, no hay que preocuparse por nada, no es posible fallar en la elección: los certificados son emitidos de manera que podáis utilizarlos con todas las versiones del protocolo SSL y TLS. ¡Este es también el motivo por el cual nuestro SSLmarket utiliza la expresión “compatible” Certificado SSL/TLS!

TLS garantiza una mayor seguridad

Hasta la fecha, 6 diferentes versiones del SSL y TLS han visto la luz del día: la última es el recién aprobado TLS 1.3. Sin embargo, no todos los dispositivos admiten todas las versiones; por lo tanto, quedar en una versión concreta del protocolo es una de las partes fundamentales del llamado handshake, una comunicación entre el servidor y el cliente para establecer condiciones del cifrado. Las dos partes tienen que estar de acuerdo con el protocolo que es utilizado para cifrar la comunicación. Si no existe un acuerdo en el conjunto de protocolos seguros que son admitidos por ambas partes se produce una elección “forzosa” de uno de los antiguados. Sin embargo, ¡esto es peligroso!

Lo que pasa es que si el soporte de las versiones SSL antiguas y vulnerables no es realmente desactivado se puede producir fácilmente el llamado ataque downgrade, cuando los atacantes fuerzan a las partes que participan en la comunicación a utilizar puntos más débiles de la protección y después hacen mal uso de ellos. Por ejemplo, a través del vulnerable SSL 3.0, que debería estar prohibido en todos los dispositivos, pero la realidad es diferente.

Y de hecho, ¡establecer el protocolo más actual tan solo es cuestión de una configuración muy fácil del servidor y navegador! Si ninguna de las partes admite una versión más “débil” no es capaz de llegar hasta el llamado SSL fallback.

Podéis comprobar si vuestro servidor sigue admitiendo el SSL 3.0 de 22 años de antigüedad testándolo en SSLlabs. En caso de necesidad, os ayudarán a desactivarlo nuestras instrucciones. En los navegadores, el soporte del TLS ya está configurado como inicial, también esto lo podéis comprobar vosotros mismos en SSLlabs. En nuestro próximo artículo veréis cómo activar directamente el TLS 1.3 más actual en Chrome y Firefox.

Entonces, ¿qué nombre es el correcto?

Así pues, sería correcto si en vez de la sigla “SSL” se utilizara “TLS”. Sin embargo, dado que la costumbre hace ley el uso del nombre “SSL” sigue siendo preferido incluso después de 19 años de funcionamiento del protocolo TLS: las autoridades certificadoras mismas siguen ofreciendo los certificados SSL, igual que todavía no ha sido cambiado el nombre del software OpenSSL por OpenTLS. El hecho de que el nombre “SSL” es preferido también por los usuarios normales lo demuestra el siguiente gráfico de Google Trends. Sin embargo, es curiosa la predominancia del TLS en Australia :). El SSL es representado por el color azul, el TLS por el rojo.

Comparación del SSL y TLS de Google Trends

Así pues, en nuestro Blog, nosotros hemos elegido el justo medio. Porque lo cierto es que si dos personas hacen lo mismo no siempre suele ser lo mismo. Y, ¿cuál de los dos nombres elegís vosotros?

Fuentes

  1. The Difference Between SSL and TLS
  2. The Real Truth About TLS Vs SSL
  3. TLS/SSL Explained – A brief history of TLS/SSL, Part 2

Lic. Petra Salasova
Especialista en los certificados SSL de seguridad
Symantec Sales Expert Plus certificado 
e-mail: petra.salasova(at)zoner.com