TLS frente a SSL: ¿Cuál es la diferencia y cómo funciona?

Transport Layer Security (TLS) es la última versión del protocolo Secure Socket Layer (SSL). Ambos protocolos garantizan la privacidad y autenticidad de los datos a través de Internet. Estos protocolos ampliamente utilizados brindan seguridad de extremo a extremo mediante la aplicación de cifrado para la comunicación basada en la web. Sin embargo, a pesar de las similitudes de TLS y SSL, también tienen diferencias significativas.

Este artículo explica cómo funcionan los protocolos de cifrado TLS y SSL, su importancia, en qué se diferencian y por qué es el momento adecuado para cambiar al protocolo TLS.

Antecedentes históricos de TLS y SSL

El Grupo de Trabajo de Ingeniería de Internet (IETF), la organización responsable de desarrollar estándares de Internet, publicó Solicitud de comentarios (RFC-1984), reconociendo la importancia de la protección de datos personales en el creciente Internet. Netscape Communication Corporation introdujo SSL para asegurar la comunicación web que se sometió a múltiples actualizaciones.

La versión SSL 1.0 nunca se lanzó debido a fallas de seguridad, y SSL 2.0 fue el primer lanzamiento público de Netscape en 1995. Sin embargo, debido a vulnerabilidades e inconvenientes de seguridad, fue reemplazado por otro SSL versión 3.0 en noviembre de 1996. La última versión de SSL tampoco está en uso debido a su inseguridad contra el Ataque de CANICHE en octubre de 2014 y quedó oficialmente en desuso en junio de 2015.

TLS se lanzó en 1999 como un protocolo independiente de la aplicación: una actualización a SSL versión 3.0 realizada por Internet Engineering Task Force (IETF). La idea era implementar TLS sobre TCP para cifrar aplicaciones utilizando los protocolos FTP, IMAP, SMTP y HTTP. Por ejemplo, HTTPS es una versión segura de HTTP ya que implementa TLS para garantizar la entrega segura de datos evitando alteraciones de contenido y espionaje.

Funcionamiento básico de los protocolos TLS/SSL

La comunicación entre las partes (por ejemplo, el navegador de su computadora y un sitio web) se inicia identificando si incorporará el protocolo TLS/SSL o no, de modo que el cliente puede especificar el uso de cifrado TLS ya sea por:

• Especificar un puerto que admita el cifrado de comunicación SSL, o
• Haciendo solicitudes específicas del protocolo TLS

Mientras tanto, un sitio web requiere un certificado TLS/SSL instalado en su servidor de alojamiento para utilizar el protocolo. Un tercero de confianza emite el certificado que vincula la clave pública al dominio que posee la clave privada y le permite cifrar/descifrar la comunicación.

Después de aceptar el uso de TLS/SSL para la comunicación cliente-servidor, se procede a realizar el protocolo de enlace. El apretón de manos establece las especificaciones requeridas para intercambiar mensajes. La siguiente sección resume la serie de intercambios de información para habilitar la conexión TLS/SSL:

1. Las partes acuerdan la versión del protocolo que utilizarán, luego
2. Decide sobre los algoritmos criptográficos o el conjunto de cifrado a utilizar, luego
3. Autentica a las partes que se comunican con su clave pública y firmas digitales de la autoridad de certificación emisora, luego
4. Intercambia claves de sesión para usar durante la comunicación. Tanto los protocolos TLS como SSL utilizan criptografía asimétrica para generar claves compartidas (públicas) y privadas.

Si el navegador no puede validar el certificado TLS/SSL, devuelve un error de "La conexión no es privada".

Después de establecer el método de descifrado durante el protocolo de enlace, el protocolo de registro utiliza encriptación simétrica para la comunicación durante toda la sesión. Además, el protocolo de registro también agrega el mensaje con HMAC para TLS y MAC para SSL para garantizar la integridad de los datos.

Por lo tanto, los protocolos cumplen tres objetivos fundamentales de seguridad:

• Confidencialidad: Cifra los datos para ocultarlos a terceros de modo que solo el destinatario previsto pueda ver el contenido.
• Integridad: Aplica el código de autenticación de mensajes para verificar el contenido del mensaje cifrado.
• Autenticación: Autentica la identidad del sitio web/cliente/servidor con la ayuda de un certificado para garantizar que las partes que intercambian información no puedan retractarse de su identidad.

¿Cuál es la diferencia entre TLS y SSL?

Como se mencionó anteriormente, la principal diferencia que observa entre ambos protocolos es cómo establecen las conexiones. El protocolo de enlace TLS utiliza una forma implícita de establecer una conexión a través de un protocolo, mientras que SSL establece conexiones explícitas con un puerto.

Independientemente de todas las demás diferencias, la característica fundamental que diferencia ambas conexiones TLS/SSL es el uso de un conjunto de cifrado que decide la seguridad general de la conexión.

La parte esencial de una conexión TLS/SSL es acordar un conjunto de cifrado que define un conjunto de algoritmos para el intercambio de claves, autenticación, cifrado masivo y un código de autenticación de mensajes basado en hash (HMAC) o algoritmos de código de autenticación de mensajes, etc para una sesión en particular. Cada versión de TLS/SSL admite un conjunto diferente de conjuntos de cifrado para la sesión de comunicación. Por lo tanto, cada paquete de cifrado admite su propio conjunto de algoritmos que mejoran la seguridad y el rendimiento general de la conexión.

SSL	TLS
SSL es un protocolo complejo de implementar.	TLS es un protocolo más simple.
SSL tiene tres versiones, de las cuales SSL 3.0 es la última.	TLS tiene cuatro versiones, de las cuales la versión TLS 1.3 es la última
Todas las versiones del protocolo SSL son vulnerables a los ataques.	El protocolo TLS ofrece alta seguridad.
SSL utiliza un código de autenticación de mensajes (MAC) después del cifrado de mensajes para la integridad de los datos	TLS utiliza un código de autenticación de mensajes basado en hash en su protocolo de registro.
SSL utiliza el resumen de mensajes para crear un secreto maestro.	TLS emplea una función pseudoaleatoria para crear un secreto maestro.

¿Por qué TLS reemplazó a SSL?

El cifrado TLS ahora es una práctica estándar para proteger las aplicaciones web o los datos en tránsito de espionaje y manipulación. No es realista suponer que TLS es el protocolo más seguro, ya que ha sido propenso a infracciones como Crime y Heartbleed en 2012 y 2014, pero ha mostrado muchas mejoras en términos de rendimiento y seguridad.

TLS está reemplazando a SSL, y casi todas las versiones de SSL ahora están obsoletas debido a sus vulnerabilidades conocidas. Google Chrome es uno de esos ejemplos que dejó de usar la versión SSL 3.0 en 2014, y la mayoría de los navegadores web modernos no admiten SSL en absoluto.

Use TLS para comunicación cifrada

TLS ayuda a proteger la información confidencial en tránsito, como detalles de tarjetas de crédito, correos electrónicos, voz sobre IP (VOIP), transferencia de archivos y contraseñas. Aunque ambos certificados realizan la tarea de encriptación de datos en tránsito, difieren en funcionalidad y no son interoperables.

Es importante tener en cuenta que TLS se conoce como SSL solo porque SSL es la terminología más utilizada y la presencia de un certificado no garantiza el uso del protocolo TLS. Además, no necesita preocuparse por cambiar los certificados SSL a TLS, ya que todo lo que necesita hacer es instalar el certificado en el servidor, ya que admite ambos protocolos y decide cuál usar.

7 razones por las que su sitio necesita un certificado SSL

No importa si está desarrollando un blog modesto o un sitio de comercio electrónico completo: necesita un certificado SSL. Aquí hay algunas razones prácticas por las cuales.

Leer siguiente

Sobre el Autor