Conoce a TLS y SSL: dos protocolos diseñados para la autenticación segura y transporte de datos en línea. ¿Es uno mejor que el otro? Y si es así, ¿por qué?
Índice del artículo
En esta guía detallada, exploraremos las diferencias más importantes entre ambos protocolos, cómo pueden conectarse eficazmente con HTTPS y por qué tú, como usuario, no necesitas rayarte demasiado con las diferencias.
TLS vs SSL: Entendiendo las diferencias y similitudes
Transport Layer Security (TLS) y Secure Socket Layers (SSL) son protocolos criptográficos creados para transportar datos en Internet de forma segura, cifrándolos y autenticando conexiones.
¿Por qué es esto importante? Imagina que quieres que tu página web maneje transacciones con tarjetas de crédito, pero te preocupa la seguridad. Bueno, con TLS y SSL, puedes estar tranquilo sabiendo que los datos se procesarán de forma segura sin que usuarios no autorizados tengan acceso.
Pero, ¿en qué se diferencian TLS y SSL? Para empezar, TLS es una versión más reciente de SSL y corrigió varios problemas de seguridad encontrados en protocolos SSL anteriores. Veamos un poco sobre la historia de los protocolos.
La versión 2.0 de SSL fue lanzada en febrero de 1995. La primera versión nunca se lanzó al público debido a sus vulnerabilidades de seguridad. Aunque SSL 2.0 sí se lanzó, aún tenía problemas de seguridad, razón por la cual en 1996 se lanzó el SSL 3.0 para reemplazarlo.
TLS 1.0 llegó en 1999 como una mejora de SSL 3.0. Desde entonces, se han lanzado tres versiones más de TLS, incluyendo TLS 1.3 en 2018 (la versión más reciente).
Al momento de escribir esto, ambas versiones de SSL tienen varios fallos de seguridad y han sido descontinuadas. Hablaremos más de esto más adelante.
Antes de continuar, aquí tienes una cronología rápida de los lanzamientos:
- SSL 1.0: Vulnerabilidades de seguridad impidieron su lanzamiento al público.
- SSL 2.0: Lanzado en 1995 pero con problemas de seguridad conocidos. Fue descontinuado en 2011.
- SSL 3.0: Lanzado en 1996 pero descontinuado en 2015. Con fallos de seguridad conocidos.
- TLS 1.0: Lanzado como una mejora de SSL 3.0 en 1999 y descontinuado en 2021.
- TLS 1.1: Lanzado en 2006 y descontinuado en 2021.
- TLS 1.2: Lanzado en 2008.
- TLS 1.3: Lanzado en 2018.
¿Cómo TLS y SSL protegen los datos en línea?
En esta sección, explicaremos cómo TLS y SSL trabajan para proteger los datos de manera efectiva.
Cualquier certificado SSL/TLS (a menudo llamado «certificado SSL») que instales en tu servidor viene con una clave privada y una clave pública. Estas no solo autentican el servidor, sino que también permiten que tu servidor cifre y descifre datos eficientemente.
Cada vez que un visitante accede a tu sitio web, su navegador buscará tu certificado SSL/TLS, verificará la validez del certificado y autenticará el servidor (un proceso conocido como «handshake» o saludo). Si el navegador determina que el certificado no es válido, es probable que se presente un mensaje de error advirtiendo que su conexión «no es privada». Y eso podría alejarlos de tu sitio.
Pero cuando un navegador confirma que tu certificado es válido y el servidor está autenticado, esencialmente establece un enlace cifrado y permite que el servidor entregue datos de manera segura. Es por eso que aparece HTTPS en las barras de direcciones, ya que representa HTTP sobre SSL/TLS.
Tanto el protocolo HTTP como el actualizado HTTP/2 desempeñan un papel fundamental en la transferencia segura de datos en Internet. Lamentablemente, esos datos corren el riesgo de ser atacados e interceptados cuando se utiliza HTTP simple. Sin embargo, con HTTPS, los datos se cifran y autentican mientras están en tránsito, manteniéndolos completamente protegidos.
Por lo tanto, puedes pagar productos en línea con tu tarjeta de crédito de forma segura si un sitio web tiene HTTPS en su barra de direcciones, pero no si solo usa HTTP. No es sorprendente que Google Chrome haya estado fomentando la adopción generalizada de HTTPS para garantizar que todos estén protegidos.
Certificados SSL y desaparición de SSL
Ya hemos mencionado que TLS es la encarnación más reciente de SSL y que ambas de sus versiones lanzadas al público han sido descontinuadas durante años debido a sus fallos de seguridad. Y, con eso en mente, te preguntarás: ¿por qué se usa comúnmente el término «certificado SSL» en lugar de «certificado TLS»? Es una pregunta justa, especialmente cuando el protocolo de seguridad más reciente es TLS.
La principal razón por la que la mayoría de las personas sigue usando el término certificados SSL se reduce al branding o marca: la mayoría de los principales proveedores de certificados describen sus certificados como SSL, y eso se ha convertido en la norma para todos los demás. Es así de simple.
Todos esos certificados SSL anunciados en línea son en realidad certificados SSL/TLS, y puedes usar protocolos SSL y TLS con el tuyo. Por lo tanto, no tienes que preocuparte por cambiar tu certificado SSL por uno TLS.
¿Es TLS o SSL lo correcto para ti? ¿Será SSL superado por TLS?
Vamos a mantenerlo simple: sí, SSL está siendo reemplazado por TLS. Y sí, deberías elegir TLS en lugar de SSL.
Las dos versiones públicas de SSL han sido descontinuadas principalmente debido a las debilidades conocidas en su seguridad. Es por eso que SSL no es un protocolo completamente seguro y confiable.
Afortunadamente, TLS es seguro, ya que es la versión más actualizada de SSL, y las últimas versiones de TLS ofrecen una serie de mejoras. Otro punto a considerar es que la mayoría de los navegadores populares de hoy han dejado de dar soporte a SSL 2.0 y 3.0.
Google Chrome, por ejemplo, terminó el soporte para SSL 3.0 a mediados de la década de 2010, y los navegadores más importantes han dejado de dar soporte a TLS 1.0 y 1.1. Google Chrome incluso comenzó a mostrar alertas ERR_SSL_OBSOLETE_VERSION para proteger a los usuarios de riesgos de seguridad.
Claramente, es esencial usar las versiones más recientes de TLS en lugar de protocolos obsoletos y potencialmente riesgosos. Pero, ¿cómo te aseguras de eso?
Para empezar, ten en cuenta lo siguiente: tu certificado no es lo mismo que el protocolo utilizado por tu servidor. No estás obligado a cambiar tu certificado para utilizar TLS y, aunque pueda estar etiquetado como un certificado SSL, tu certificado ofrecerá soporte para ambos protocolos.
La realidad es que tienes control a nivel de servidor sobre el protocolo utilizado por tu sitio web; puedes usar la herramienta SSL Labs para averiguar qué protocolos están implementados en tu sitio web.
¿Qué puedes hacer si descubres que tu servidor todavía admite los protocolos SSL obsoletos? Simplemente, ponte en contacto con el soporte de tu proveedor de hosting y pide su ayuda.
¿Cuáles son los beneficios de tener más de un protocolo TLS habilitado?
Es posible que descubras que tu servidor ofrece tanto los protocolos TLS 1.3 como 1.2. ¿Por qué harían eso?
Por una buena razón. Recuerda: el handshake o saludo SSL/TLS consta de dos componentes: el servidor web y el cliente (por ejemplo, el navegador de un usuario). Ambos componentes deben ofrecer soporte para el mismo protocolo para completar correctamente el handshake. Así que esa es la buena razón para tener múltiples protocolos habilitados: compatibilidad.
En 2018, cuando se lanzó TLS 1.3, tanto Firefox como Chrome implementaron soporte para él prácticamente de inmediato. Pero Microsoft y Apple tardaron un poco más. Y al año siguiente, varios navegadores aún no ofrecían soporte para TLS 1.3, como Opera, Internet Explorer y Samsung Internet.
Afortunadamente, sin embargo, todos los navegadores líderes ofrecieron soporte para TLS 1.2 en ese momento, por lo que tener ambos protocolos habilitados en un servidor garantizaba una compatibilidad confiable. Eso proporcionaría una experiencia de usuario más positiva y confiable.
Conclusión
En resumen, sabemos que los protocolos SSL y TLS cifran y autentican la transferencia de datos en línea. Ambos tienen una conexión estrecha, pero TLS es simplemente una versión más segura y actualizada de SSL.
SSL sigue siendo el término principal utilizado en línea, pero generalmente la gente se refiere a TLS cuando habla de SSL, ya que ambas versiones de SSL lanzadas al público no son seguras y han sido declaradas obsoletas desde hace tiempo. No es necesario cambiar tu certificado SSL por uno TLS; admitirá tanto TLS como SSL.
Es vital que aproveches las versiones más recientes de TLS porque SSL ya no es seguro; sin embargo, tu certificado no determinará qué protocolo utiliza tu servidor. En cambio, puedes seleccionar el protocolo a usar a nivel de servidor después de instalar tu certificado.