¿Qué es SSL? Comprendiendo la historia de SSL y cómo funciona

Antes de profundizar en los numerosos beneficios y usos de los Certificados SSL, puede ser útil comprender la tecnología subyacente. Este artículo ofrece una breve lección de historia sobre cómo Secure Socket Layer (SSL) ha evolucionado a Transport Layer Security (TLS) y una explicación sencilla de cómo proporcionan seguridad tanto para las conexiones de Internet público como para las de Intranet empresarial.

En particular, el objetivo es ofrecerle una visión completa del protocolo y los certificados Secure Socket Layer (SSL) para ayudarle a tomar las mejores decisiones en cuanto a la gestión de certificados para su empresa.

SSL es el nombre original del protocolo criptográfico para autenticar y cifrar las comunicaciones a través de una red. Oficialmente, SSL fue reemplazado hace algún tiempo por un protocolo actualizado llamado TLS. 

A continuación, se presenta una cronología de cómo SSL ha evolucionado con el tiempo: 

1. SSL es un protocolo de seguridad desarrollado por Netscape en los años 90 para cifrar y asegurar las comunicaciones a través de internet. SSL v1.0 nunca fue lanzado debido a problemas de seguridad. 
2. En 1995, Netscape lanzó SSL v2.0, pero aún presentaba muchas fallas. 
3. SSL v3.0 fue lanzado en 1996 y abordó los problemas de SSL v2.0. Esta versión ofreció mejoras increíbles y cambió para siempre la forma en que funciona internet. Sin embargo, a partir de 2015, SSL 3.0 y las versiones anteriores han sido deprecadas. 
4. TLS fue desarrollado por la Internet Engineering Task Force (IETF) como una mejora de SSL; TLS v1.0 fue lanzado en 1999 y se basó en SSL v3.0, con mejoras de seguridad menores pero lo suficientemente significativas como para que SSL v3.0 y TLS v1.0 no fueran interoperables. 
5. TLS v1.1 apareció siete años después, en 2006, y fue reemplazado por TLS v1.2 poco después, en 2008. Esto perjudicó la adopción de TLS v1.1, ya que muchos sitios web actualizaron directamente de TLS v1.0 a TLS v1.2. 11 años después, nos encontramos en TLS v1.3. 
6. TLS v1.3 se finalizó en 2018, después de casi 30 borradores del IETF. TLS v1.3 introduce mejoras significativas con respecto a sus predecesores. Microsoft, Apple, Google, Mozilla, Cloudflare y Cisco han deprecado TLS v1.0 y TLS v1.1 a partir de marzo de 2020. TLS v1.2 y TLS v1.3 son ahora los únicos protocolos SSL aún disponibles.  

Así pues, en realidad, TLS es simplemente una versión más reciente de SSL. Sin embargo, la mayoría de la gente sigue diciendo SSL en lugar de TLS. SSL y TLS cumplen el mismo propósito, proteger la información sensible durante la transmisión, pero a nivel interno, la criptografía ha cambiado mucho desde el SSL original hasta la última versión TLS v1.3.  

Los certificados digitales son el núcleo del protocolo SSL; estos inician las conexiones seguras entre servidores (por ejemplo, sitios web, intranets o VPN) y clientes (por ejemplo, navegadores web, aplicaciones o clientes de correo electrónico).

Los certificados SSL ofrecen protección adecuada contra el phishing y la interceptación de transmisiones y la autenticación automática de un servidor, como un dominio de sitio web. Si un sitio web solicita información sensible a los usuarios, necesita tener un certificado SSL para cifrarla durante la transmisión. Si no hay un certificado SSL, entonces no se debe confiar en esa conexión con ninguna información privada.

El propósito principal de SSL es proporcionar una conexión segura a nivel de transporte entre dos puntos finales: el servidor y el cliente. Esta conexión suele establecerse entre un servidor web y el navegador del cliente, o entre un servidor de correo y la aplicación de correo electrónico del cliente, como Outlook. 

SSL se compone de dos protocolos distintos: 

1. El protocolo Handshake autentica al servidor (y opcionalmente al cliente), negocia los conjuntos criptográficos y genera la clave compartida. 
2. El protocolo Record aísla cada conexión y utiliza la clave compartida para asegurar las comunicaciones durante el resto de la sesión. 

El handshake SSL es un proceso de criptografía asimétrica para establecer un canal seguro de comunicación entre el servidor y el cliente; las conexiones HTTPS siempre comienzan con el handshake SSL.  

Un handshake exitoso tiene lugar detrás del navegador o la aplicación del cliente, de forma instantánea y automática, sin perturbar la experiencia del usuario. Sin embargo, un handshake fallido provoca la terminación de la conexión, generalmente precedida por un mensaje de alerta en el navegador del cliente. 

Siempre que SSL sea válido y correcto, el apretón de manos ofrece las siguientes ventajas de seguridad:

• Autenticación: El servidor siempre está autenticado mientras la conexión sea válida. 
• Confidencialidad: Los datos enviados a través de SSL están cifrados y solo son visibles para el servidor y el cliente. 

• Integridad: Las firmas de certificados digitales aseguran que los datos no han sido modificados durante la transferencia. 

En resumen, los certificados SSL funcionan fundamentalmente utilizando una combinación de criptografía asimétrica y criptografía simétrica para las comunicaciones a través de internet. También existen otras infraestructuras involucradas en la consecución de la comunicación SSL en las empresas, conocidas como Infraestructuras de Clave Pública.

Cuando reciba el certificado SSL, instálelo en su servidor. Puede instalar un certificado intermedio que establezca la credibilidad de su certificado SSL encadenándolo al certificado raíz de su CA.

Los certificados raíz son autofirmados y constituyen la base de una infraestructura de clave pública (PKI) basada en X.509. La PKI que soporta HTTPS para la navegación web segura y los esquemas de firma electrónica depende de los certificados raíz. En otras aplicaciones de certificados X.509, una jerarquía de certificados certifica la validez de emisión de un certificado. Esta jerarquía se denomina «cadena de confianza» de un certificado.

La cadena de confianza se refiere a su certificado SSL y su vínculo con una autoridad de certificación de confianza. Para que un certificado SSL sea de confianza, debe remontarse a una CA raíz de confianza. Una cadena de confianza garantiza la privacidad, la confianza y la seguridad para todas las partes implicadas.

En el núcleo de cada PKI se encuentra la CA raíz; esta sirve como fuente de integridad de confianza para todo el sistema. La autoridad de certificación raíz firma un certificado SSL, iniciando así la cadena de confianza. Si la CA raíz es de confianza pública, cualquier certificado de CA válido encadenado a ella será de confianza para todos los principales navegadores de internet y sistemas operativos.

El cliente o navegador conoce intrínsecamente las claves públicas de un puñado de CA de confianza y utiliza estas claves para verificar el certificado SSL del servidor. El cliente repite el proceso de verificación de forma recursiva con cada certificado de la cadena de confianza hasta rastrearlo de nuevo al principio, la CA raíz.

En las conexiones HTTP no seguras, los hackers pueden interceptar fácilmente los mensajes entre el cliente y el servidor y leerlos en texto plano. Las conexiones cifradas codifican la comunicación hasta que el cliente puede descifrarla con la otra clave de sesión.

Cuando se instalan en un servidor web, los certificados SSL utilizan un sistema de par de claves pública/privada para iniciar el protocolo HTTPS y habilitar conexiones seguras para que usuarios y clientes puedan conectarse.

Cuando un certificado SSL firmado protege un sitio web, demuestra que la organización ha verificado y autenticado su identidad con el tercero de confianza; dado que el navegador confía en la CA, el navegador también confía en la identidad de esa organización.

La forma más sencilla de comprobar si el sitio web tiene un SSL instalado es mirar su navegador; vea si la URL del sitio web comienza con «HTTPS:», ya que esto indica si tiene un certificado SSL instalado en el servidor. Si es así, haga clic en el icono del candado en la barra de direcciones para ver la información del certificado.

Los navegadores web utilizan el Protocolo de Transferencia de Hipertexto (HTTP) para conectarse a servidores web que escuchan en el puerto TCP 80 por defecto. HTTP es un protocolo de texto plano, lo que significa que es relativamente fácil para un hacker interceptar y leer los datos en tránsito. No es adecuado para ninguna aplicación que requiera confidencialidad.

SSL utiliza el puerto 443, cifrando los datos intercambiados entre el navegador y el servidor y autenticando al usuario. Por lo tanto, cuando las comunicaciones entre el navegador web y el servidor necesitan ser seguras, el navegador cambia automáticamente a SSL, siempre y cuando el servidor tenga un certificado SSL instalado.

Establecer una conexión con un servidor que posee un certificado firmado por una CA de confianza se realiza sin dificultades adicionales para el usuario. Cuando un usuario de internet visita un sitio web protegido con SSL, está más dispuesto a enviar su información de contacto o a comprar con su tarjeta de crédito. Además, tener un certificado SSL en su sitio web aumenta su posición en el ranking, facilitando que usuarios y clientes encuentren su sitio.

El certificado SSL da fe de la fiabilidad de un sitio web, pero con certificados más avanzados, toda la empresa puede obtener la certificación SSL.

Aunque el propósito original de SSL era para la World Wide Web, las empresas utilizan certificados SSL para proteger una amplia variedad de conexiones internas y externas. Los casos de uso más comunes para los certificados SSL empresariales incluyen:

• Controles de acceso a la red
• Redes Privadas Virtuales (VPN)
• Inicio de sesión único
• Internet de las cosas (IoT)

Si se configuran correctamente, todas estas aplicaciones se ejecutan sobre el protocolo SSL. Analizaremos más de cerca estos ejemplos en la siguiente sección:

Los empleados que conectan dispositivos inalámbricos a la red corporativa requieren facilidad de acceso, mientras que, simultáneamente, la red debe impedir el acceso no autorizado a los recursos corporativos. Los empleados pueden utilizar certificados SSL para acceder y cifrar archivos desde sus dispositivos, servidores corporativos o incluso servidores en la nube para el personal autorizado.

Evite la necesidad de recordar o restablecer contraseñas largas y difíciles de memorizar que cambian cada 90 días, sustituyéndolas por una identidad digital. Instale una identidad digital en los escritorios de Windows o Mac, en los servidores o en los puntos de acceso WiFi, de modo que solo los dispositivos autorizados puedan conectarse a su red corporativa.

Los empleados de las empresas actuales tienen acceso a una amplia variedad de servicios de identidad o productos de federación. Las empresas suelen utilizar un producto de inicio de sesión único (Web Single Sign-On) para acceder a todos sus recursos en el portal corporativo o en los servicios en la nube.

Se puede instalar una identidad digital en su dispositivo IoT y en el dispositivo o aplicación del usuario para garantizar que solo los dispositivos IoT de confianza puedan conectarse a su red. El dispositivo IoT recibe instrucciones o envía datos a aplicaciones autorizadas, y los usuarios poseen una identidad digital.

Una Red Privada Virtual de Capa de Conexiones Seguras (SSL VPN) es una red privada virtual (VPN) creada utilizando la Capa de Conexiones Seguras (SSL). Los departamentos de TI pueden escalar tanto la solución como sus servicios de infraestructura necesarios. La SSL VPN permite un control granular sobre el acceso gestionado de aplicaciones a las aplicaciones web empresariales. Quizás los beneficios más significativos de la SSL VPN provengan de la eficiencia y productividad obtenidas al liberar recursos de TI, permitiendo el acceso remoto a todos los certificados digitales.

Muchas personas no se dan cuenta de que los certificados de firma de código, documentos y correo electrónico no son certificados SSL. Aunque todos son facilitados por certificados PKI x.509, la función de uso de clave marca la diferencia. Para obtener más información sobre el tema, lea "Diferencia entre la firma de código y el certificado SSL" o "Diferencia entre el certificado digital y la firma digital".