Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

What is an SSL Certificate and How does it Work?

SSL/TLS Certificados

Before diving into the many benefits and uses of SSL Certificates, it may help to understand the underpinning technology. This article provides a brief history lesson on how Secure Socket Layer (SSL) has evolved into Transport Layer Security (TLS) and a simple explanation of how they provide security for both Public internet and enterprise intranet connections.

In particular, the aim is to give you a complete overview of the Secure Socket Layer (SSL) protocol and certificates to help you make the best decisions regarding certificate management for your enterprise.

¿Qué es SSL?

SSL is the original name of the cryptographic protocol for authenticating and encrypting communications over a network. Officially, SSL was replaced by an updated protocol called TLS some time ago. 

SSL a TLS Cronología

A continuación se muestra una cronología de cómo ha cambiado SSL a lo largo del tiempo:

  1. SSL es un protocolo de seguridad desarrollado por Netscape en los años 90 para cifrar y proteger las comunicaciones a través de Internet. SSL v1.0 nunca llegó a publicarse por problemas de seguridad.
  2. En 1995, Netscape lanzó SSL v2.0, pero aún tenía muchos defectos.
  3. SSL v3.0 se lanzó en 1996 y solucionó los problemas de SSL v2.0. Esta versión ofrecía mejoras increíbles y cambió para siempre el funcionamiento de Internet. Sin embargo, a partir de 2015, SSL 3.0 y las versiones anteriores han quedado obsoletas.
  4. TLS fue desarrollado por la Internet Engineering Task Force (IETF) como una mejora de SSL; TLS v1.0 publicado en 1999 y basado en SSL v3.0, con pequeñas mejoras de seguridad lo suficientemente significativas como para que SSL v3.0 y TLS v1.0 no interoperaran.
  5. TLS La v1.1 salió siete años después, en 2006, y fue sustituida por TLS v1.2 poco después, en 2008. Esto perjudicó a la adopción de TLS v1.1, ya que muchos sitios web pasaron de TLS v1.0 directamente a TLS v1.2. Once años después, nos encontramos en TLS v1.3.
  6. TLS v1.3 finalizada en 2018 y tras casi 30 borradores del IETF. TLS v1.3 introduce mejoras significativas con respecto a sus predecesoras. Microsoft, Apple, Google, Mozilla, Cloudflare y Cisco han dejado de utilizar TLS v1.0 y TLS v1.1 a partir de marzo de 2020. TLS v1.2 y TLS v1.3 son ahora los únicos protocolos SSL que siguen disponibles.

 

Así que, en realidad TLS es simplemente una versión más reciente de SSL. Sin embargo, la mayoría de la gente sigue diciendo SSL en lugar de TLS. SSL y TLS sirven para lo mismo, proteger la información sensible durante la transmisión, pero bajo el capó, la criptografía ha cambiado mucho desde el original SSL hasta el último TLS v1.3.

Digital certificates are the core of the SSL protocol; they initiate the secure connections between servers (e.g., websites, intranets, or VPN) and clients (e.g., web browsers, applications, or email clients).

SSL ofrecen una protección adecuada contra el phishing y la escucha de transmisiones, así como la autenticación automática de un servidor, como el dominio de un sitio web. Si un sitio web solicita información sensible a los usuarios, necesita disponer de un certificado SSL para cifrarla durante la transmisión. Si no existe un certificado SSL , no se debe confiar ninguna información privada a esa conexión.

¿Cómo funciona?

El objetivo principal de SSL es proporcionar una conexión segura de capa de transporte entre dos puntos finales, el servidor y el cliente. Esta conexión suele darse entre el servidor de un sitio web y el navegador del cliente, o entre un servidor de correo y la aplicación de correo electrónico del cliente, como Outlook.

SSL comprende dos protocolos distintos:

  1. The Handshake protocol authenticates the server (and optionally the client), negotiates crypto suites, and generates the shared key. 
  2. El sitio protocolo Record aísla cada conexión y utiliza la clave compartida para asegurar las comunicaciones durante el resto de la sesión.

El protocolo Handshake

El handshake SSL es una criptografía asimétrica para establecer un canal seguro para que el servidor y el cliente se comuniquen. LAS CONEXIONES HTTPS comienzan siempre con el handshake SSL .

Un "apretón de manos" satisfactorio tiene lugar detrás del navegador o la aplicación del cliente, de forma instantánea y automática, sin perturbar la experiencia del usuario cliente. Sin embargo, si falla, se interrumpe la conexión, lo que suele ir precedido de un mensaje de alerta en el navegador del cliente.

Siempre que SSL sea válido y correcto, el apretón de manos ofrece las siguientes ventajas de seguridad:

  • Autenticación: El servidor siempre se autentica mientras la conexión sea válida.
  • Confidencialidad: Los datos enviados a través de SSL están encriptados y sólo son visibles para el servidor y el cliente.
  • Integridad: Las firmas de certificados digitales garantizan que los datos no han sido modificados durante la transferencia.

 

En resumen, los certificados SSL funcionan fundamentalmente utilizando una mezcla de criptografía asimétrica y criptografía simétrica para las comunicaciones a través de Internet. También existen otras infraestructuras implicadas en la consecución de la comunicación SSL en las empresas, conocidas como Infraestructuras de Clave Pública.

¿Cómo funcionan los certificados de SSL ?

Cuando reciba el certificado SSL , instálelo en su servidor. Puede instalar un certificado intermedio que establezca la credibilidad de su certificado SSL encadenándolo al certificado raíz de su CA.

Los certificados raíz son autofirmados y constituyen la base de una infraestructura de claves públicas (PKI) basada en X.509. La PKI que soporta HTTPS para la navegación web segura y los esquemas de firma electrónica depende de los certificados raíz. En otras aplicaciones de los certificados X.509, una jerarquía de certificados certifica la validez de emisión de un certificado. Esta jerarquía se denomina "Cadena de Confianza" de un certificado.

Cadena de confianza

La cadena de confianza se refiere a su certificado SSL y su vínculo con una autoridad de certificación de confianza. Para que un certificado de SSL sea de confianza, debe remontarse a una CA raíz de confianza. Una cadena de confianza garantiza la privacidad, la confianza y la seguridad de todas las partes implicadas.

En el núcleo de toda PKI se encuentra la CA raíz, que actúa como fuente de integridad de confianza para todo el sistema. La autoridad de certificación raíz firma un certificado SSL , iniciando así la cadena de confianza. Si la CA raíz es de confianza pública, cualquier certificado de CA válido encadenado a ella será de confianza para los principales navegadores de Internet y sistemas operativos.

¿Cómo se verifica una cadena de confianza?

El cliente o navegador conoce intrínsecamente las claves públicas de un puñado de CA de confianza y las utiliza para verificar el certificado SSL del servidor. El cliente repite el proceso de verificación de forma recursiva con cada certificado de la cadena de confianza hasta llegar al principio, la CA raíz.

¿Qué hace un certificado SSL ?

En las conexiones HTTP no seguras, los piratas informáticos pueden interceptar fácilmente los mensajes entre el cliente y el servidor y leerlos en texto plano. Las conexiones cifradas codifican la comunicación hasta que el cliente puede descifrarla con la otra clave de sesión.

Cuando se instalan en un servidor web, los certificados SSL utilizan un sistema de par de claves pública/privada para iniciar el protocolo HTTPS y permitir la conexión segura de usuarios y clientes.

Para Internet: ¿Qué hacen los certificados SSL por los sitios web?

Cuando un certificado firmado de SSL protege un sitio web, demuestra que la organización ha verificado y autenticado su identidad con la tercera parte de confianza; como el navegador confía en la CA, ahora también confía en la identidad de esa organización.

La forma más sencilla de comprobar si el sitio web tiene instalado un SSL es mirar en su navegador; fíjese si la URL del sitio web empieza por "HTTPS:", ya que esto indica si tiene un certificado SSL instalado en el servidor. Si es así, haga clic en el icono del candado de la barra de direcciones para ver la información del certificado.

Historically, web browsers use HyperText Transfer Protocol (HTTP) to connect to web servers that listen on TCP port 80 by default. HTTP is a plain-text protocol, which means it is relatively easy for a hacker to intercept and read the transit data. Due to the proliferation of phishing, Google’s Chrome browser, among others, now redirects to HTTPS by default.

SSL utiliza el puerto número 443, cifrando los datos intercambiados entre el navegador y el servidor y autenticando al usuario. Por tanto, cuando las comunicaciones entre el navegador y el servidor deben ser seguras, el navegador pasa automáticamente a SSL , siempre que el servidor tenga instalado un certificado SSL .

El establecimiento de una conexión con un servidor con un certificado firmado por una CA de confianza se produce sin dificultades adicionales para el usuario. Cuando un internauta visita un sitio web protegido por SSL, está más dispuesto a facilitar sus datos de contacto o a comprar con tarjeta de crédito. Además, tener un certificado SSL en su sitio web aumenta su posición en el ranking, facilitando que los usuarios y clientes encuentren su sitio.

SSL da fe de la fiabilidad de un sitio web, pero con certificados más avanzados, toda la empresa puede estar certificada en SSL .

Para Intranets: ¿Qué aportan los certificados SSL a las aplicaciones en un entorno empresarial?

Aunque el propósito original de SSLera la World Wide Web, las empresas utilizan los certificados SSL para proteger una amplia variedad de conexiones internas y externas. Los casos de uso más comunes de los certificados SSL para empresas incluyen:

  • Network Access Controls (NAC)
  • Redes privadas virtuales (VPN)
  • Single Sign-On (SSO)
  • Internet de los objetos (IoT)

 

If properly configured, all these applications run on top of SSL protocol. We’ll take a closer look at these examples in the following section:

Acceso a la red

Los empleados que conectan dispositivos inalámbricos a la red corporativa tienen necesidad de facilidad de acceso y, al mismo tiempo, la red debe impedir el acceso no autorizado a los recursos corporativos. Los empleados pueden utilizar certificados de SSL para acceder y cifrar archivos desde sus dispositivos, servidores corporativos o incluso servidores en la nube para personas autorizadas.

Evite la necesidad de recordar/restablecer contraseñas largas y difíciles de recordar que cambian cada 90 días sustituyéndolas por una identidad digital. Coloque una identidad digital en el escritorio de Windows o Mac, en el servidor o en los puntos de acceso WiFi, para que solo los dispositivos autorizados puedan conectarse a su red corporativa.

Inicio de sesión único

Los empleados de las empresas actuales tienen acceso a una amplia variedad de servicios de identidad o productos de federación. Las empresas suelen utilizar un producto Web Single Sign-on para acceder a todos sus recursos en el portal corporativo o servicios en la nube.

Internet de los objetos

A digital identity can be installed in your IoT device and the user’s device or application to ensure that only trusted IoT devices could connect to your network. The IoT device takes instructions from or sends data to authorized applications, and users possess a digital identity.

SSL VPN

A Secure Sockets Layer Virtual Private Network (SSL VPN) is a virtual private network (VPN) created using the Secure Sockets Layer (SSL). IT departments can scale both the solution and its required infrastructure services. SSL VPN enables granular control over managed application access to enterprise web applications. Perhaps the most significant benefits of SSL VPN come from the gained efficiency and productivity of freeing up IT resources by enabling all digital certificates to be accessed remotely.

Firma de código, documentos y correos electrónicos

Many people don’t realize that code signing, document signing, and email signing certificates are not SSL certificates. Even though they are all facilitated by PKI x.509 certificates, the key-usage function makes all the difference. Read “Difference Between Code Signing and SSL certificate” or “Difference Between Digital certificate and Digital Signature” to learn more on the subject.