¿Qué es SSL? Historia y funcionamiento de SSL

Antes de sumergirse en las numerosas ventajas y usos de los certificadosSSL , puede ser útil comprender la tecnología subyacente. Este artículo ofrece una breve lección de historia sobre cómo Secure Socket Layer (SSL) ha evolucionado hasta convertirse en Transport Layer Security (TLS ) y una explicación sencilla de cómo proporcionan seguridad tanto para las conexiones públicas a Internet como para las conexiones a la Intranet de la empresa.

En concreto, el objetivo es ofrecerle una visión completa del protocolo Secure Socket Layer (SSL ) y de los certificados para ayudarle a tomar las mejores decisiones en relación con la gestión de certificados para su empresa.

SSL es el nombre original del protocolo criptográfico para autenticar y encriptar comunicaciones a través de una red. Oficialmente, SSL fue sustituido por un protocolo actualizado llamado TLS hace algún tiempo.

A continuación se muestra una cronología de cómo ha cambiado SSL a lo largo del tiempo:

1. SSL es un protocolo de seguridad desarrollado por Netscape en los años 90 para cifrar y proteger las comunicaciones a través de Internet. SSL v1.0 nunca llegó a publicarse por problemas de seguridad.
2. En 1995, Netscape lanzó SSL v2.0, pero aún tenía muchos defectos.
3. SSL v3.0 se lanzó en 1996 y solucionó los problemas de SSL v2.0. Esta versión ofrecía mejoras increíbles y cambió para siempre el funcionamiento de Internet. Sin embargo, a partir de 2015, SSL 3.0 y las versiones anteriores han quedado obsoletas.
4. TLS fue desarrollado por la Internet Engineering Task Force (IETF) como una mejora de SSL; TLS v1.0 publicado en 1999 y basado en SSL v3.0, con pequeñas mejoras de seguridad lo suficientemente significativas como para que SSL v3.0 y TLS v1.0 no interoperaran.
5. TLS La v1.1 salió siete años después, en 2006, y fue sustituida por TLS v1.2 poco después, en 2008. Esto perjudicó a la adopción de TLS v1.1, ya que muchos sitios web pasaron de TLS v1.0 directamente a TLS v1.2. Once años después, nos encontramos en TLS v1.3.
6. TLS v1.3 finalizada en 2018 y tras casi 30 borradores del IETF. TLS v1.3 introduce mejoras significativas con respecto a sus predecesoras. Microsoft, Apple, Google, Mozilla, Cloudflare y Cisco han dejado de utilizar TLS v1.0 y TLS v1.1 a partir de marzo de 2020. TLS v1.2 y TLS v1.3 son ahora los únicos protocolos SSL que siguen disponibles.

Así que, en realidad TLS es simplemente una versión más reciente de SSL. Sin embargo, la mayoría de la gente sigue diciendo SSL en lugar de TLS. SSL y TLS sirven para lo mismo, proteger la información sensible durante la transmisión, pero bajo el capó, la criptografía ha cambiado mucho desde el original SSL hasta el último TLS v1.3.

Los certificados digitales son el núcleo del protocolo SSL ; inician las conexiones seguras entre servidores (por ejemplo, sitios web, intranets o VPN) y clientes (por ejemplo, navegadores web, aplicaciones o clientes de correo electrónico).

SSL ofrecen una protección adecuada contra el phishing y la escucha de transmisiones, así como la autenticación automática de un servidor, como el dominio de un sitio web. Si un sitio web solicita información sensible a los usuarios, necesita disponer de un certificado SSL para cifrarla durante la transmisión. Si no existe un certificado SSL , no se debe confiar ninguna información privada a esa conexión.

El objetivo principal de SSL es proporcionar una conexión segura de capa de transporte entre dos puntos finales, el servidor y el cliente. Esta conexión suele darse entre el servidor de un sitio web y el navegador del cliente, o entre un servidor de correo y la aplicación de correo electrónico del cliente, como Outlook.

SSL comprende dos protocolos distintos:

1. El protocolo Handshake autentica al servidor (y opcionalmente al cliente), negocia suites criptográficas y genera la clave compartida.
2. El sitio protocolo Record aísla cada conexión y utiliza la clave compartida para asegurar las comunicaciones durante el resto de la sesión.

El handshake SSL es una criptografía asimétrica para establecer un canal seguro para que el servidor y el cliente se comuniquen. LAS CONEXIONES HTTPS comienzan siempre con el handshake SSL .

Un "apretón de manos" satisfactorio tiene lugar detrás del navegador o la aplicación del cliente, de forma instantánea y automática, sin perturbar la experiencia del usuario cliente. Sin embargo, si falla, se interrumpe la conexión, lo que suele ir precedido de un mensaje de alerta en el navegador del cliente.

Siempre que SSL sea válido y correcto, el apretón de manos ofrece las siguientes ventajas de seguridad:

• Autenticación: El servidor siempre se autentica mientras la conexión sea válida.
• Confidencialidad: Los datos enviados a través de SSL están encriptados y sólo son visibles para el servidor y el cliente.

• Integridad: Las firmas de certificados digitales garantizan que los datos no han sido modificados durante la transferencia.

En resumen, los certificados SSL funcionan fundamentalmente utilizando una mezcla de criptografía asimétrica y criptografía simétrica para las comunicaciones a través de Internet. También existen otras infraestructuras implicadas en la consecución de la comunicación SSL en las empresas, conocidas como Infraestructuras de Clave Pública.

Cuando reciba el certificado SSL , instálelo en su servidor. Puede instalar un certificado intermedio que establezca la credibilidad de su certificado SSL encadenándolo al certificado raíz de su CA.

Los certificados raíz son autofirmados y constituyen la base de una infraestructura de claves públicas (PKI) basada en X.509. La PKI que soporta HTTPS para la navegación web segura y los esquemas de firma electrónica depende de los certificados raíz. En otras aplicaciones de los certificados X.509, una jerarquía de certificados certifica la validez de emisión de un certificado. Esta jerarquía se denomina "Cadena de Confianza" de un certificado.

La cadena de confianza se refiere a su certificado SSL y su vínculo con una autoridad de certificación de confianza. Para que un certificado de SSL sea de confianza, debe remontarse a una CA raíz de confianza. Una cadena de confianza garantiza la privacidad, la confianza y la seguridad de todas las partes implicadas.

En el núcleo de toda PKI se encuentra la CA raíz, que actúa como fuente de integridad de confianza para todo el sistema. La autoridad de certificación raíz firma un certificado SSL , iniciando así la cadena de confianza. Si la CA raíz es de confianza pública, cualquier certificado de CA válido encadenado a ella será de confianza para los principales navegadores de Internet y sistemas operativos.

El cliente o navegador conoce intrínsecamente las claves públicas de un puñado de CA de confianza y las utiliza para verificar el certificado SSL del servidor. El cliente repite el proceso de verificación de forma recursiva con cada certificado de la cadena de confianza hasta llegar al principio, la CA raíz.

En las conexiones HTTP no seguras, los piratas informáticos pueden interceptar fácilmente los mensajes entre el cliente y el servidor y leerlos en texto plano. Las conexiones cifradas codifican la comunicación hasta que el cliente puede descifrarla con la otra clave de sesión.

Cuando se instalan en un servidor web, los certificados SSL utilizan un sistema de par de claves pública/privada para iniciar el protocolo HTTPS y permitir la conexión segura de usuarios y clientes.

Cuando un certificado firmado de SSL protege un sitio web, demuestra que la organización ha verificado y autenticado su identidad con la tercera parte de confianza; como el navegador confía en la CA, ahora también confía en la identidad de esa organización.

La forma más sencilla de comprobar si el sitio web tiene instalado un SSL es mirar en su navegador; fíjese si la URL del sitio web empieza por "HTTPS:", ya que esto indica si tiene un certificado SSL instalado en el servidor. Si es así, haga clic en el icono del candado de la barra de direcciones para ver la información del certificado.

Los navegadores web utilizan el Protocolo de Transferencia de Hipertexto (HTTP) para conectarse a los servidores web que escuchan en el puerto TCP 80 por defecto. HTTP es un protocolo de texto plano, lo que significa que es relativamente fácil para un hacker interceptar y leer los datos en tránsito. No es adecuado para ninguna aplicación que requiera confidencialidad.

SSL utiliza el puerto número 443, cifrando los datos intercambiados entre el navegador y el servidor y autenticando al usuario. Por tanto, cuando las comunicaciones entre el navegador y el servidor deben ser seguras, el navegador pasa automáticamente a SSL , siempre que el servidor tenga instalado un certificado SSL .

El establecimiento de una conexión con un servidor con un certificado firmado por una CA de confianza se produce sin dificultades adicionales para el usuario. Cuando un internauta visita un sitio web protegido por SSL, está más dispuesto a facilitar sus datos de contacto o a comprar con tarjeta de crédito. Además, tener un certificado SSL en su sitio web aumenta su posición en el ranking, facilitando que los usuarios y clientes encuentren su sitio.

SSL da fe de la fiabilidad de un sitio web, pero con certificados más avanzados, toda la empresa puede estar certificada en SSL .

Aunque el propósito original de SSLera la World Wide Web, las empresas utilizan los certificados SSL para proteger una amplia variedad de conexiones internas y externas. Los casos de uso más comunes de los certificados SSL para empresas incluyen:

• Controles de acceso a la red
• Redes privadas virtuales (VPN)
• Inicio de sesión único
• Internet de los objetos(IoT)

Si se configuran correctamente, todas estas aplicaciones se ejecutan sobre el protocolo SSL . Analizaremos estos ejemplos con más detalle en la siguiente sección:

Los empleados que conectan dispositivos inalámbricos a la red corporativa tienen necesidad de facilidad de acceso y, al mismo tiempo, la red debe impedir el acceso no autorizado a los recursos corporativos. Los empleados pueden utilizar certificados de SSL para acceder y cifrar archivos desde sus dispositivos, servidores corporativos o incluso servidores en la nube para personas autorizadas.

Evite la necesidad de recordar/restablecer contraseñas largas y difíciles de recordar que cambian cada 90 días sustituyéndolas por una identidad digital. Coloque una identidad digital en el escritorio de Windows o Mac, en el servidor o en los puntos de acceso WiFi, para que solo los dispositivos autorizados puedan conectarse a su red corporativa.

Los empleados de las empresas actuales tienen acceso a una amplia variedad de servicios de identidad o productos de federación. Las empresas suelen utilizar un producto Web Single Sign-on para acceder a todos sus recursos en el portal corporativo o servicios en la nube.

Se puede instalar una identidad digital en su dispositivo IoT y en el dispositivo o aplicación del usuario para garantizar que sólo los dispositivos IoT de confianza puedan conectarse a su red. El dispositivo IoT recibe instrucciones o envía datos a aplicaciones autorizadas, y los usuarios poseen una identidad digital.

Una Red Privada Virtual de Capa de Conexión Segura (SSL VPN) es una red privada virtual (VPN) creada utilizando la Capa de Conexión Segura (SSL) Los departamentos de TI pueden escalar tanto la solución como sus servicios de infraestructura requeridos. SSL La VPN permite un control granular sobre el acceso gestionado a las aplicaciones web de la empresa. Quizás los beneficios más significativos de SSL VPN provienen de la mayor eficiencia y productividad al liberar recursos de TI al permitir el acceso remoto a todos los certificados digitales.

Una Red Privada Virtual de Capa de Conexión Segura (SSL VPN) es una red privada virtual (VPN) creada utilizando la Capa de Conexión Segura (SSL) Los departamentos de TI pueden escalar tanto la solución como sus servicios de infraestructura requeridos. SSL La VPN permite un control granular sobre el acceso gestionado a las aplicaciones web de la empresa. Quizás los beneficios más significativos de SSL VPN provienen de la mayor eficiencia y productividad al liberar recursos de TI al permitir el acceso remoto a todos los certificados digitales.

Mucha gente no se da cuenta de que los certificados de firma de código, documentos y correo electrónico no son certificados SSL . Aunque todos ellos están facilitados por certificados PKI x.509, la función de uso de claves marca la diferencia. Lea "Diferencia entre certificado de firma de código y SSL " o "Diferencia entre certificado digital y firma digital" para saber más sobre el tema.