Cómo comprobar los certificados de SSL y mantenerse seguro

A principios de 2025, internet sigue ampliando su alcance, con aproximadamente 5 560 millones de usuarios. Este crecimiento está impulsado por los avances en tecnologías como la conectividad 5G, la proliferación de dispositivos móviles y la creciente disponibilidad de diversos contenidos en línea.

Internet impregna ya la vida cotidiana y ofrece servicios que van desde la simple transmisión de contenidos y vídeos hasta complejos espacios de trabajo y soluciones financieras. Las empresas de todo el mundo están experimentando importantes transformaciones digitales que hacen que los datos sean más accesibles en línea que nunca.

Sin embargo, la sensibilidad y confidencialidad de estos datos siguen siendo primordiales. La información personal y financiera debe protegerse con prácticas de seguridad sólidas. Aquí es donde los protocolos Transport Layer SecurityTLS) y Secure Sockets LayerSSL) desempeñan un papel crucial a la hora de proteger y cifrar la comunicación a través de Internet.

TLS es el estándar del sector para proteger sitios web, API y servicios en línea, ya que los principales organismos de normalización han eliminado SSL debido a sus vulnerabilidades. A medida que evolucionen las amenazas, TLS seguirá adaptándose a avances como la criptografía post-cuántica, mientras que SSL seguirá obsoleto. La mejor práctica actual es TLS v1.3, un paso hacia los certificados TLS de seguridad cuántica.

Puede comprobar fácilmente si su conexión es segura verificando el certificado TLS emitido por el sitio web al que está accediendo. Como buena práctica, sólo interactúe con sitios que tengan un certificado TLS válido, ya que la ausencia de uno puede indicar un sitio menos fiable o poco seguro.

Entonces, ¿cómo comprobar HTTPS? Comprobar si un sitio está protegido con TLS es sencillo. Todo sitio que utilice el sistema de certificados TLS tendrá el especificador de protocolo HTTPS en su dirección web. Mientras que HTTP significa Protocolo de Transferencia de Hipertexto, la S añade la parte de seguridad proporcionada por TSL. Así que compruebe estas dos cosas para saber si un sitio está protegido por TLS .

El nombre del sitio debe empezar por HTTPS, por ejemplo, https://www.yoursitename.com.

Puede obtener información detallada sobre la seguridad del sitio haciendo clic en el icono de información del sitio/bloqueo en la barra de direcciones de su navegador.

Ahora, para una explicación en profundidad y una comprensión más profunda de la TSL, cómo funciona y por qué es esencial, sigamos leyendo.

Un certificado TLS es un certificado digital que verifica la autenticidad de un sitio web y permite la comunicación cifrada entre el navegador del usuario y el servidor. TLS son las siglas de Transport Layer Security, el sucesor moderno de SSL (Secure Sockets Layer), y es el protocolo criptográfico estándar del sector para proteger los datos en tránsito. TLS 1.3, la última versión, ofrece mayor seguridad, menor latencia y algoritmos de cifrado más potentes que las versiones anteriores.

Un certificado TLS sirve como clave pública del sitio web y es emitido por una Autoridad de Certificación (CA) de confianza. Cuando un usuario se conecta a un sitio web, su navegador comprueba la validez del certificado para asegurarse de que el sitio es legítimo y no un impostor. La clave privada, custodiada de forma segura por el servidor, funciona junto con la clave pública para establecer una sesión cifrada.

TLS 1.3 elimina los algoritmos criptográficos obsoletos, mejora la confidencialidad y agiliza el proceso de intercambio de información, lo que agiliza las conexiones seguras y las hace más resistentes a los ataques. Los navegadores y servidores web modernos aplican el cifrado TLS , de modo que los datos intercambiados permanecen confidenciales y protegidos de escuchas, ataques de intermediario y accesos no autorizados.

Los certificados SSL pueden clasificarse en función de dos criterios principales: el número de dominios que protegen y el nivel de validación realizado por la CA.

En función del ámbito

• Certificado de dominio único: protegeun nombre de dominio completo (FQDN), como www.example.com. No cubre subdominios ni otros dominios.
• Certificado comodín: protegeun único dominio y todos sus subdominios. Por ejemplo, un certificado comodín para *.ejemplo.com cubre blog.ejemplo.com, mail.ejemplo.com, etc.
• Certificado multidominio (certificado SAN): admite varios dominios no relacionados mediante un único certificado. Por ejemplo, un único certificado SAN puede proteger example.com, example.net y anotherdomain.org.

Según el nivel de validación

Aunque todos los certificados TLS proporcionan el mismo nivel de cifrado, el proceso de validación realizado por la CA difiere e influye directamente en el nivel de confianza y la información mostrada en el certificado.

• Certificado de dominio validado (DV): laCA verifica que el solicitante posee o controla el dominio. Se trata del tipo de validación más básico y rápido, que suele emitirse en cuestión de minutos. No se verifican ni se muestran detalles de la organización, por lo que los certificados DV son más adecuados para sitios personales o internos que para sitios web comerciales o de cara al público.
• Certificado de organización validada (OV): laCA verifica el dominio y la existencia legal de la organización. Los detalles de la organización se incluyen en el certificado, ofreciendo más credibilidad que DV. Los certificados OV se recomiendan para sitios web comerciales y aplicaciones que recopilan datos de usuarios.
• Certificado de validación ampliada (EV):es el nivel más alto de validación de certificados. La CA lleva a cabo una revisión en profundidad de la organización, incluida la verificación de su existencia legal, física y operativa. La solicitud debe iniciarla la propia organización. Los certificados EV se rigen por las Directrices EV del CA/Browser Forum (CABF), establecidas en 2007. Los navegadores suelen mostrar indicadores visuales mejorados (como el nombre de la organización) cuando se utilizan certificados EV, lo que supone un mayor nivel de confianza para los usuarios.

Si conoce tanto el ámbito del dominio como el nivel de validación, podrá elegir el certificado adecuado que se ajuste a la finalidad de su sitio web, su perfil de riesgo y los requisitos de confianza de los usuarios. Los niveles de validación más altos indican una mayor credibilidad, lo que puede ser fundamental para las empresas que manejan datos confidenciales o transacciones financieras.

Todos los navegadores modernos facilitan la comprobación rápida de si un sitio está protegido o no mediante el cifrado SSL . La forma más fácil de saber si un sitio está encriptado en SSL o no es comprobar su URL. La URL del sitio debe empezar por HTTPS. 

Para obtener más detalles sobre las credenciales de seguridad del sitio, puede hacer clic en el icono del candado situado junto a la barra de direcciones y obtener más información sobre los detalles del certificado SSL del sitio. 

Entonces, dónde encontrar certificados SSL en el servidor? Para ver información detallada de SSL en navegadores populares como Chrome y Firefox, puedes seguir los siguientes pasos:

• Haga clic en el icono del candado de la barra de direcciones del navegador. Por ejemplo, así es como se ve para keyfactor.com

• Haga clic en la ventana emergente del certificado y compruebe los detalles del certificado, como la fecha de caducidad y la duración válida.

 

• En el caso de los certificados de validación ampliada, podrá ver más información, como los datos de identificación de la organización. En el caso de otros tipos de certificados, sólo podrá ver los datos de la autoridad de certificación en la parte inferior de la ventana emergente.
• Para obtener información más detallada sobre el certificado SSL , como la jerarquía de certificados, haga clic en las pestañas correspondientes, como "Detalles"..

Si es propietario de un sitio y desea comprobar su certificado SSL , la forma más sencilla es buscar en su panel de control cualquier certificado aprobado emitido por una CA. Si tiene varios certificados SSL instalados para su sitio, puede localizarlos utilizando cualquiera de los dos métodos siguientes.

Comprobadores o escáneresSSL , como los que proporciona Keyfactorse utilizan para escanear toda la red y localizar todos los certificados instalados.

• También puede hacer uso de la herramienta Administrador de certificados de Windows si utiliza el entorno Windows Server.
• Para ver los certificados almacenados en su dispositivo local, inicie la herramienta Administrador de certificados.

Para ello, abra el símbolo del Command , escriba certlm.msc y pulse INTRO.

• Puede ver todos los certificados almacenados en su ordenador en el panel izquierdo y ampliar el directorio para obtener información más detallada sobre un certificado.
• Para los certificados accesibles para el usuario actual, inicie la herramienta Administrador de certificados escribiendo certmgr.msc en una sesión de símbolo del Command .

Si no utiliza una herramienta, puede buscar y localizar manualmente los certificados instalados en los almacenes de certificados. Los almacenes de certificados son contenedores dentro del entorno del servidor que contienen todos sus certificados. En función del tipo de certificados almacenados, los almacenes de certificados pueden clasificarse como:

• Personal - Estos almacenes contienen certificados con claves privadas
• Autoridades de certificación raíz de confianza: aquí se almacenarán todos los certificados de terceros y de organizaciones de clientes.
• Autoridades de certificación intermedias - Incluyen los certificados emitidos a las CA subordinadas.

Si utiliza un servidor Windows, puede acceder al almacén de certificados siguiendo estos pasos:

• Abra la MMC (Microsoft Management Console) entrando en MMC desde una sesión de símbolo del Command .
• Haga clic en Archivo y, a continuación, seleccione Agregar o quitar complemento...
• Aparecerá una lista de complementos. Seleccione Certificados de la lista y haga clic en Añadir >.

• Seleccione Cuenta de equipo y haga clic en Siguiente > Finalizar. Si quisieras ver los certificados vinculados a tu identidad, habrías seleccionado "Mi cuenta de usuario" en su lugar.
• A continuación, haga clic en Aceptar y se le redirigirá de nuevo a la página de complementos.

Para ver un certificado concreto en el complemento MMC, haga doble clic en Certificados (equipo local) en el panel izquierdo y, a continuación, expanda un almacén de certificados para ver los certificados, como por ejemplo Personal > Certificados. Los certificados disponibles del almacén de certificados seleccionado se mostrarán en el panel central de la ventana.

Para ver el certificado, haga doble clic sobre él. Aparecerá una ventana de Certificado que mostrará las distintas propiedades del certificado seleccionado, como la duración de validez, la fecha de caducidad, la ruta y cualquier detalle de la clave privada asociada.

Todos los certificados SSL tienen una vida útil finita con una fecha de caducidad establecida. Una vez alcanzada la fecha de caducidad, el certificado dejará de considerarse válido. 

Históricamente, la mayoría de los certificados SSL tienen una vida útil que oscila entre uno y tres años. En la actualidad, la duración máxima permitida es de 397 días. Sin embargo, el CA/Browser Forum, una reunión voluntaria de emisores de certificados y proveedores de software para navegadores de Internet y otras aplicaciones que utilizan certificados (consumidores de certificados), ha aprobado oficialmente una votación para modificar los requisitos básicos de TLS s para reducir la duración máxima a sólo 47 días, lo que refleja el cambio más amplio de la industria hacia una mayor agilidad en la gestión de certificados como elemento central de las operaciones diarias de PKI.

En la mayoría de los casos, un certificado se sustituye cuando se acerca su fecha de caducidad. Pero ciertas condiciones, como la vulnerabilidad Heartbleed, la caducidad de SHA-1, las fusiones de empresas o los cambios en la política de seguridad, pueden exigir que los certificados se vuelvan a emitir antes. A medida que la vida útil de los certificados siga reduciéndose, las organizaciones tendrán que adoptar enfoques más automatizados y ágiles para gestionar la PKI a escala y evitar interrupciones del servicio. 

Para comprobar si hay instalado un certificado SSL puede utilizar la herramienta Administrador de certificados y comprobar su periodo de validez. Otra opción alternativa es utilizar la herramienta sigcheck Windows Sysinternals para verificar la versión TLS . Descargue la utilidad y ejecútela con el command switch sigcheck -tv. Enumerará todas las listas de certificados raíz de Microsoft de confianza.

Antes de instalar un certificado SSL , debe asegurarse de que dispone de certificados válidos emitidos por una CA. Para ello, tendrá que generar una CSR. CSR significa Solicitud de firma de certificadoque es la forma de presentar una solicitud para recibir un certificado SSL de una CA.

Una CSR consiste en una clave pública y otros detalles necesarios para validar su identidad. Tendrá que facilitar información como el nombre distinguido (DN), el nombre común (CN) y el nombre de dominio completo (FQDN) del sitio web que necesita el certificado. 

Creación de una CSR mediante Open SSL (multiplataforma):

• Ejecute el siguiente command en su terminal

openssl req -out testsite.csr -new -newkey rsa:2048 -nodes -keyout testsite.key

• Es posible que se le pida una contraseña opcional, y puede proporcionar una contraseña para proteger su clave privada. Este command creará un CSR con el nombre testsite.csr y una clave privada de 2048 bits con el nombre testsite.key. 

Creación de una CSR mediante certreq en Windows:

Si utiliza un entorno Windows, puede generar una CSR utilizando la herramienta incorporada certreq: 

• Cree un archivo INF con el siguiente contenido

[Versión]

Firma="$Windows NT$"

 

[NewRequest]

Asunto = "CN=www.yourdomain.com, O=Su organización, L=Ciudad, S=Estado, C=País"

KeySpec = 1

Longitud de clave = 2048

Exportable = TRUE

MachineKeySet = TRUE

SMIME = FALSE

PrivateKeyArchive = FALSE

UsuarioProtegido = FALSE

UseExistingKeySet = FALSE

ProviderName = "Proveedor criptográfico Microsoft RSA SChannel"

TipoProveedor = 12

Tipo de solicitud = PKCS10

KeyUsage = 0xa0

 

[Extensiones]

2.5.29.17 = "{texto}"

_continue_ = "dns"

_continue_ = "dns.com"

• Ejecute el siguiente command en una sesión de símbolo del Command :

certreq -nuevo request.inf request.csr

Esto generará request.csr. Ahora puede enviar esta CSR para solicitar archivos de certificado firmados a una Autoridad de Certificación válida. Tras la validación necesaria del dominio y la empresa, la CA le proporcionará tres archivos, la clave privada, el archivo de certificado y el archivo de certificado intermedio, que pueden utilizarse para instalar SSL en su servidor. Los archivos también pueden consolidarse en un único archivo PKCS#12 .pfx en el que se proporciona una contraseña para la instalación.

Aunque los certificados firmados por CA son la forma recomendada y fiable de implementar SSL, también puede utilizar certificados autofirmados si es necesario. Pero al hacerlo, aparecerán mensajes de advertencia en los navegadores, ya que no se considerará una fuente de confianza. 

 

Utilice certificados autofirmados cuando no maneje datos confidenciales o si su público objetivo es un grupo cerrado. Si gestionas un sitio de comercio electrónico o manejas un volumen de tráfico masivo, lo mejor son los certificados firmados por CA.

• Para crear un certificado autofirmado SSL , puede ejecutar el siguiente command en su entorno de servidor:

openssl x509 -signkey testsite.key -in testsite.csr -req -days 365 -out testsite.crt

• Este command genera un archivo de certificado llamado testsite.com.crt a partir de la entrada del archivo CSR. 

Si utiliza un entorno de servidor Linux, la instalación de un certificado SSL dependerá tanto del sistema operativo como del servidor que utilice.

Servidor web Apache

Después de obtener sus archivos de certificado de la Autoridad de Certificación (CA), usted debe tener:

• Un archivo de certificado (por ejemplo, ServerCertificate.crt)
• Un archivo de clave privada (por ejemplo, yoursite.key)
• Un archivo de cadena o paquete de certificados (por ejemplo, ChainBundle.crt)

La ubicación de sus archivos de configuración de Apache puede variar dependiendo de su distribución:

• Ubuntu/Debian: 

/etc/apache2/apache2.conf o ssl.conf

• Red Hat/Alma Linux/CentOS

/etc/httpd/conf/httpd.conf o /etc/httpd/conf.ssl.conf

You can include your certificate entries in the relevant <VirtualHost*:443> block:

<VirtualHost *:443>

    DocumentRoot /var/www/html

    Nombre del servidor testcertificates.com

    SSLEngine ON

    SSLCertificateFile /etc/apache/ssl.crt/ServerCertificate.crt

    SSLCertificateKeyFile /etc/apache/key.crt/yoursite.key

    SSLCertificateChainFile ssl.crt/ChainBundle.crt

</VirtualHost>

Para verificar la configuración:

sudo apachectl configtest

A continuación, reinicie Apache:

Ubuntu: sudo systemctl restart apache2

RHEL/Alma Linux: sudo systemctl restart httpd

Para el servidor web NGINX

Si utiliza NGINX (común en muchas distribuciones de Linux por razones de rendimiento), el proceso difiere ligeramente. NGINX requiere que el certificado y la cadena se combinen en un solo archivo:

• Combine su certificado y el paquete de CA:

cat CertificadoServidor.crt PaqueteCadena.crt > fullchain.pem

• Modifique el bloque de su servidor NGINX:

servidor {

    listen 443 ssl;

    nombre_servidor testcertificates.com;

    sslssl.pem;

    sslssl.key;

    root /var/www/html;

}

• Prueba la configuración:

sudo nginx -t

• Reinicie NGINX:

sudo systemctl restart nginx

Verificación

Una vez reiniciado el servidor, pruebe la instalación SSL visitando su sitio en varios navegadores y comprobando si aparece el icono del candado HTTPS. Si tiene problemas, vuelva a comprobar que los archivos del certificado coinciden con la clave privada y el dominio, y póngase en contacto con su CA si es necesario.

A continuación se indican los pasos para instalar certificados SSL en un Windows Server 2022 utilizando Microsoft IIS 10.

• Tenga a mano el certificado, la clave privada y la cadena de certificados. Puede obtenerlos de la CA de su dominio. Si es posible, obténgalos como un único archivo PKCS#12 .pfx para facilitar la importación. Sólo tienes que asegurarte de que dispones de la contraseña correspondiente para la instalación. Si es necesario, puede utilizar OpenSSL para combinar los archivos en este formato con el siguiente command:

openssl pkcs12 -export -out combined.pfx -inkey yoursite.key -in ServerCertificate.crt -certfile ChainBundle.crt

• Inicie el Administrador de IIS haciendo clic en el botón Inicio, escribiendo iis y seleccionando Administrador de Internet Information Services (IIS). También puede pulsar la tecla Windows + R, escribir inetmgr y hacer clic en Aceptar. En el árbol del menú Conexiones del panel izquierdo, haga doble clic en el nombre del servidor en Página de inicio.
• En la página de inicio del nombre del servidor, en el panel central, en la sección IIS , haga doble clic en Certificados de servidor.

• En el marco de las Acciones del panel derecho, haga clic en Importar....

• Navegue y cargue su archivo .pfx de certificado. Introduzca la contraseña y cambie el Almacén de Certificados de Personal a Web Hosting si planea cargar más de 30 certificados diferentes. Desmarque la casilla si no desea que el certificado se exporte desde el almacén de certificados con la clave privada. Haga clic en Aceptar para guardar el certificado SSL . Ahora debería estar disponible en la Lista de certificados del servidor.
• Para vincular el certificado instalado a su sitio web, en el árbol del menú Conexiones , haga doble clic en Sitios bajo el nombre del servidor. En la página de inicio de Sitios, en el panel central, haga doble clic en el sitio al que desea asociar el certificado SSL .
• En el panel derecho, en el menú Acciones, haga clic en Enlaces... y seleccione el botón Añadir... en la ventana Enlaces de sitio .
• Define lo siguiente::
  • Tipo - HTTPS
  • Dirección IP - Todas sin asignar o seleccione una de las direcciones IP disponibles que se aplique correctamente al sitio.
  • Puerto como 443 (por defecto) o al puerto al que escucha su tráfico SSL
  • Certificados SSL : el nombre descriptivo del certificado SSL que se acaba de instalar.
•  Haga clic en Ver para revisar los detalles y, a continuación, en Aceptar para finalizar la vinculación.

Como ya se ha mencionado, cada certificado SSL viene con una fecha de caducidad, después de la cual los navegadores empezarán a mostrar mensajes de advertencia cuando se acceda al sitio. Un certificado SSL caducado es una vulnerabilidad de seguridad de la que debe ocuparse en el momento oportuno. Para evitar las complicaciones de seguridad y la posible baja puntuación de confianza de un certificado SSL caducado, debe renovarlos a tiempo.

El proceso es bastante similar al de obtener un nuevo certificado SSL . 

• Generar una CSR (solicitud de firma de certificado)
• Seleccione su certificado SSL e introduzca los datos necesarios, como el periodo de validez que necesita y otros detalles, y envíelo a la CA. 
• Obtendrá archivos de certificado renovados que podrá utilizar en su servidor. 
• Para renovar los certificados de SSL deberá realizar los mismos trámites que para obtener un nuevo certificado de SSL . Estos pueden ser la validación del dominio, la validación de la organización y otras verificaciones necesarias para el nivel de certificado que está solicitando a la CA.

• Inicie el Administrador de IIS haciendo clic en el botón Inicio, escribiendo iis y seleccionando Administrador de Internet Information Services (IIS). También puede pulsar la tecla Windows + R, escribir inetmgr y hacer clic en Aceptar.
• En el árbol del menú Conexiones del panel izquierdo, haga doble clic en el nombre del servidor en Página de inicio.
• En la página de inicio del nombre del servidor, en el panel central, en la sección IIS , haga doble clic en Certificados de servidor.

En el menú Acciones del panel derecho, haga clic en Crear certificado autofirmado...

• Defina un nombre fácil de usar y cambie el Almacén de Certificados de Personal a Alojamiento Web si tiene previsto cargar más de 30 certificados diferentes. Haga clic en Aceptar.
• Estos pasos crean un certificado autofirmado que es válido durante un año, y lo puedes encontrar en la lista de Certificados de Servidor . En este punto, puede vincular el certificado a su sitio web como se mencionó en los pasos anteriores.
• Como último paso, añada su certificado autofirmado a su archivo Autoridades de certificación raíz de confianza.
  • Abra la MMC (Microsoft Management Console) entrando en MMC desde una sesión de símbolo del Command .
  • Haga clic en Archivo y seleccione Agregar o quitar complemento...
  • Aparecerá una lista de complementos. Seleccione Certificados de la lista y haga clic en Añadir >.
  • Seleccione Cuenta de equipo y haga clic en Siguiente > Finalizar.
  • Haga clic en Aceptar y se le redirigirá de nuevo a la página de complementos.
  • Haga doble clic en Certificados (Equipo local) en el panel izquierdo. Haga doble clic y expanda el Almacén de Certificados para ver el certificado autofirmado que acaba de crear a través de Personal > Certificados. Copie el certificado autofirmado en la carpeta Entidades de certificación raíz de confianza > Certificados .

Como ya se ha dicho, todos los certificados SSL tienen una fecha de caducidad, después de la cual se considerarán inválidos y los navegadores empezarán a lanzar advertencias de seguridad. Puede optar por renovar sus certificados SSL o eliminarlos y operar su sitio como un sitio HTTP normal sin la capa de seguridad añadida.

Estos son los pasos para eliminar un certificado digital caducado en sistemas Windows:

• Inicie la aplicación MMC en Inicio > Ejecutar > MMC y seleccione el complemento > Certificados.
• Seleccione equipo local y expanda la carpeta Certificados en el Directorio personal
• Obtendrá una lista de certificados en el panel derecho. Haga clic con el botón derecho en el certificado que desea eliminar y seleccione eliminar.

En sistemas Linux Ubuntu, puede probar estos pasos o utilizar cualquier herramienta como el cPanel para gestionar los certificados de su servidor.

• Abra el terminal y ejecute el siguiente command

sudo dpkg-reconfigure ca-certificates

• Se le mostrará la lista de todos los certificados de la que puede deseleccionar las CA.
• Alternativamente, puede editar las listas de archivos CA almacenadas en el archivo /etc/ca-certificates.cong y ejecutar el siguiente command para actualizar los cambios

sudo update-ca-certificates

La ejecución de dpkg-reconfigure también restablecerá automáticamente los certificados.

Un certificado SSL actúa como una credencial digital emitida por una CA de confianza, que indica que el sitio web es legítimo y seguro. Permite la comunicación cifrada entre el navegador y el servidor, protegiendo los datos confidenciales -como contraseñas, información personal y datos de pago- de la interceptación y la manipulación.

Comunicación TLS tradicional

Cuando visita un sitio web, su navegador envía una solicitud al servidor web. El servidor procesa esta petición y devuelve la respuesta adecuada. Aunque esta interacción pueda parecer sencilla, es vulnerable a los ataques de intermediario (MITM) si no se protege adecuadamente. Un actor malintencionado podría interceptar los datos en tránsito y extraer información confidencial.

Por ejemplo, si se conecta a su portal de banca en línea y alguien intercepta ese tráfico, sus credenciales podrían quedar expuestas, lo que podría dar lugar a un robo de identidad o una pérdida financiera.

TLS lo evita cifrando los datos. Incluso si un atacante intercepta el tráfico, el contenido cifrado aparecerá como un galimatías ininteligible a menos que posea la clave de descifrado correcta.

SSL utiliza un cifrado asimétrico durante la conexión inicial que implica un par de claves pública-privada:

• El servidor tiene la clave privada.
• El cliente (navegador) recibe la clave pública, que utiliza para cifrar los datos.
• Sólo el servidor puede descifrar los datos utilizando su clave privada.

Este proceso se conoce como el apretón de manos TLS , que incluye:

• Acuerdo e intercambio de claves (establecimiento de claves de sesión para el cifrado simétrico)
• Cifrado de datos (mediante claves de sesión)
• Autenticación del servidor (verificación de la identidad del servidor y de la integridad de los datos)

El futuro del cifrado: Prepararse para la era poscuántica

Aunque los protocolos TLS actuales son seguros frente a los ordenadores clásicos, no están diseñados para resistir los ataques de los ordenadores cuánticos. Un ordenador cuántico suficientemente potente podría descifrar los algoritmos de cifrado tradicionales, especialmente los utilizados en el intercambio de claves durante el TLS .

Esto ha suscitado una creciente preocupación por los ataques "cosechar ahora, descifrar después" (HNDL), en los que los adversarios graban el tráfico cifrado hoy con la intención de descifrarlo en el futuro, una vez que se disponga de capacidades cuánticas, dejando los datos actuales vulnerables a la tecnología invasora.

Para defenderse de esta amenaza, la industria está realizando una transición hacia la criptografía post-cuántica (PQC). En futuras versiones de TLS, el proceso de intercambio de claves sustituirá algoritmos tradicionales como RSA por mecanismos de encapsulación de claves (KEM). Los KEM son primitivas criptográficas diseñadas para ser resistentes a la cuántica como parte de los nuevos estándares en desarrollo por organizaciones como el NIST y el IETF.

La migración a certificados e infraestructuras compatibles con PQC es fundamental para la confidencialidad de los datos a largo plazo. A medida que se finalizan los algoritmos de seguridad cuántica y se integran en protocolos como TLS 1.3 y posteriores, las organizaciones deben ser proactivas en la actualización de sus sistemas para incluir PQC junto con algoritmos clásicos en un modelo híbrido, que ofrezca tanto protección inmediata como resiliencia futura.

Transport Layer securityTLS) es el estándar moderno para proteger las transferencias de datos por Internet. Aunque a menudo se menciona junto a SSL, TLS no es solo una versión más reciente, sino un protocolo más seguro, eficiente y mantenido activamente que ha sustituido por completo a SSL en la práctica.

Desarrollado originalmente por Netscape en 1994, SSL sentó las bases de la comunicación web cifrada. Sin embargo, debido a graves vulnerabilidades y limitaciones, SSL ha quedado obsoleto. La última versión, SSL 3.0, se retiró oficialmente, y en 1999 se introdujo TLS como su sucesor. Desde entonces, TLS ha pasado por múltiples mejoras, con la última versiónTLS 1.3) lanzada en 2018.

Aunque los términos SSL y TLS se siguen utilizando indistintamente en conversaciones informales y nombres de productos, TLS es el protocolo que se utiliza actualmente.

Principales diferencias entre SSL y TLS

Aunque el objetivo de ambos protocolos es proporcionar una comunicación segura y autenticada, TLS mejora a SSL en varios aspectos importantes:

• TLS de cifrado: TLSadmite algoritmos de cifrado más modernos y potentes, como AES y ChaCha20, que mejoran la seguridad y el rendimiento.
• TLS de alerta: SSLofrece mensajes de error más detallados y específicos, lo que mejora la resolución de problemas y la claridad con respecto a las alertas genéricas de SSL.
• TLS de registro-TLSutiliza HMAC (Hash-Based Message Authentication Code) para la integridad de los datos, que es más seguro que el formato MAC básico utilizado por SSL.
• Proceso de enlaceTLS TLSperfecciona el mecanismo de enlace para mejorar la velocidad y la seguridad. A diferencia de SSL, TLS calcula hashes sobre los propios mensajes de enlace, lo que mejora la autenticación.
• TLS de mensajes: TLSse basa en la autenticación hash mediante HMAC, mientras que SSL utiliza técnicas menos robustas que implican datos clave.

Por qué TLS es importante hoy

Todos los navegadores, API y servicios de Internet modernos utilizan TLS, no SSL. Los principales organismos de normalización y proveedores de navegadores han eliminado por completo el uso de SSL debido a sus vulnerabilidades.

Si está implementando una comunicación segura, ya sea para un sitio web, un servidor de correo electrónico o un servicio en la nube, siempre debe utilizar TLS. Seguir haciendo referencia a SSL es en gran medida una cuestión de nomenclatura heredada, no una práctica recomendada.

A medida que Internet evolucione para hacer frente a nuevas amenazas, incluida la computación cuántica, TLS seguirá adaptándose, incorporando criptografía post-cuántica y mecanismos de handshake más eficientes. Como ya se ha dicho, los principales organismos de normalización y proveedores de navegadores han eliminado por completo SSL, convirtiéndolo en un protocolo del pasado.

Los protocolos TLS se mejoran continuamente para eliminar vulnerabilidades conocidas y reforzar la seguridad general. TLS 1.3, la versión más reciente y segura, no sólo elimina los algoritmos criptográficos obsoletos, sino que sienta las bases para integrar la criptografía poscuántica en un futuro próximo. Seguir utilizando versiones antiguas como SSL 2.0, SSL 3.0 o incluso TLS 1.0 y 1.1 plantea graves riesgos de seguridad, ya que estos protocolos ya no se consideran seguros frente a las amenazas modernas.

Para mantener un cifrado fuerte y la protección de datos a largo plazo, desactive todas las versiones SSL y TLS heredadas y adopte TLS 1.3 siempre que sea posible:

Desactivación de versiones anteriores de SSL en el servidor Apache

Cambie los ajustes de configuración de su servidor Apache. El archivo config puede estar presente en diferentes ubicaciones, como se indica a continuación. Localícelo:

• Ubuntu/Debian: /etc/apache2/apache2.conf
• En sistemas host virtuales debian/Ubuntu :/etc/apache2/sites-enabled/
• En el host virtual Red Hat/CentOS: /etc/httpd/sites-enabled/
• Sistemas CentOS/Redhat : /etc/httpd/conf/httpd.conf

Una vez localizado el archivo, busque la entrada "SSLProtocol" y cámbiela por

SSLProtocolo todos -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

• Reinicie el servidor apache
• service httpd restart o
• service apache2 restart

Del mismo modo, para los servidores Nginx o TOMCAT, modifique el archivo de configuración. Cambie la entrada ssl_protocols por la última versión de TLS y reinicie el servidor.

Para desactivar las versiones anteriores de SSL en Windows, puede utilizar una herramienta como la herramienta criptográfica de IIS para modificar las versiones de SSL a través de una aplicación GUI. Para hacer lo mismo manualmente, siga los siguientes pasos

Abra el editor del Registro con Inicio > Ejecutar > regedit

Busque la siguiente clave/carpeta del registro:

• Si tiene SSL 2.0 en la lista, haga clic con el botón derecho y seleccione Nuevo-> Clave y cree una nueva carpeta llamada Servidor.
• En la carpeta Servidor, haga clic en Edición > Nuevo > DWORD (valor de 32 bits)
• Introduzca Activado y pulse intro. La columna de datos debería tener el valor 0, si no es así, haga clic con el botón derecho del ratón y ajústelo a cero.

Del mismo modo, repita los pasos para desactivar SSL3.0 y reinicie el ordenador para reflejar los cambios.

Automatizar la gestión de certificados TLS es esencial para mantener una presencia en línea segura y fiable. Aproveche la automatización para supervisar y actualizar eficazmente todos sus certificados digitales:

• Reduzca los errores manuales y los gastos de mano de obra, disminuyendo la probabilidad de errores y liberando valiosos recursos informáticos.
• Prevenga costosos contratiempos con los certificados TLS y evite las trampas del tiempo de inactividad.
• Adhiérase sin problemas a los últimos protocolos de seguridad y manténgase al día de las normas vigentes.

Un componente clave para conseguir una automatización eficaz de los certificados es el protocolo Automated Certificate Management Environment (ACME). ACME facilita la emisión, renovación y revocación automáticas de certificados agilizando las interacciones entre el servidor web y las autoridades de certificación (CA). Desarrollado originalmente para Let's Encrypt, ACME cuenta ahora con el apoyo generalizado de varias CA y proveedores de PKI. Implementar ACME puede mejorar significativamente la capacidad de tu organización para gestionar certificados de forma eficaz y segura. Consulte nuestra guía paso a paso para obtener más información sobre ACME aquí.

Como puede ver, comprobar un certificado TLS , asegurarse de que está verificado y eliminarlo cuando ha sobrepasado la fecha de caducidad es esencial. Sin embargo, este proceso es engorroso y requiere conocimientos técnicos. Ahora ya no. Las soluciones de gestión y automatización de certificados de Keyfactorestán aquí para ayudarle.

Póngase en contacto con nosotros para obtener más información y explorar las útiles funciones de Keyfactor.