¿Qué es TLS?

Como protocolo de seguridad, TLS toma su nombre del modelo de interconexión de sistemas abiertos (OSI). El modelo de OSI es un marco conceptual de funcionamiento de la comunicación en red, que se divide en siete capas. TLS opera principalmente en la capa de transporte, permitiendo la comunicación segura entre dos puntos finales. Dicho esto, también protege protocolos de capa de aplicación, como HTTP (protocolo de transferencia de hipertexto) para la navegación web y SMTP (protocolo para la transferencia simple de correo electrónico) para el correo electrónico, entre otros.

En general, el protocolo TLS tiene tres funciones principales:

1. Cifrado: El cifrado TLS oculta los datos confidenciales mientras se transfieren, protegiéndolos de accesos no autorizados. En otras palabras, establece una conexión segura que permite a dos o más partes intercambiar información de manera protegida.
2. Autenticación: También garantiza que todas las partes implicadas en la transacción son quienes dicen ser. Por ejemplo, en el caso de la navegación por Internet, confirma la autenticidad de un sitio o servidor web para un navegador.
3. Integridad: TLS verifica que los datos no han sido falsificados o manipulados por terceros y que toda la información llega a su destino como estaba previsto.

¿Qué es SSL?

SSL es la sigla de Secure Socket Layer (capa de sockets seguros), predecesora de la seguridad de la capa de transporte. Al igual que TLS, es un protocolo de seguridad de Internet que autentica los sitios web y permite una comunicación segura a través de una conexión cifrada.

Una empresa de servicios informáticos llamada Netscape desarrolló el protocolo SSL original en 1995. Sin embargo, nunca lanzó esta versión al público debido a evidentes fallos de seguridad. Tras dos iteraciones posteriores, el Grupo de Trabajo de Ingeniería de Internet (IETF) propuso el primer protocolo TLS en 1999.

El IETF desarrolló originalmente TLS 1.0 como SSL 3.1. Aunque la empresa cambió de marca para evitar problemas con Netscape, muchos en el sector siguen refiriéndose a TLS por su antiguo nombre. Incluso puede ver combinaciones de ambos, como referencias al cifrado TLS/SSL.

¿Cuál es la diferencia entre TLS y SSL?

A pesar de la confusión, los dos protocolos son muy diferentes por varias razones significativas:

• Paquetes de cifrado: TLS ofrece una gama más amplia de paquetes de cifrado en comparación con la capa de sockets seguros. En resumen, un conjunto de cifrado es un conjunto de algoritmos que se utiliza para establecer comunicaciones seguras. Con más flexibilidad, TLS permite a los usuarios seleccionar el paquete que mejor se adapte a sus requisitos y preferencias de seguridad.
• Seguridad: El cifrado TLS es mucho más potente que el cifrado SSL y cada versión ha mejorado con respecto a la anterior. TLS 1.3, por ejemplo, eliminó algoritmos criptográficos antiguos y funciones inseguras e introdujo el secreto perfecto. En esencia, el secreto perfecto es una característica de los sistemas criptográficos en los que cada clave de sesión es única y se obtiene de forma independiente, lo que garantiza que el compromiso de una clave no ponga en peligro las comunicaciones pasadas o futuras.
• Compatibilidad: TLS está diseñado para ser compatible con SSL. Esto permite a los sistemas que utilizan versiones SSL más antiguas comunicarse con los que utilizan protocolos TLS más recientes.

En realidad, todas las versiones del protocolo SSL son obsoletas desde hace años, lo que significa que ya no ofrecen una protección adecuada. En cambio, TLS es ahora el protocolo de cifrado por defecto de Internet. Sin ir más lejos, el Instituto Nacional de Estándares en Tecnología (NIST) requiere que todos los servidores TLS gubernamentales y los clientes admitan TLS 1.2 y recomienda que las agencias adopten TLS 1.3 en el futuro cercano.

El cifrado TLS se utiliza principalmente para proteger las aplicaciones y los sitios web de filtraciones de datos y otros ataques. Sin el protocolo TLS, terceros desconocidos podrían interceptar y leer fácilmente datos confidenciales, como credenciales de inicio de sesión, datos de tarjetas de crédito e información personal. Habilitar las aplicaciones cliente y web para que admitan TLS garantiza que los datos transmitidos entre ellas se cifren con algoritmos seguros y no puedan ser leídos por usuarios no autorizados.

Ventajas de la seguridad de la capa de transporte

TLS es un activo importante para numerosos casos de uso, como:

• Mejora de la seguridad: Con una conexión TLS cifrada, puede evitar que los piratas informáticos escuchen, manipulen o intercepten sus datos confidenciales.
• Mejora de la autenticación: TLS proporciona mecanismos para verificar las identidades tanto del cliente como del servidor implicados en una transacción. Esto ayuda a prevenir los ataques de intermediario, garantizando que el cliente se comunique con un servidor legítimo y viceversa.
• Desarrollo de la confianza del cliente: El uso de una conexión TLS proporcionará a los usuarios la seguridad de que su sesión de navegación está totalmente protegida y es privada. Esto ayuda a que los clientes se sientan cómodos compartiendo su información personal o sus datos de pago cuando abren una nueva cuenta o realizan una compra en línea. 
• Impulso de la optimización del motor de búsqueda (SEO): Google tiene en cuenta la seguridad de los sitios web en los algoritmos de sus motores de búsqueda. A su vez, los protocolos TLS no solo protegen a los usuarios, sino que también mejoran la visibilidad de su empresa en la página de resultados.

TLS establece una conexión segura entre un dispositivo cliente, como un ordenador o un teléfono móvil, y un servidor web. Antes de cifrar la sesión, primero autentica la conexión. En otras palabras, garantiza que el servidor web sea legítimo y no un impostor que intenta robar datos confidenciales.

Este proceso, conocido como “protocolo de enlace TLS”, comienza cuando el cliente envía un mensaje inicial al servidor de destino. El servidor responde con información que prueba su autenticidad y, una vez que ambas partes se han verificado, lleva a cabo un intercambio de claves. En resumen, esto establece una conexión TLS encriptada que permite una comunicación segura entre ambos.

Nada de esto sería posible sin tres componentes subyacentes: criptografía, certificados digitales e infraestructura de clave pública (PKI). Vamos a desglosarlas una por una.

Criptografía: Cifrado simétrico y asimétrico

En términos sencillos, la criptografía es el arte de proteger la comunicación y hacerla ilegible para terceros. El cifrado es un aspecto esencial de este proceso, que utiliza un algoritmo criptográfico para transformar los datos de texto plano en texto cifrado, ocultando así la información.

La criptografía también se basa en unos activos digitales llamados “claves”, que son como una herramienta secreta para cifrar y descifrar las comunicaciones. Una clave pública es conocida por todos y se utiliza para cifrar los datos, mientras que una clave privada solo la conoce una parte y es la responsable del descifrado.

La seguridad de la capa de transporte utiliza dos tipos diferentes de técnicas de cifrado basadas en claves:

• El cifrado simétrico, también conocido como criptografía simétrica, utiliza la misma clave tanto para cifrar como para descifrar datos. 
• El cifrado asimétrico utiliza una clave pública y una clave privada. Si no se tienen ambas, no se pueden descifrar los datos encriptados.

Aunque el cifrado simétrico suele ser más eficaz, es arriesgado confiar en una sola clave. La ventaja del cifrado asimétrico es que vincula matemáticamente sus dos claves, lo que hace más difícil que los malos actores descifren el código.

Certificados digitales

Un certificado digital es un archivo electrónico que certifica la propiedad de una clave pública. Existen muchos tipos diferentes para distintos casos de uso, como la firma de código, la firma de documentos, el correo electrónico, etc.

Los navegadores web utilizan un certificado TLS para identificar y establecer una conexión segura entre un cliente y un servidor. Cada una de ellas está asociada de forma única a un dominio o entidad específicos, actuando como una especie de tarjeta de identificación digital. Por lo tanto, puede pensar en un certificado TLS como un mecanismo de autenticación.

Cuando el cliente inicia una conexión con el servidor, este envía su certificado digital que contiene detalles sobre:

• Nombre de dominio y propietario
• Qué versión de TLS utiliza
• Fechas de emisión y expiración del certificado
• Clave pública
• Autoridad emisora de certificados (CA) y firma digital

Una vez que se verifica, ambas partes generan una clave secreta compartida. Esta clave se utiliza entonces para calcular un código de autenticación de mensajes (MAC) para cada mensaje intercambiado durante el protocolo de enlace. Al comparar los MAC, el cliente y el servidor confirman que los mensajes no se han alterado durante el tránsito, lo que consolida aún más el proceso de autenticación.

Los protocolos de enlace TLS son una serie de mensajes intercambiados por un cliente y un servidor. Los pasos exactos del proceso varían en función del algoritmo criptográfico utilizado y los conjuntos de cifrado que admita cada parte. Sin embargo, independientemente de estos factores, todos los protocolos de enlace TLS utilizan cifrado asimétrico, pero no todos utilizan criptografía simétrica. En otras palabras, no siempre utilizan la clave privada para generar una clave de sesión.

Por lo general, la mayoría de los protocolos de enlace siguen estos pasos básicos:

1. El dispositivo cliente envía el mensaje “Saludo del cliente” al servidor web, que incluye información sobre el protocolo TLS y el conjunto de cifrado que admite.
2. El servidor responde con el mensaje “Saludo del servidor”. Esto incluye su correspondiente certificado TLS, que contiene la clave pública.
3. Para verificar su autenticidad, el cliente comprueba el certificado TLS del servidor con la autoridad de certificación que lo emitió. Esto confirma que el servidor es lo que dice ser y que está operado por el propietario real del dominio.
4. Una vez que se verifica, el cliente genera una clave secreta premaestra, también conocida como clave de sesión.
5. El servidor web descifra la clave de sesión con su propia clave privada.
6. Por último, una vez completado el intercambio de claves, ambas partes disponen de una conexión segura.

¿Cómo afecta TLS al rendimiento de las aplicaciones web?

Las versiones más recientes de TLS casi no afectan a las aplicaciones web. Aunque el protocolo de enlace TLS pueda parecer largo y complejo, en realidad ocurre en cuestión de segundos.

Para garantizar un rendimiento sin problemas, algunas tecnologías mitigan la latencia, como TLS False Start. Esto permite al servidor y el cliente transmitir datos antes de que finalice el protocolo de enlace. Otras opciones, como la reanudación de sesión TLS, permiten a las partes utilizar un protocolo de enlace abreviado si se han comunicado previamente.

Gestión de certificados es el proceso mediante el cual se generan, almacenan, protegen, transfieren, utilizan y revocan los certificados digitales. Incluye todas las políticas, las tecnologías y los procedimientos necesarios para gestionar el ciclo de vida de los certificados digitales.

¿Por qué es importante? Porque garantiza que los activos criptográficos estén siempre seguros. Las malas prácticas de gestión de certificados, como los certificados caducados o comprometidos, pueden provocar filtraciones de datos, ataques de intermediario o interrupciones del servicio.

Por suerte, con Entrust, puede simplificar el esfuerzo en todos los niveles. Nuestras soluciones incluyen la plataforma Entrust Certificate Services, una plataforma de gestión completa para todos los certificados digitales. Hace que la supervisión sea fácil e intuitiva y permite gestionar todo el ciclo de vida de varias CA desde un solo panel.

Adquirir un certificado TLS es un proceso sencillo. Una vez que sepa qué tipo de certificado necesita, solo tiene que enviar una solicitud de firma de certificado a una CA autorizada.