Bienvenido a la Guía para principiantes de TLS y SSL. Tomaremos una profundidad en las aplicaciones de cartografía de clave asimétrica o pública.
¿Qué es la criptografía asimétrica??
La criptografía de clave pública se introdujo a principios de 1970. Junto con la idea de que, en lugar de usar una sola clave para cifrar y descifrar una información, se deben usar dos claves separadas: cifrado y descifrado. Esto significa que la clave utilizada para cifrar la información no es relevante para la cuestión de descifrar esa información. También se conoce como criptografía asimétrica.
Este es un concepto novedoso, y para elaborarlo más requeriría el uso de un cálculo muy complejo, por lo que guardaremos esa discusión para otro momento.
¿Qué son TLS y SSL??
TLS significa seguridad de la capa de transporte, mientras que SSL es una abreviatura de la capa de enchufe segura. Ambas son aplicaciones de criptografía de clave pública y, juntos, han hecho que los usuarios de Internet puedan llevar a cabo comunicaciones a través de Internet.
Lo que son exactamente estos dos se explica a continuación.
¿Cómo es diferente de SSL??
TLS y SSL utilizan el enfoque asimétrico del cifrado para asegurar las comunicaciones a través de Internet (apretones de manos). La diferencia central entre los dos es que SSL resultó de la innovación comercial y, por lo tanto, una propiedad a su empresa matriz, que es NetScape. En contraste, TLS es un estándar de la Fuerza de Tarea de Ingeniería de Internet, una versión ligeramente actualizada de SSL. Fue nombrado de manera diferente para evitar problemas de derechos de autor y potencialmente una demanda.
Para ser precisos, TLS viene con algunos atributos que lo separan de SSL. En TSL, los apretones de manos se establecen sin seguridad y se fortalecen con el comando STARTTLS, que no es el caso en SSL.
TSL se considera una mejora en SSL porque permite que los apretones de manos que son típicamente inseguros o inseguros se actualicen al estado asegurado.
¿Qué hace que las conexiones TLS sean más seguras que SSL??
Ha habido una intensa competencia en los mercados de seguridad informática. SSL 3.0 no pudo mantenerse al día con Internet y quedó obsoleto en 2015. Hay varias razones detrás de esto, principalmente por ver con las vulnerabilidades que no podrían haber sido rectificadas. Una de esas susceptibilidad es la compatibilidad de SSL con los cifrados que son capaces de resistir los ataques cibernéticos modernos.
La vulnerabilidad permanece con TLS 1.0, como un intruso podría forzar un SSL 3.0 conexión sobre el cliente y luego explotar su vulnerabilidad. Este ya no es el caso con la nueva actualización de TLS.
¿Qué medidas podemos tomar??
Si está en el extremo receptor, simplemente mantenga actualizado su navegador. Hoy en día, todos los navegadores vienen con soporte incorporado para TLS 1.2, por eso mantener la seguridad no es tan difícil para los clientes. Sin embargo, los usuarios aún deben tomar precauciones cuando ven banderas rojas. Prácticamente todos los mensajes de advertencia de sus navegadores apuntan a tales banderas rojas. Los navegadores web modernos son excepcionales para detectar si algo shady está sucediendo en un sitio web.
Los administradores del servidor que alojan sitios web tienen mayores responsabilidades en sus hombros. Hay muchas cosas que puede hacer a este respecto, pero comencemos a mostrar un mensaje cuando un cliente use software obsoleto.
Por ejemplo, aquellos que usan máquinas Apache como servidores deben probar esto:
$ Ssloptions +stdenvvars
$ Requestheader set x-ssl-propocol %ssl_protocol s
$ Requestheader set x-ssl-cipher %ssl_cipher s
Si está utilizando PHP, busque $ _server dentro del script. Si se encuentra con algo que indique que TLS está desactualizado, se mostrará un mensaje en consecuencia.
Para fortalecer mejor la seguridad de su servidor, existen utilidades gratuitos que prueban el sistema de susceptibilidades a las deficiencias TLS y SSL. Algunos de ellos pueden configurar mejor su servidor. Si le gusta esa idea, consulte el generador de configuración de Mozilla SSL, que básicamente hace todo el trabajo para que configure su servidor para minimizar los riesgos de TLS y tal.
Si desea probar su servidor para obtener susceptibilidades SSL, consulte Qualys SSL Labs. Ejecuta una configuración automatizada que es completa e intrincada si está orientado a los detalles.
En resumen
A fin de cuentas, el peso de la responsabilidad se encuentra en los hombros de todos.
Con el advenimiento de las computadoras y técnicas modernas, los ataques cibernéticos se han vuelto cada vez más impactantes y a gran escala con el tiempo. Todos los usuarios de Internet deben tener un conocimiento adecuado de los sistemas que protegen su privacidad en línea y tomar las precauciones necesarias mientras se comunican a través de Internet.
En cualquier caso, siempre está mucho mejor usando la fuente abierta, ya que son más seguros, gratuitos y pueden hacer el trabajo.