¿Qué es el SSL? | Definición de SSL

Secure Sockets Layer (SSL) es un protocolo de seguridad que ofrece privacidad, autenticación e integridad a las comunicaciones en Internet. Con el tiempo, SSL ha evolucionado a Transport Layer Security (TLS)

Share facebook icon linkedin icon twitter icon email icon

SSL

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Definir SSL
  • Comprender la diferencia entre SSL y TLS
  • Entender los certificados SSL

¿Qué es SSL?

SSL o Secure Sockets Layer es un protocolo de seguridad de Internet basado en el cifrado. Inicialmente fue desarrollado por Netscape en 1995 para garantizar la privacidad, la autenticación y la integridad de los datos en las comunicaciones de Internet. SSL es el predecesor del cifrado TLS moderno que se utiliza hoy en día.

Los sitios web que implementan SSL/TLS tienen "HTTPS" en su URL en lugar de "HTTP".

HTTP vs HTTPS

¿Cómo funciona SSL/TLS?

  • Para ofrecer un alto grado de privacidad, SSL cifra los datos que se transmiten por la web. Por ello, cualquiera que intente interceptar estos datos se encontrará con una mezcla confusa de caracteres, que será muy difícil de descifrar.
  • SSL inicia un proceso de autenticación, conocido como establecimiento de comunicación, entre dos dispositivos que se comunican para garantizar que ambos sean lo que aparentan.
  • Además, SSL firma digitalmente los datos para proporcionar integridad de datos , que verifica que no se hayan manipulado los datos antes de alcanzar al destinatario designado.

Ha habido diversas iteraciones de SSL, cada una más segura que la anterior. En 1999, SSL se actualizó para convertirse en TLS.

¿Por qué es importante el SSL/TLS?

Originalmente, los datos de la web se transmitían en texto no cifrado que cualquiera podía leer si interceptaba el mensaje. Por ejemplo, si un consumidor visitaba un sitio web de compras, hacía un pedido e introducía su número de tarjeta de crédito en el sitio web, ese número de tarjeta de crédito viajaba por Internet sin ser ocultado.

El SSL se creó para corregir este problema y proteger la privacidad del usuario. Al cifrar los datos entre un usuario y un servidor web, el SSL garantiza que cualquiera que intercepte los datos solo pueda ver un desorden de caracteres codificado. El número de la tarjeta de crédito del consumidor está ahora seguro, solo visible en el sitio web de compras donde lo introdujeron.

El SSL también detiene ciertos tipos de ataques cibernéticos: autentica los servidores web, lo cual es importante porque los atacantes a menudo intentan crear sitios web falsos para engañar a los usuarios y robar datos. También previene que los atacantes manipulen los datos en tránsito, como el precinto del envase de un medicamento.

¿Son lo mismo SSL Y TLS?

El SSL es el predecesor directo de otro protocolo conocido como TLS (Transport Layer Security). El Grupo de trabajo de ingeniería de Internet (IETF, por sus siglas en inglés) propuso en 1999 una actualización del SSL. Como esta actualización la estaba desarrollando el IETF, y Netscape ya no participaba en el proyecto, se cambió el nombre a TLS. No hay diferencias drásticas entre la versión final de SSL (3.0) y la primera versión de TLS; el nombre simplemente se cambió para indicar el cambio de propietario.

Como están tan estrechamente relacionados, los dos términos se suelen usar indistintamente y con frecuencia se confunden. Algunos todavía usan SSL para referirse al TLS, mientras que otros utilizan el término "cifrado SSL/TLS", porque el nombre SSL es muy conocido.

¿Está SSL todavía actualizado?

El SSL no se ha actualizado desde el SSL 3.0 en 1996 y, hoy en día, se considera que está obsoleto. El protocolo SSL tiene varias vulnerabilidades conocidas y, por ello, los expertos en seguridad recomiendan que se deje de usar. De hecho, la mayoría de navegadores web modernos ya no son compatibles con SSL.

El TLS es el protocolo de cifrado actualizado que se sigue implementando en línea, aunque todavía muchos lo llaman "cifrado SSL". Esto puede ser confuso para los consumidores interesados en adquirir soluciones de seguridad. Lo cierto es que cualquier proveedor que ofrezca "SSL" hoy en día proporcionará, con toda probabilidad, protección TLS, que es el estándar del sector desde hace casi veinte años. Sin embargo, debido a que mucha gente todavía busca "protección SSL", el término sigue apareciendo en muchas páginas de productos.

¿Qué es un certificado SSL?

El SSL solo puede ser implementado por sitios web que tengan un certificado SSL (técnicamente un certificado "TLS"). Un certificado SSL es como una tarjeta de identificación o una acreditación que prueba que alguien es quien dice ser. Los certificados SSL son almacenados y mostrados en la web por el servidor de un sitio web o de una aplicación.

Uno de los datos más importantes del certificado SSL es la clave pública del sitio web. La clave pública posibilita el cifrado. El dispositivo del usuario ve la clave pública y la utiliza para establecer claves de cifrado seguras con el servidor web. Mientras tanto, el servidor web también tiene una clave privada que se mantiene en secreto; la clave privada descifra los datos cifrados con la clave pública.

Las autoridades de certificación (AC) son responsables de la emisión de los certificados SSL.

¿Qué tipos de certificados SSL hay?

Existen diferentes tipos de certificados SSL. Los certificados pueden aplicarse a un solo sitio web o a varios, según el tipo:

  • Un solo dominio: el certificado SSL para un solo dominio se aplica a un solo dominio (un "dominio" es el nombre de un sitio web, como www.cloudflare.com).
  • Comodín: al igual que el certificado de un solo dominio, el certificado SSL comodín se aplica a un solo dominio. Sin embargo, también incluye los subdominios de ese dominio. Por ejemplo, un certificado comodín podría abarcar www.cloudflare.com, blog.cloudflare.com, y developers.cloudflare.com, mientras que un certificado de dominio único solo incluiría el primero.
  • Multidominio: como su nombre indica, los certificados SSL multidominio pueden aplicarse a varios dominios no relacionados.

Los certificados SSL también cuentan con diferentes niveles de validación. Un nivel de validación es como una revisión de antecedentes, y el nivel cambia dependiendo de la exhaustividad de la revisión.

  • Validación del dominio: es el nivel de validación menos estricto y el más barato. Lo único que el negocio debe hacer es probar que controla el dominio.
  • Validación de la organización: es un proceso más práctico; la AC se pone en contacto directamente con la persona o empresa que solicita el certificado. Estos certificados son más fiables para los usuarios.
  • Validación extendida: requiere una comprobación completa de los antecedentes de una organización antes de que se pueda emitir el certificado SSL.

¿Cómo puede una empresa obtener un certificado SSL?

Cloudflare ofrece certificados SSL gratuitos para las empresas. Los sitios web protegidos por Cloudflare pueden activar el SSL con unos pocos clics. Es posible que los sitios web deban configurar un certificado SSL en su servidor de origen también: en este artículo hay más instrucciones.

Más información acerca de SSL/TLS

Para más información acerca del funcionamiento del cifrado SSL/TLS, consulta ¿Qué es el TLS? Usa el Centro de diagnóstico de Cloudflare para comprobar si un sitio web está implementando correctamente el cifrado SSL/TLS.