¿Qué es el SSL? | Definición de SSL

Secure Sockets Layer (SSL) es un protocolo de seguridad que ofrece privacidad, autenticación e integridad para las comunicaciones de Internet. SSL finalmente evolucionó a Seguridad de la capa de transporte (TLS).

Share facebook icon linkedin icon twitter icon email icon

SSL

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir el SSL
  • Comprende la diferencia entre SSL y TLS
  • Comprende los certificados SSL

¿Qué es SSL?

SSL, o Secure Sockets Layer, es un protocolo de seguridad de Internet basado en la encripción. Netscape lo desarrolló por primera vez en 1995 con el fin de garantizar la privacidad, la autenticación y la integridad de los datos en las comunicaciones de Internet. SSL es el predecesor de la encripción TLS moderna que se usa en la actualidad.

Un sitio web que implementa SSL/TLS tiene "HTTPS" en su URL en lugar de "HTTP".

HTTP frente a HTTPS

¿Cómo funciona el SSL/TLS?

  • Con el fin de brindar un alto nivel de privacidad, el SSL encripta los datos que se transmiten a través de la web. Esto significa que cualquiera que intente interceptar estos datos únicamente verá una mezcla confusa de caracteres que es casi imposible de descifrar.
  • SSL inicia un proceso de autenticación llamado enlace entre dos dispositivos de comunicación para garantizar que ambos sean realmente quienes dicen ser.
  • SSL también firma digitalmente los datos para proporcionar integridad de datos, al verificar que los datos no sean alterados antes de llegar a su destinatario.

Ha habido varias iteraciones de SSL, cada una más segura que la anterior. En 1999, SSL se actualizó para convertirse en TLS.

¿Por qué es importante el SSL/TLS?

Originalmente, los datos de la web se transmitían en texto sin formato que cualquiera podía leer si interceptaba el mensaje. Por ejemplo, si un consumidor visitaba un sitio web de compras, hacía un pedido e ingresaba su número de tarjeta de crédito en el sitio web, ese número de tarjeta de crédito se transmitía por Internet sin ser ocultado.

SSL se creó para corregir este problema y proteger la privacidad del usuario. Al encriptar cualquier dato que se interponga entre un usuario y un servidor web, SSL garantiza que cualquiera que intercepte los datos solo podrá ver un desorden de caracteres mezclados. El número de la tarjeta de crédito del consumidor ahora está seguro y solo es visible en el sitio web de compras en el que se ingresó.

El SSL también detiene ciertos tipos de ataques cibernéticos: autentica los servidores web, lo que es importante porque los atacantes suelen crear sitios web falsos para engañar a los usuarios y robarles los datos. También evita que los atacantes manipulen los datos en tránsito, como el sello a prueba de manipulaciones de un envase de medicamentos.

¿SSL y TLS son lo mismo?

SSL es el predecesor directo de otro protocolo llamado TLS (Seguridad de la capa de transporte). En 1999, Internet Engineering Task Force (IETF) propuso una actualización de SSL. Debido a que IETF desarrollaba esta actualización y a que Netscape ya no participaba, el nombre se cambió a TLS. Las diferencias entre la versión final de SSL (3.0) y la primera versión de TLS no son significativas. El cambio de nombre se hizo para indicar el cambio de propiedad.

Debido a que están tan estrechamente relacionados, los dos términos se suelen usar de manera indistinta y se confunden. Algunas personas aún usan el término SSL para referirse a TLS, otras usan "encripción SSL/TLS" porque SSL aún es un nombre muy reconocido.

¿SSL aún está actualizado?

SSL no se ha actualizado desde la versión SSL 3.0 en 1996 y ahora se considera obsoleto. Existen varias vulnerabilidades conocidas en el protocolo SSL y los expertos en seguridad recomiendan descontinuar su uso. De hecho, la mayoría de navegadores web modernos ya no son compatibles con SSL.

TLS es el protocolo de encripción actualizado que aún se implementa en línea, aunque muchas personas aún se refieren a este como "encripción SSL". Esto podría resultar confuso para los usuarios que buscan comprar soluciones de seguridad. La verdad es que cualquier proveedor que ofrece "SSL" en estos días seguramente está ofreciendo protección TLS, que es un estándar de la industria desde hace casi veinte años. Sin embargo, como muchas personas aún buscan "protección SSL", el término aún se usa bastante en muchas páginas de productos.

¿Qué es un certificado SSL?

El SSL solo puede ser implementado por sitios web que tengan un certificado SSL (técnicamente un "certificado TLS"). Un certificado SSL es como una tarjeta o insignia de identificación que demuestra que alguien es quien dice ser. El servidor de un sitio web o de una aplicación almacena y muestra en la web los certificados SSL.

Uno de los datos más importantes de un certificado SSL es la clave pública del sitio web. La clave pública posibilita la encripción. El dispositivo de un usuario ve la clave pública y la usa para establecer claves de encripción seguras con el servidor web. Mientras tanto, el servidor web también tiene una clave privada que se mantiene en secreto; la clave privada descifra los datos encriptados con la clave pública.

Las autoridades de certificación (CA) son responsables de la emisión de los certificados SSL.

¿Cuáles son los tipos de certificado SSL?

Hay diferentes tipos de certificados SSL. Un certificado puede aplicarse a un solo sitio web o a varios, según el tipo:

  • Dominio único: un certificado SSL para un dominio único se aplica a un solo dominio (un "dominio" es el nombre de un sitio web, como www.cloudflare.com).
  • Comodín: al igual que un certificado para un dominio único, un certificado SSL comodín se aplica a un solo dominio. Sin embargo, este también incluye los subdominios de ese dominio. Por ejemplo, un certificado comodín podría abarcar www.cloudflare.com, blog.cloudflare.com y developers.cloudflare.com, mientras que un certificado de un dominio único solo podía aplicarse al primero.
  • Dominio múltiple: como su nombre lo indica, los certificados SSL de dominio múltiple pueden aplicarse a varios dominios no relacionados.

Los certificados SSL también tienen diferentes niveles de validación. Un nivel de validación es como una comprobación de antecedentes, y el nivel cambia según la minuciosidad de la comprobación.

  • Validación del dominio: este es el nivel de validación menos estricto y el más económico. Todo lo que una empresa tiene que hacer es probar que controla el dominio.
  • Validación de la organización: este es un proceso más práctico: la AC se pone en contacto directamente con la persona o la empresa que solicita el certificado. Estos certificados son más confiables para los usuarios.
  • Validación extendida: esta requiere una comprobación completa de los antecedentes de una organización antes de que se emita el certificado SSL.

¿Cómo puede una empresa obtener un certificado SSL?

Cloudflare ofrece certificados SSL gratis para cualquier empresa. Un sitio web protegido por Cloudflare puede activar SSL con solo unos clics. Es posible que los sitios web también necesiten configurar un certificado SSL en su servidor de origen: este artículo tiene más instrucciones.

Más acerca de SSL/TLS

Para obtener más información sobre cómo funciona la encripción SSL/TLS, consulta ¿Qué es TLS? Consulta el Centro de diagnóstico de Cloudflare para comprobar si un sitio web está implementando correctamente la encripción SSL/TLS.