Secure Sockets Layer (SSL) es un protocolo de seguridad que ofrece privacidad, autenticación e integridad para las comunicaciones de Internet. SSL finalmente evolucionó a Seguridad de la capa de transporte (TLS).
Después de leer este artículo podrás:
Contenido relacionado
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
SSL, o Secure Sockets Layer, es un protocolo de seguridad de Internet basado en la encriptación. Netscape lo desarrolló por primera vez en 1995 con el fin de garantizar la privacidad, la autenticación y la integridad de los datos en las comunicaciones de Internet. SSL es el predecesor de la encriptación TLS moderna que se usa en la actualidad.
Un sitio web que implementa SSL/TLS tiene "HTTPS" en su URL en lugar de "HTTP".
Ha habido varias iteraciones de SSL, cada una más segura que la anterior. En 1999, SSL se actualizó para convertirse en TLS.
Originalmente, los datos de la web se transmitían en texto sin formato que cualquiera podía leer si interceptaba el mensaje. Por ejemplo, si un consumidor visitaba un sitio web de compras, hacía un pedido e ingresaba su número de tarjeta de crédito en el sitio web, ese número de tarjeta de crédito se transmitía por Internet sin ser ocultado.
SSL se creó para corregir este problema y proteger la privacidad del usuario. Al encriptar cualquier dato que se interponga entre un usuario y un servidor web, SSL garantiza que cualquiera que intercepte los datos solo podrá ver un desorden de caracteres mezclados. El número de la tarjeta de crédito del consumidor ahora está seguro y solo es visible en el sitio web de compras en el que se ingresó.
El SSL también detiene ciertos tipos de ataques cibernéticos: autentica los servidores web, lo que es importante porque los atacantes suelen crear sitios web falsos para engañar a los usuarios y robarles los datos. También evita que los atacantes manipulen los datos en tránsito, como el sello a prueba de manipulaciones de un envase de medicamentos.
SSL es el predecesor directo de otro protocolo llamado TLS (Seguridad de la capa de transporte). En 1999, Internet Engineering Task Force (IETF) propuso una actualización de SSL. Debido a que IETF desarrollaba esta actualización y a que Netscape ya no participaba, el nombre se cambió a TLS. Las diferencias entre la versión final de SSL (3.0) y la primera versión de TLS no son significativas. El cambio de nombre se hizo para indicar el cambio de propiedad.
Debido a que están tan estrechamente relacionados, los dos términos se suelen usar de manera indistinta y se confunden. Algunas personas aún usan el término SSL para referirse a TLS, otras usan "encriptación SSL/TLS" porque SSL aún es un nombre muy reconocido.
SSL no se ha actualizado desde la versión SSL 3.0 en 1996 y ahora se considera obsoleto. Existen varias vulnerabilidades conocidas en el protocolo SSL y los expertos en seguridad recomiendan descontinuar su uso. De hecho, la mayoría de navegadores web modernos ya no son compatibles con SSL.
TLS es el protocolo de encriptación actualizado que aún se implementa en línea, aunque muchas personas aún se refieren a este como "encriptación SSL". Esto podría resultar confuso para los usuarios que buscan comprar soluciones de seguridad. La verdad es que cualquier proveedor que ofrece "SSL" en estos días seguramente está ofreciendo protección TLS, que es un estándar de la industria desde hace casi veinte años. Sin embargo, como muchas personas aún buscan "protección SSL", el término aún se usa bastante en muchas páginas de productos.
El SSL solo puede ser implementado por sitios web que tengan un certificado SSL (técnicamente un "certificado TLS"). Un certificado SSL es como una tarjeta o insignia de identificación que demuestra que alguien es quien dice ser. El servidor de un sitio web o de una aplicación almacena y muestra en la web los certificados SSL.
Uno de los datos más importantes de un certificado SSL es la clave pública del sitio web. La clave pública posibilita el cifrado y la autenticación. El dispositivo de un usuario ve la clave pública y la usa para establecer claves de cifrado seguras con el servidor web. Mientras tanto, el servidor web también tiene una clave privada que se mantiene en secreto; la clave privada descifra los datos encriptados con la clave pública.
Las autoridades de certificación (CA) son responsables de la emisión de los certificados SSL.
Hay diferentes tipos de certificados SSL. Un certificado puede aplicarse a un solo sitio web o a varios, según el tipo:
Los certificados SSL también tienen diferentes niveles de validación. Un nivel de validación es como una comprobación de antecedentes, y el nivel cambia según la minuciosidad de la comprobación.
Cloudflare ofrece certificados SSL gratis para cualquier empresa. Un sitio web protegido por Cloudflare puede activar SSL con solo unos clics. Es posible que los sitios web también necesiten configurar un certificado SSL en su servidor de origen: este artículo tiene más instrucciones.
Para obtener más información sobre cómo funciona el cifrado SSL/TLS, consulta ¿Qué es TLS?