Diferencias entre SSL, TLS y HTTPS

 SSL no se ha actualizado desde el SSL 3.0 en 1996 y, hoy en día, se considera que está obsoleto. TLS reemplaza el protocolo de capa de conectores seguros (SSL) que ya no se utiliza. La capa de conexión segura (TLS) garantiza las comunicaciones cifradas entre un cliente y un servidor web a través de HTTPS. 

• SSL es un protocolo obsoleto que ha sido sustituido por TLS 
• SSL está en la capa de sesión del modelo OSI pero en el caso de TLS se trata de un protocolo ubicado en la capa de transporte
•  HTTPS en su inicio (como suele ser habitual en la gran mayoría de los casos) significará que hay un cifrado TLS. Hace falta un certificado SSL / LS que permita esa “S” final.

SSL

¿Qué es SSL?

 SSL, o Secure Sockets Layer, es un protocolo de seguridad de Internet basado en el cifrado. Desarrollado por Netscape en 1995 para asegurar la privacidad, la autenticación y la integridad de los datos en las comunicaciones en Internet. SSL es el predecesor del cifrado TLS moderno que se utiliza hoy en día.

SSL es el predecesor directo de otro protocolo conocido como TLS (transport layer security). El Internet Engineering Task Force (IETF, por sus siglas en inglés) propuso en 1999 una actualización de SSL. Ya que esta actualización la estaba desarrollando el IETF, y Netscape ya no participaba en el proyecto, se cambió el nombre a TLS. No hay diferencias drásticas entre la versión final de SSL (3.0) y la primera versión de TLS, el nombre simplemente se cambió para indicar el cambio de propietario. 

Ya que están tan estrechamente relacionados, los dos términos se suelen usar indistintamente y con frecuencia se confunden. Algunos todavía usan SSL para referirse a TLS, mientras que otros utilizan el término 'cifrado SSL/TLS', ya que el nombre SSL es muy conocido.

La capa de conexión segura (TLS) garantiza las comunicaciones cifradas entre un cliente y un servidor web a través de HTTPS. Reemplaza el protocolo de capa de conectores seguros (SSL) que ya no se utiliza.

SSL no se ha actualizado desde el SSL 3.0 en 1996 y, hoy en día, se considera que está obsoleto. El protocolo SSL tiene varias vulnerabilidades conocidas y, por ello, los expertos en seguridad recomiendan que se deje de usar. De hecho, la mayoría de navegadores web modernos ya no son compatibles con SSL.

TLS (Transport Layer Security)

¿Qué es TLS?

TLS se traduce a Transport Layer Security o en español Seguridad de la Capa de Transporte y su sucesor SSL (Secure Sockets Layer o en español Capa de Puertos Seguros)

La capa de conexión segura (TLS) garantiza las comunicaciones cifradas entre un cliente y un servidor web a través de HTTPS. Reemplaza el protocolo de capa de conectores seguros (SSL) que ya no se utiliza. Cuando se cifra el tráfico web con TLS, aparece un candado verde en la ventana del navegador de los usuarios, cerca del cuadro de la dirección URL.

Explicación de las versiones de TLS Una versión más nueva de TLS implica un estándar de cifrado.  

TLS 1.2 incluye correcciones de vulnerabilidades encontradas en versiones anteriores. A partir de junio de 2018, TLS 1.2 es la versión obligatoria del Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI, por sus siglas en inglés).

TLS 1.2 utiliza:

• SHA-1
• RC4
• DES
• 3DES
• AES-CBC
• MD5
• Grupos Diffie-Hellman arbitrarios – CVE-2016-0701
• EXPORT- claves de fuerza – Responsable de FREAK y LogJam

TLS 1.3, que ofrece mejoras de funcionamiento (velocidad) y seguridad adicionales, fue aprobado por Internet Engineering Task Force (IETF, por sus siglas en inglés) en 2018.

TLS 1.3

• Velocidad (handshake,  “zero round trip time”. (0-RTT).)

TLS 1.3 es compatible tanto en Chrome (a partir de la versión 66), Chrome 70 de forma oficial, como en Firefox (a partir de la versión 60). Microsoft Edge comenzó a soportar TLS 1.3 con la versión 76, y está habilitado por defecto en Safari 12.1 en macOS 10.14.4.

Protocolo HTTPS

Por otra parte tenemos HTTPS. Sin duda es el protocolo que más reconocerán los usuarios. Es lo que podemos ver cada vez que ponemos una página web. Como sabemos, un sitio web, un dominio, puede estar precedido por HTTP o HTTPS. Esta última opción es la que nos interesa, este protocolo pertenece a la capa de aplicación del modelo OSI.

HTTPS viene de las palabras en inglés Hyper Text Transfer Protocol Secure (protocolo seguro de transferencia de hipertexto). Si un sitio web está protegido hace uso de un certificado SSL/TLS y utiliza algoritmos de cifrado simétrico, asimétrico y de intercambio de claves, hace uso del protocolo HTTPS.

Podemos decir que el protocolo HTTPS necesita de un certificado SSL/TLS. En el navegador podremos ver si una web es segura en este sentido. Es muy importante utilizar protocolos SSL/TLS cuando haya intercambio de información personal o sensible. Por ejemplo para introducir contraseñas, acceder a páginas donde pongamos información delicada y que pueda ser robada.

En definitiva, estos tres protocolos (el SSL ya no, porque está obsoleto) están diseñados para mejorar la seguridad de los navegantes. Son importantes en los sitios webs modernos y que pretenden adaptarse a las exigencias actuales, ya que en temas de SEO, por ejemplo, prima mucho que una web cuente con estos protocolos.

Si queremos ver el certificado, sus propósitos, para qué web ha sido emitido y por qué organización o entidad ha sido emitido. También podemos ver la fecha de validez: válido desde X hasta Y. Además, podemos ver todo tipo de detalles en la ventana emergente: la versión, número de serie, algoritmo de firma, emisor, validez, sujeto, clave pública, parámetros de clave pública, etc.

También otros navegadores nos dicen si una web es no segura. En el caso de Mozilla Firefox indican desde su web de soporte o ayuda que aparecerá un mensaje de aviso si no se puede comprobar que la encriptación es suficiente. Aparecerá una página de error con un mensaje que indica “riesgo potencial de seguridad a continuación” o "descarga no segura".