¿Cuál es la diferencia entre SSL y TLS?
Secure Sockets Layer (SSL) es un protocolo de comunicación, o conjunto de reglas, que crea una conexión segura entre dos dispositivos o aplicaciones de una red. Es importante establecer confianza y autenticar a la otra parte antes de compartir credenciales o datos a través de Internet. SSL es una tecnología que sus aplicaciones o navegadores pueden haber utilizado para crear un canal de comunicación seguro y cifrado a través de cualquier red. Sin embargo, SSL es una tecnología antigua que contiene algunos fallos de seguridad. La seguridad de la capa de transporte (TLS) es la versión mejorada de SSL que corrige las vulnerabilidades SSL existentes. TLS se autentica de manera más eficiente y sigue siendo compatible con los canales de comunicación cifrados.
¿Cuáles son las similitudes entre SSL y TLS?
Tanto SSL como TLS son protocolos de comunicación que cifran los datos entre servidores, aplicaciones, usuarios y sistemas. Autentican dos partes conectadas a través de una red para que puedan intercambiar datos de forma segura.
Taher Elgamal dirigió el desarrollo de SSL y publicó SSL 2.0 en 1995. El propósito del protocolo SSL era mantener la comunicación segura a través de la World Wide Web. Tras varias iteraciones de SSL, Tim Dierks y Christopher Allen crearon el protocolo TLS 1.0 en 1999 como sucesor de SSL 3.0.
Terminología
TLS es el sucesor directo de SSL, y todas las versiones de SSL ahora están en desuso. Sin embargo, es común encontrar el término SSL para describir una conexión TLS. En la mayoría de los casos, los términos SSL y SSL/TLS hacen referencia tanto al protocolo TLS como a los certificados TLS.
Objetivo
TLS es un protocolo de comunicación seguro que permite el cifrado y la autenticación. Esto ocurría con SSL antes de que quedara obsoleto. Tanto TLS como SSL utilizan certificados digitales que facilitan el proceso de enlace y establecen comunicaciones cifradas entre un navegador y un servidor web.
Uso en HTTPS
HTTP es un protocolo o conjunto de reglas de comunicación para la comunicación cliente-servidor a través de cualquier red. HTTPS es la práctica de establecer un protocolo SSL/TLS seguro en una conexión HTTP insegura.
Antes de que se conecte con un sitio web, el navegador utiliza TLS para comprobar el certificado TLS o SSL del sitio web. Los certificados TLS y SSL muestran que un servidor cumple con los estándares de seguridad actuales. Puede encontrar pruebas sobre el certificado en la barra de direcciones del navegador. Una conexión auténtica y cifrada muestra https:// en lugar de http://. La s adicional significa seguro.
Diferencias clave: SSL en comparación con TLS
Si bien los objetivos de SSL y TLS son muy similares, estos protocolos de comunicación son distintos en cuanto a su funcionamiento. Estos cambios se desarrollaron a lo largo del tiempo, a medida que SSL pasó por varias versiones antes de que TLS lo reemplazara.
Protocolos de enlace SSL/TLS
Un protocolo de enlace es un proceso por el que un navegador autentica el certificado SSL o TLS de un servidor. Este proceso autentica ambas partes y, a continuación, intercambia las claves criptográficas.
Un protocolo de enlace SSL era una conexión explícita, mientras que un protocolo de enlace TLS es una conexión implícita. El protocolo de enlace SSL tenía más pasos que el protocolo TLS. Al eliminar pasos adicionales y reducir el número total de conjuntos de cifrado, el protocolo TLS ha acelerado el proceso.
Mensajes de alerta
Los mensajes de alerta son la forma en que los protocolos SSL y TLS comunican errores y advertencias. En SSL solo hay dos tipos de mensajes de alerta: advertencia e irrecuperable. Una alerta de advertencia indica que se ha producido un error, pero que la conexión puede continuar. Una alerta irrecuperable indica que la conexión tiene que terminarse inmediatamente. Además, los mensajes de alerta SSL no están cifrados.
TLS tiene un tipo de mensaje de alerta adicional llamado notificación de cierre de la conexión. La alerta de notificación de cierre de la conexión indica el final de la sesión. Las alertas de TLS también están cifradas para mayor seguridad.
Autentificación de mensajes
Tanto SSL como TLS utilizan códigos de autenticación de mensajes (MAC), una técnica criptográfica para verificar la autenticidad e integridad de los mensajes. Mediante el uso de una clave secreta, el protocolo de registro genera el MAC como un código de longitud fija y lo adjunta al mensaje original.
El protocolo SSL utiliza el algoritmo MD5, que ahora está desactualizado, para la generación de MAC. TLS utiliza un código de autenticación de mensajes basado en hash (HMAC) para una criptografía y una seguridad más complejas.
Conjuntos de cifrado
Un conjunto de cifrado es un conjunto de algoritmos que crea claves para cifrar la información entre un navegador y un servidor. Por lo general, un conjunto de cifrado incluye un algoritmo de intercambio de claves, un algoritmo de validación, un algoritmo de cifrado en bloque y un algoritmo MAC. Se actualizaron varios algoritmos de TLS a partir de SSL por motivos de seguridad.
¿Cuál es la diferencia entre los certificados SSL y los certificados TLS?
En la actualidad, los certificados SSL ya no se usan. Los certificados TLS son el estándar del sector. Sin embargo, se sigue utilizando el término SSL para referirse a los certificados TLS.
Los certificados TLS se han basado en los certificados SSL y los han mejorado con el tiempo. La función final de los certificados SSL y TLS no ha cambiado.
¿Debería reemplazar los certificados SSL por certificados TLS?
Debido al lento cambio cultural, la mayoría de los certificados TLS se denominan incorrectamente certificados SSL. Incluso si su certificado se autodenomina certificado SSL, ya admitirá los protocolos SSL y TLS.
Sin embargo, es importante tener en cuenta que TLS 1.0 y TLS 1.1 también quedaron formalmente obsoletos en 2021. Para junio de 2023, todos los clientes de Amazon Web Services deberán admitir TLS 1.2 o una versión posterior. Recuerde que los certificados no son lo mismo que los protocolos. Tiene que asegurarse de que la configuración de su servidor sea compatible con los protocolos TLS.
Resumen de las diferencias: SSL en comparación con TLS
SSL |
TLS |
|
Qué significa |
SSL son las siglas de Secure Sockets Layer (capa de sockets seguros). |
TLS son las siglas de Transport Layer Security (seguridad de la capa de transporte). |
Historial de versiones |
TLS sustituyó SSL. SSL pasó por las versiones 1.0, 2.0 y 3.0. |
TLS es la versión mejorada de SSL. TLS ha pasado por las versiones 1.0, 1.1, 1.2 y 1.3. |
Actividad |
Todas las versiones de SSL están obsoletas. |
Las versiones 1.2 y 1.3 de TLS se utilizan activamente. |
Mensajes de alerta |
SSL solo tiene dos tipos de mensajes de alerta. Los mensajes de alerta no están cifrados. |
Los mensajes de alerta de TLS están cifrados y son más diversos. |
Autentificación de mensajes |
SSL usa MAC. |
TLS usa HMAC. |
Conjuntos de cifrado |
SSL admite algoritmos más antiguos con vulnerabilidades de seguridad conocidas. |
TLS utiliza algoritmos de cifrado avanzados. |
Protocolo de enlace |
Un protocolo de enlace SSL es complejo y lento. |
Un protocolo de enlace TLS tiene menos pasos y una conexión más rápida. |
¿Cómo puede satisfacer AWS sus requisitos de SSL/TLS?
En Amazon Web Services (AWS), ofrecemos AWS Certificate Manager (ACM) para ayudarlo a satisfacer sus requisitos de SSL/TLS. Con ACM, puede aprovisionar, administrar e implementar fácilmente certificados SSL/TLS públicos y privados.
Estas son otras formas en las que puede beneficiarse de ACM:
- Proteja sus recursos internos con una comunicación segura en redes privadas. Por ejemplo, proteja sus servidores, dispositivos móviles y de Internet de las cosas (IoT) y aplicaciones.
- Mantenga los certificados de SSL/TLS, incluyendo las renovaciones, con administración de certificados automática.
- Utilice certificados sin costo con servicios de AWS integrados.
Para comenzar a administrar certificados SSL/TLS en AWS, cree una cuenta gratuita hoy mismo.