SSL vs. TLS – ¿Cuál es la diferencia?

sslvstls

La Seguridad del Internet es un poco similar a una sopa de letras – SSL, TLS, ECC, SHA, y la lista continua. Todos estas abreviaturas pueden hacer confuso para las personas entender que es lo que necesitan. Posiblemente uno de las preguntan más frecuentes es  ¿Cuál es la diferencia entre SSL (Secure Socket Layers) y TLS (Transport Layer Security)? Deseas proteger tu pagina web (u otro tipo de comunicación), pero ¿Qué necesitas SSL, TLS, o los dos? veamos un poco para que sirven estos.

Una Breve Historia de SSL y TLS

SSL y TLS con protocolos criptográficos que proporcionan autenticación y cifrado de la información entre servidores, máquinas y aplicaciones que operan sobre una red (ejemplo un cliente conectándose a un servidor web). SSL es el predecesor del TLS. Con los años, nuevas versiones de protocolos han sido desarrolladas para enfrentar las vulnerabilidades y para entregar cifrado y algoritmos más fuertes.

SSL fue originalmente desarrollado por Netscape y fue introducido en 1995 con el SSL 2.0 (el 1.0 nunca fue lanzado al publico). La Versión 2.0 fue rápidamente remplazada por el SSL 3.0 en 1996 después de que un numero de vulnerabilidades fueran encontradas. Nota:Versiones 2.0 y 3.0 son algunas veces escritas como SSLv2 y SSLv3.

El TLS fue introducido en 1999 como una nueva versión del SSL y fue basada en SSL 3.0.

“Las diferencias entre este protocolo y SSL 3.0 no es dramática, pero es lo suficientemente significativa para que el TLS 1.0 y el SSL 3.0 no puedan interoperar.”

 

TLS está actualmente en la versión 1.2, y el TLS v. 1.3 esta actualmente en borrador.

¿ Debería usar SSL o TLS?

Tanto SSL 2.0 y 3.0 han sido depreciados por el IETF (en 2011 y 2015, respectivamente). A lo largo de los años vulnerabilidades han sido encontradas en los protocolos SSL obsoletos (ejemplo POODLE, DROWN). Los más modernos navegadores van a entregar una experiencia de usuario obsoltera (ejemplo: advertencias de seguridad) cuando ellos encuentran un servidor web que usa estos protocolos antiguos. Por estas razones, debes deshabilitar el SSL 2.0 y 3.0 en tu configuración de servidor, dejando solo los protocolos TLS habilitados.

Los Certificados no son lo mismo que protocolos

Antes de que te comiences a preocupar, por si necesitas remplazar tus certificados SSL existentes con certificados TLS, es importante que tengas en cuenta que los certificados no dependen de protocolos. En otras palabras, no necesitas usar certificados TLS vs. un Certificado SSL. Muchos vendedores tienen a usar la frase “certificado SST/TLS”, puede ser más exacto llamarlos “certificados para uso con SSL y TLS” ya que los protocolos son determinados por la configuración del servidor, y no por los certificados.

Es muy probable que sigas viendo que se refieren a los certificados como Certificados SSL ya que en este momento es el termino más popular, pero estamos comenzando a ver un incremento en el uso del termino TLS en la industria. SSL/TLS es lo más usado por ahora hasta que más gente se familiarice con el termino TLS.

Deshabilitar el SSL 2.0 y 3.0

Si no estas seguro si tus servidores están soportando protocolos SSL, puede fácilmente verificar usando nuestro Verificador de servidor SSL.

Artículo original en el Blog de Globalsign

Neothek ofrece servicios de Web Hosting , registro de dominios y certificados SSL y diseño de páginas web.

Share This Post On