SSL vs. TLS - ¿Cuál es la diferencia?

-
La Seguridad del Internet es un poco similar a una sopa de letras - SSL, TLS, ECC, SHA, y la lista continua. Todos estas abreviaturas pueden hacer confuso para las personas entender que es lo que necesitan. Posiblemente uno de las preguntan más frecuentes es - ¿Cuál es la diferencia entre SSL (Secure Socket Layers) y TLS (Transport Layer Security)? Usted conoce que desea proteger su pagina web (u otro tipo de comunicación), pero ¿Qué necesita SSL, TLS, o los dos? veamos un poco para que sirven estos.

Una Breve Historia de SSL y TLS

SSL y TLS con protocolos criptográficos que proporcionan autenticación y cifrado de la información entre servidores, máquinas y aplicaciones que operan sobre una red (ejemplo un cliente conectándose a un servidor web). SSL es el predecesor del TLS. Con los años, nuevas versiones de protocolos han sido desarrolladas para enfrentar las vulnerabilidades y para entregar cifrado y algoritmos más fuertes.

SSL fue originalmente desarrollado por Netscape y fue introducido en 1995 con el SSL 2.0 (el 1.0 nunca fue lanzado al publico). La Versión 2.0 fue rápidamente remplazada por el SSL 3.0 en 1996 después de que un numero de vulnerabilidades fueran encontradas. Nota:Versiones 2.0 y 3.0 son algunas veces escritas como SSLv2 y SSLv3.

El TLS fue introducido en 1999 como una nueva versión del SSL y fue basada en SSL 3.0.

"Las diferencias entre este protocolo y SSL 3.0 no es dramática, pero es lo suficientemente significativa para que el TLS 1.0 y el SSL 3.0 no puedan interoperar.”
(source)

TLS está actualmente en la versión 1.2, y el TLS v. 1.3 esta actualmente en borrador. 

¿Usted debería usar SSL o TLS?

Tanto SSL 2.0 y 3.0 han sido depreciados por el IETF (en 2011 y 2015, respectivamente). A lo largo de los años vulnerabilidades han sido encontradas en los protocolos SSL obsoletos (ejemplo POODLE, DROWN). Los más modernos navegadores van a entregar una experiencia de usuario obsoltera (ejemplo: advertencias de seguridad) cuando ellos encuentran un servidor web que usa estos protocolos antiguos. Por estas razones, usted debe deshabilitar el SSL 2.0 y 3.0 en su configuración de servidor, dejando solo los protocolos TLS habilitados.

Los Certificados no son lo mismo que protocolos

Antes de que se comiencen a preocupar, que si  usted necesita remplazar sus certificados SSL existentes con certificados TLS, es importante que tenga en cuenta que los certificados no dependen de protocolos. En otras palabras, usted no necesita usar certificados TLS vs. un Certificado SSL. Muchos vendedores tienen a usar la frase "certificado SST/TLS", puede ser más exacto llamarlos "certificados para uso con SSL y TLS" ya que los protocolos son determinados por la configuración del servidor, y no por los certificados.
Es muy probable que usted siga viendo que se refieren a los certificados como Certificados SSL ya que en este momento es el termino más popular, pero estamos comenzando a ver un incremento en el uso del termino TLS en la industria. SSL/TLS es lo más usado por ahora hasta que más gente se familiarice con el termino TLS.

Deshabilitar el SSL 2.0 y 3.0


Si usted no esta seguro si sus servidores están soportando protocolos SSL, usted puede fácilmente verificar usando el siguiente  Verificador de servidor SSL.

Resultados de un test que muestra en rojo cuales protocolos están habilitados, pero no deberían estarlo.



Para instrucciones en como deshabilitar el SSL 2.0 y 3.0 en tipos de servidores comunes, incluyendo Apache, NGINX y Tomcat, lo invitamos a leer nuestro articulo de soporte relacionado a este tema.
¿Cuál es la diferencia entre SSL y TLS? dentro de una conversación, la diferencia no es mucha, muchas personas continúan usando el termino SSL. En términos de su configuración de servidor, es la diferencia entre vulnerabilidades, conjunto de cifrados obsoletos y las alertas de seguridad del navegador. Cuando se trata de sus servidores, usted solo debe de tener protocolos TLS habilitados.

Fuente : Globalsign - Eduardo Zambrano

Comentarios

Publicar un comentario

Entradas más populares de este blog

estrategia de comunicación digital

-
Imagen
¿Se ha completado su estrategia de comunicación digital? Atrás han quedado los días en que los medios convencionales, tales como mensajes, teléfono, y correo electrónico que solía ser el modo principal de comunicación. Con los tiempos y los avances en la tecnología cambia en una escala macro, los medios digitales ha tomado las empresas. Por lo tanto, para contrarrestar la competencia salvaje y para mantenerse por delante de los demás, es para usted una estrategia de comunicación digital eficiente y eficaz está en su lugar. Vamos a comenzar con la comunicación digital ¿por qué? Es el elemento clave para la adquisición y retención de clientes y es igualmente esencial para sostener un negocio en crecimiento. Por ahí cuando todo el mundo tiene más o menos el mismo producto o servicio a ofrecer, se convierte en importante para tocar la base con el conjunto adecuado de las perspectivas de una manera rápida, oportuna y atractiva. Se puede hacer sólo cuando hay una estrat...
Leer más

Todo comienza con el primer acceso

-
Imagen
Todo comienza con el primer acceso SSO para Clientes. Single Sign-On (SSO) es algo que funciona de maravilla, pero incluye mucho más de lo que parece. Aquí, voy a tratar de compartir algo de luz sobre la tecnología ... SSO es la (pieza compleja de) la tecnología que le permite navegar por Internet de un sitio a otro ya través de un poco de “magia” que no tiene que volver a autenticarse al entrar en el segundo servicio. Cuando funciona, usted es una persona feliz. Hay algunos temas subyacentes para ayudarle a entender de lo que hay bajo el capó del SSO. La autenticación y el nivel de seguridad (LOA) Todo comienza con el primer acceso. En aras de la simplicidad supongamos que ya se ha registrado a la primera aplicación. Dependiendo del nivel de confidencialidad de la información o recursos que está intentando acceder, es necesario utilizar la autenticación adecuada para la primera aplicación. La autenticación puede ser tan simple como la determin...
Leer más

Identidad y Acceso (AIM)

-
Imagen
¿AIM simple lujo o necesidad? Los servicios de identidad les permiten a las organizaciones implementar servicios electrónicos seguros, manejar identidades de empleados e identidades empresariales, y automatizar las implementaciones PKI para móviles, usuarios y maquinas. ¿Cuantas veces te ha ocurrido que más de una vez te a has olvidado de una o más de una de las claves corporativas que ocupas a diario? ¿Aburrido de tener que ingresar los datos de autenticación cada vez que se conecta a un servicio en su organización? ¿Los usuarios llaman seguido a soporte para recuperar sus contraseñas? Hoy en día muchas empresas mal gastan sus recursos y retrasan muchos procesos por el simple hecho de no contar con un sistema AIM, las soluciones buscan autenticar a un usuario en varias aplicaciones en Internet sin la necesidad de que lo hagan más de una vez agilizando procesos corporativos. Los datos de acceso son interceptados a través de un Proxy (AIM), de un componente en el servidor ...
Leer más