Protocolo SSL/TLS

SSL y TSL con protocolos usados para certificar comunicaciones seguras a través de internet, proporcionando seguridad en la identificación del servidor y del cliente, así como el cifrado y la integridad de la información, en ambas partes de la comunicación.

Ambos protocolos cifran la información mediante un algoritmo de cifrado de clave simétrica o secreta, como IDEA o RC6, cifran la clave de la sesión que se establezca mediante un algoritmo de cifrado de clave asimétrica o pública como RSA. Utilizan una función resumen como MD5 para garantizar la integridad de la información transmitida.

SSL

SSL (Secure Sockets Layer) traducido al español significa Capa de Conexiones Seguras. Es un protocolo que hace uso de certificados digitales para establecer comunicaciones seguras a través de Internet. Es un protocolo estratificado, por lo que en cada capa se le agregan a los mensajes campos con distintos tipos de contenido, como el largo de los mismos, algún tipo de descripción y la información propiamente dicha.

Una sesión SSL posee diferentes estados y es responsabilidad del SSL Hanshake Protocol la coordinación de los mismos entre el cliente y el servidor para que ambos funcionen en forma consistente, a pesar del hecho que no estén exactamente en paralelo.

 

Fue diseñado con el objeto de proveer privacidad y confiabilidad a la comunicación entre dos aplicaciones. Este se compone de dos capas:

SSL Record Protocol. Está ubicada sobre algún protocolo de transporte confiable (como por ejemplo TCP) y es usado para encapsular varios tipos de protocolos de mayor nivel.

SSL Handshake Protocol. Es uno de los posibles protocolos que pueden encapsularse sobre la capa anterior y permite al cliente y al servidor autenticarse mutuamente, negociar un algoritmo de cifrado e intercambiar llaves de acceso.

 

Una de las ventajas del SSL es que es independiente del protocolo de aplicación, ya que es posible ubicarlo por encima del mismo en forma transparente. 

• Puede ser aplciado en la práctica en las transacciones de comercio electrónico, los procesos de trabajo online y los servicios por Internet:
• Para proteger transacciones realizadas con tarjetas de banco.
• Para ofrecer protección online a los accesos al sistema, la información confidencial transmitida a través de formularios web o determinadas áreas protegidas de páginas web.
• Para proteger la transferencia de archivos sobre HTTPS y servicios de FTP, como podrían ser las actualizaciones de nuevas páginas por parte de un propietario de una página web o la transmisión de archivos pesados.
• Para proteger el tráfico en una intranet como es el caso de las redes internas, la función compartir archivos, las extranets o las conexiones a bases de datos.

 

Los objetivos del protocolo SSL son, en orden de prioridad:

                        

Seguridad Criptográfica. Debe ser usado para establecer una conexión segura entre dos partes.

Interoperatividad. Programadores independientes deben poder desarrollar aplicaciones que, utilizando SSL, permitan intercambiar en forma exitosa parámetros de cifrado sin tener conocimiento del código utilizado por el otro.

Flexibilidad. Debe ser una base sobre la cual puedan incorporarse nuevos métodos de cifrado. Esto trae aparejado dos objetivos más: evitar la creación de un protocolo nuevo y la implementación de una nueva biblioteca de seguridad

Eficiencia. Dado que las operaciones de cifrado consumen gran cantidad de recursos, en especial CPU, incorpora ciertas facilidades que permiten mejorar este aspecto, además de mejorar el uso de la red.

TLS

TLS (Transport Layer Security) está basado en SSL y son totalmente compatibles. Se asegura que los correos se transmitan en internet con una tecnología de cifrado estándar. Asegurar de esta manera los correos reduce el riesgo de que sean interceptados, leídos por partes no autorizadas o falsificados. 

Para que funcione, es necesario habilitar TLS en los servidores de correo tanto del remitente como del destinatario del mensaje. Cualquier información intercambiada entre los servidores está cifrada, lo que incluye el título puesto como asunto, el texto y los documentos adjuntos.  

Cuando se envían mensajes cifrados, el intercambio de correo funciona como a continuación:  

• Cuando el remitente se conecta con el destinatario, el sistema verifica automáticamente si está habilitado TLS en el servidor de correo del cliente.
• Si está habilitado TLS en ambos servidores, se establece una conexión TLS segura mediante un procedimiento de protocolo de intercambio conocido como "handshake" (apretón de manos).
• Durante este protocolo, se intercambian los certificados TLS. Si el servidor del remitente confía en el certificado del servidor de correo del cliente, inicia la sesión TLS y se envía el correo mediante una conexión de internet segura.

  

Un certificado TLS es un certificado digital de seguridad que se utiliza por el protocolo TLS (antes SSL). Este certificado es otorgado por una agencia independiente debidamente autorizada y es enviado por el servidor de la página web segura. De esta forma se valida que una página web es realmente la que dice ser, sin tener redirecciones o páginas personificando a otras (conocidas como páginas no seguras).

El navegador de internet recibe e interpreta el contenido de dicho certificado y, al verificar su autenticidad, indica que se está realizando una conexión segura; cada navegador de internet tiene diferentes formas de indicarlo, por ejemplo un candado cerrado.