El Nivel de Conectores Seguros (Secure Sockets Layer o SSL) fue el protocolo de cifrado más ampliamente utilizado para garantizar la seguridad de las comunicaciones a través de Internet antes de ser sustituido por el TLS (Inglés) (Seguridad de la Capa de Transporte, o Transport Layer Security) en 1999. Aunque el desuso del protocolo SSL dio paso a la adopción del TLS, la mayoría de personas sigue refiriéndose a este tipo de tecnología como «SSL».
EL SSL proporciona un canal seguro entre dos computadoras o dispositivos que operan a través de Internet o de una red interna. Un ejemplo frecuente es el uso de SSL para proteger las comunicaciones entre un navegador web y un servidor web. Este protocolo cambia la dirección del sitio web de HTTP a HTTPS, donde «S» significa «seguridad».
El protocolo HTTP no es seguro, por lo que es susceptible de sufrir interceptaciones de intrusos, ya que los datos transferidos desde el navegador web al servidor web o entre dos terminales se transmiten como texto plano. De esta forma, los intrusos pueden interceptar y visualizar datos sensibles, como datos de tarjetas de crédito o de acceso a cuentas. Al enviar o publicar datos en un navegador que emplea HTTPS, el SSL garantiza que la información está cifrada y protegida frente a interceptaciones.
¿Cómo funciona SSL/TLS?
- Para ofrecer un alto grado de privacidad, SSL cifra los datos que se transmiten por la web. Por ello, cualquiera que intente interceptar estos datos se encontrará con una mezcla confusa de caracteres, que será muy difícil de descifrar.
- SSL inicia un proceso de autenticación, conocido como establecimiento de comunicación, entre dos dispositivos que se comunican para garantizar que ambos sean lo que aparentan.
- Además, SSL firma digitalmente los datos para proporcionar integridad de datos , que verifica que no se hayan manipulado los datos antes de alcanzar al destinatario designado.
¿Cómo sé si un sitio web está protegido mediante SSL?
Desde el punto de vista técnico, el protocolo SSL es un método transparente para establecer una sesión segura que requiere una intervención mínima por parte del usuario final. En el caso de los navegadores, es posible determinar si un sitio web usa SSL cuando se muestra el candado o la barra de direcciones presenta la URL como HTTPS, en lugar de HTTP.
¿Por qué es importante el SSL/TLS?
Originalmente, los datos de la web se transmitían en texto no cifrado que cualquiera podía leer si interceptaba el mensaje. Por ejemplo, si un consumidor visitaba un sitio web de compras, hacía un pedido e introducía su número de tarjeta de crédito en el sitio web, ese número de tarjeta de crédito viajaba por Internet sin ser ocultado.
El SSL se creó para corregir este problema y proteger la privacidad del usuario. Al cifrar los datos entre un usuario y un servidor web, el SSL garantiza que cualquiera que intercepte los datos solo pueda ver un desorden de caracteres codificado. El número de la tarjeta de crédito del consumidor está ahora seguro, solo visible en el sitio web de compras donde lo introdujeron.
El SSL también detiene ciertos tipos de ataques cibernéticos: autentica los servidores web, lo cual es importante porque los atacantes a menudo intentan crear sitios web falsos para engañar a los usuarios y robar datos. También previene que los atacantes manipulen los datos en tránsito, como el precinto del envase de un medicamento.
¿Qué es un certificado SSL?
El SSL solo puede ser implementado por sitios web que tengan un certificado SSL (técnicamente un certificado "TLS"). Un certificado SSL es como una tarjeta de identificación o una acreditación que prueba que alguien es quien dice ser. Los certificados SSL son almacenados y mostrados en la web por el servidor de un sitio web o de una aplicación.
Uno de los datos más importantes del certificado SSL es la clave pública del sitio web. La clave pública posibilita el cifrado. El dispositivo del usuario ve la clave pública y la utiliza para establecer claves de cifrado seguras con el servidor web. Mientras tanto, el servidor web también tiene una clave privada que se mantiene en secreto; la clave privada descifra los datos cifrados con la clave pública.
Las autoridades de certificación (AC) son responsables de la emisión de los certificados SSL.
¿Qué tipos de certificados SSL hay?
Existen diferentes tipos de certificados SSL. Los certificados pueden aplicarse a un solo sitio web o a varios, según el tipo:
- Un solo dominio: el certificado SSL para un solo dominio se aplica a un solo dominio (un "dominio" es el nombre de un sitio web, como www.cloudflare.com).
- Comodín: al igual que el certificado de un solo dominio, el certificado SSL comodín se aplica a un solo dominio. Sin embargo, también incluye los subdominios de ese dominio. Por ejemplo, un certificado comodín podría abarcar www.cloudflare.com, blog.cloudflare.com, y developers.cloudflare.com, mientras que un certificado de dominio único solo incluiría el primero.
- Multidominio: como su nombre indica, los certificados SSL multidominio pueden aplicarse a varios dominios no relacionados.
Los certificados SSL también cuentan con diferentes niveles de validación. Un nivel de validación es como una revisión de antecedentes, y el nivel cambia dependiendo de la exhaustividad de la revisión.
- Validación del dominio: es el nivel de validación menos estricto y el más barato. Lo único que el negocio debe hacer es probar que controla el dominio.
- Validación de la organización: es un proceso más práctico; la AC se pone en contacto directamente con la persona o empresa que solicita el certificado. Estos certificados son más fiables para los usuarios.
- Validación extendida: requiere una comprobación completa de los antecedentes de una organización antes de que se pueda emitir el certificado SSL.