SSL y TLS: ¿cuál es la diferencia?

Tanto SSL como TLS son protocolos que autentifican y transportan de forma segura sus datos en Internet. Coloquialmente, hoy en día se sigue llamando a TLS como SSL, aunque éste ya está obsoleto. A continuación puede leer por qué es así y en qué se diferencian realmente SSL y TLS.

  • SSL y TLS: una breve introducción
  • La diferencia entre SSL y TLS

SSL y TLS: una breve introducción

Tanto SSL (Secure Socket Layer) como TLS (Transport Layer Security) son protocolos criptográficos que cifran sus datos para que se transfieran de forma segura en Internet. Por ejemplo, si procesa pagos con tarjeta de crédito en su sitio web, los protocolos de encriptación pueden utilizarse para procesar los datos de forma segura, de modo que terceros no puedan influir en el proceso. SSL es el predecesor de TLS y ya no es el estado de la técnica. Antes de explicar las principales diferencias entre los protocolos, haremos una breve historia.

  • SSL 1.0: Nunca se publicó debido a problemas de seguridad.
  • SSL 2.0: Lanzado en 1995. Obsoleto desde 2011.
  • SSL 3.0: Lanzado en 1996. Obsoleto desde 2015.
  • TLS 1.0: Lanzado en 1999 como una actualización de SSL 3.0. Obsoleto desde 2020.
  • TLS 1.1: Publicado en 2006. Obsoleto desde 2020.
  • TLS 1.2: Publicado en 2008.
  • TLS 1.3: Publicado en 2018.

En base a la clasificación, está claro que SSL está ya obsoleto y que Transport Layer Security es el protocolo actualmente en uso. El protocolo TLS tiene como objetivo principal garantizar la privacidad y la integridad de los datos entre dos o más aplicaciones informáticas en comunicación. Sin embargo, SSL sigue siendo el término común hoy en día, aunque a menudo se habla de TLS.

La diferencia entre SSL y TLS

Cuando se establece una conexión entre un cliente (por ejemplo, un navegador como Google Chrome) y un servidor (por ejemplo, heise.de) a través de TLS o SSL, se reconoce por un pequeño símbolo de candado que se ha establecido una conexión cifrada con el sitio web. Este proceso también se denomina apretón de manos. Hay que tener en cuenta que SSL y TLS son sólo los protocolos. En el llamado certificado se puede encontrar más información para la autenticación (como la huella digital única o la identidad del operador del sitio web).

198920120_a2fbd0fbac-38865f39cdead2f5.png

¿Entonces, SSL y TLS son lo mismo? No, no del todo. Aunque los términos se utilizan como sinónimos en el lenguaje común, TLS es el protocolo más seguro y una evolución de SSL. A lo largo de los años, se han descubierto y se siguen descubriendo vulnerabilidades en los protocolos SSL obsoletos. Cada nueva versión del protocolo viene con sus propias mejoras y nuevas características. La versión 1.0 de SSL nunca se publicó. La versión 2.0, en cambio, sí lo era, pero tenía algunos fallos importantes. La versión 3.0 de SSL fue una reescritura de la versión 2.0 (para solucionar estos fallos, con un éxito limitado). Esto se contrapone a la versión 1.0 de TLS, que es una mejora de la versión 3.0 de SSL. Entre TLS 1.0 y 1.1, los cambios fueron menores. TLS 1.2 trajo algunos cambios significativos, y TLS 1.3 optimizó todo el proceso de encriptación.

Una de las diferencias entre los protocolos es el tipo de intercambio de claves. TLS utiliza el Estándar de Firma Digital y el algoritmo Diffie-Hellmann efímero combinado con RSA, que proporciona una mejor protección contra el descifrado posterior. SSL utiliza un algoritmo de cifrado más antiguo que ya podía ser descifrado por los ataques.

Además, SSL y TLS difieren en el tipo de grabación del protocolo. SSL utiliza el código de autenticación de mensajes (MAC) después del cifrado, mientras que TLS utiliza HMAC, un código de autenticación de mensajes basado en hash. En pocas palabras, utilizando TLS, tus mensajes son encriptados de forma pseudo-aleatoria, haciéndolos más seguros contra los ataques.

Así que la simple razón por la que muchos sitios web siguen hablando de certificados SSL es básicamente una cuestión de marca. La mayoría de los principales proveedores de certificados siguen refiriéndose a los certificados como certificados SSL, por lo que la convención de nombres persiste. En conclusión, SSL y TLS están relacionados, pero no son sinónimos.

Consejo: Si quiere saber más sobre SSL y los certificados emitidos, lea el artículo relacionado.