La depreciación de SSL: La evolución hacia protocolos más seguros
SSL fue depreciado debido a vulnerabilidades como POODLE. TLS lo reemplazó como protocolo más seguro. TLS 1.3 ofrece mejores encriptaciones y prepara a las empresas para la era cuántica. Aprende a gestionar tus certificados TLS de manera efectiva.
Tabla de Contenidos
Secure Sockets Layer (SSL) es un protocolo de seguridad que permite comunicaciones digitales cifradas, por ejemplo, entre un navegador web como Google Chrome o Mozilla Firefox y un servidor web. Los certificados SSL autentican la identidad de una entidad en línea y protegen las comunicaciones en línea con dicha entidad.
SSL se creó en 1995, y la versión 2.0 fue la primera versión de SSL utilizada en producción. Tras la introducción de SSL 3.0, los organismos de normalización sustituyeron SSL por Transport Layer Security (TLS), un protocolo más seguro. Sin embargo, el término SSL se utilizó tan comúnmente que persistió como el nombre de facto de TLS.
¿Qué significa la desuso de SSL para las organizaciones? Este artículo explorará las razones detrás del desuso de SSL, las vulnerabilidades del protocolo SSL y la transición a TLS.
¿Cuándo se desuso SSL?
El Grupo de Trabajo en Ingeniería de Internet (IETF) desuso oficialmente SSL 3.0 en junio de 2015. Aunque el IETF desaconsejó el uso de protocolos SSL obsoletos, los proveedores de sistemas de software individuales son responsables de determinar la fecha de fin de vida de SSL 3.0.
La mayoría de las organizaciones han hecho la transición al protocolo TLS. TLS 1.0 y TLS 1.1 eran las versiones más antiguas, y las empresas deberían actualizarse a TLS 1.2 y TLS 1.3 siempre que sea posible.
Por qué se dejó de utilizar SSL
En septiembre de 2014, un equipo de investigadores de seguridad de Google descubrió una grave vulnerabilidad de SSL 3.0 llamada POODLE, o Padding Oracle on Downgraded Legacy Encryption, que los hackers pueden aprovechar para descifrar comunicaciones seguras y robar información confidencial. La noticia disminuyó la credibilidad de SSL como método de cifrado fiable, y los expertos en seguridad recomendaron que se retirara.
Además, el protocolo SSL se basaba en algoritmos de cifrado más antiguos y ya no era suficiente para protegerse contra las nuevas técnicas de ataque. La necesidad de una seguridad más sólida frente a las ciberamenazas en constante evolución ha dado lugar al protocolo TLS.
Protocolos de seguridad TLS frente a SSL
TLS se introdujo como sucesor de SSL y se ha convertido en el principal protocolo criptográfico de Internet. Ha solucionado varios problemas de seguridad de SSL, como las vulnerabilidades de los conjuntos de cifrado, los ataques POODLE, el cifrado en cadena (CBC) y las vulnerabilidades de renegociación.
TLS 1.3, la última versión de TLS, es más rápida y segura. Utiliza el intercambio de claves efímeras para reducir el riesgo de que se vean comprometidas las claves de sesión. También elimina los algoritmos criptográficos más antiguos para mejorar el rendimiento. Sin embargo, TLS 1.2 sigue siendo muy utilizado debido a la ausencia de vulnerabilidades conocidas y a los retos de compatibilidad con versiones anteriores de TLS 1.3.
¿Por qué la gente sigue refiriéndose a TLS como SSL?
La prominencia de SSL en los primeros días de Internet y su uso generalizado lo han convertido en sinónimo de comunicación segura, incluso mucho después de que TLS se haya impuesto. Mientras tanto, las personas que no tienen un conocimiento profundo de la ciberseguridad suelen utilizar los dos términos indistintamente, lo que aumenta la idea errónea y la confusión.
Hoy en día, el término «certificado SSL» sigue siendo muy utilizado, incluso por aquellos que trabajan en el sector de la seguridad. Por ejemplo, muchas autoridades de certificación (CA) siguen utilizando «certificado SSL» como término coloquial para todos los certificados digitales de cifrado y autenticación. Los certificados TLS suelen denominarse certificados SSL/TLS para simplificar la comunicación y evitar malentendidos.
El futuro de la seguridad en Internet: más allá de TLS 1.3
Debemos invertir en esfuerzos continuos para mejorar los protocolos de seguridad en Internet y adaptarnos a las amenazas emergentes. TLS evolucionará para abordar las vulnerabilidades, mejorar los algoritmos de cifrado y optimizar los protocolos de enlace para conexiones más rápidas. En particular, los ordenadores cuánticos pueden romper fácilmente los algoritmos criptográficos tradicionales, y esperamos que el protocolo TLS incluya actualizaciones sobre criptografía postcuántica y algoritmos resistentes a la cuántica.
Mientras tanto, la validez de los certificados TLS se está acortando. El ciclo de vida de 47 días mejorará la seguridad de las comunicaciones en línea. Pero también hará más difícil para las organizaciones gestionar eficazmente sus certificados digitales para evitar interrupciones y cortes.
La retirada de SSL fue un paso crucial hacia la mejora de la seguridad de las comunicaciones en línea. El protocolo TLS abordó vulnerabilidades críticas y preparó el terreno para futuras mejoras a medida que nos adentramos en la era de la computación cuántica. La obtención de certificados TLS de una CA acreditada y una gestión eficaz de los certificados son fundamentales para garantizar el cumplimiento, la seguridad y la continuidad del negocio.
Obtenga más información sobre los certificados TLS de Sectigo y el Sectigo Certificate Manager para ver cómo podemos ayudarle a navegar por el futuro del cifrado y la ciberseguridad.
¿Quieres saber más? Ponte en contacto con nosotros para reservar una demo de Sectigo Certificate Manager.
Entradas asociadas:
Explicación de los 7 tipos de certificados SSL
7 razones para acortar los periodos de validez de los certificados SSL