SSL, TLS y HTTPS: Así son los protocolos de seguridad en Internet

Cuando navegamos por Internet podemos dar todo tipo de información personal, relevante, privada. Introducimos datos bancarios para pagar, introducimos datos personales, direcciones, nombres, DNI. Y es por ello que se busca siempre que la web que vamos a utilizar sea lo más segura posible, que nuestros datos estén protegidos, estén cifrados. Es aquí cuando cobran especialmente importancia protocolos como SSL, TLS o HTTPS. Siglas que quizá no forman parte de tu día a día pero que son imprescindibles para que tú navegues por Internet sin riesgos y sin que haya nadie que intercepte la información cuando la introduces en una web.

¿Qué son SSL, HTTPS o TLS? Se trata de protocolos de seguridad online que nos permiten protegerlos cuando navegamos por Internet o compartimos datos. En cualquier guía de seguridad online o de compras por Internet abras leído que es recomendable que aparezcan las letras HTTPS al principio de la dirección URL de un sitio web porque esto indica que estamos protegidos. En concreto, significará que estamos protegidos por un certificado SSL o por un certificado TLS aunque sin especificar si uno u otro salvo si lo consultamos. En cualquier caso, todos tienen algo en común: están pensados para mejorar la seguridad online y te explicamos más a continuación.

SSL y TLS

SSL es Secure Sockets Layer o, lo que es lo mismo en español, capa de sockets seguros. Como su propio nombre indica, la función que tiene es mantener la seguridad de una conexión a Internet. Es un protocolo que permite que la información que viaja de un punto a otro lo haga de forma segura y privada sin que nadie pueda acceder a ella ni modificarla. Es decir, que cuando tú introduzcas tus datos en una tienda online para pagar no haya ningún intermediario que pueda robar tus datos bancarios ni tu contraseña. SSL es un protocolo clásico que funciona desde la década de los 90 y que ha contado con varias versiones disponibles y todas con el mismo fin. Pero a día de hoy SSL es un protocolo obsoleto que ha sido sustituido por TLS y cuya misión es exactamente la misma: proteger nuestros datos por Internet.

apertura-google-boringssl

TLS es un protocolo que llega como sustituto del anterior, que busca que las conexiones sean fiables. Significa Transport Layer Security o seguridad de la capa de transporte. Actualmente está disponible su versión 1.3 y ofrece seguridad y privacidad en las conexiones, se encarga de proteger los datos y evitar que sean interceptados cuando los introducimos en una web, en un formulario. Con respecto al anterior cambia el modelo: SSL está en la capa de sesión del modelo OSI pero en el caso de TLS se trata de un protocolo ubicado en la capa de transporte. Además, se mejoran los algoritmos de cifrado haciendo que sean mucho más seguros.

Tanto uno u otro (especialmente TLS puesto que SSL ya está obsoleto, insistimos) son necesarios en una página web si queremos que el navegador las considere se guras. Necesitamos una entidad que nos otorgue un certificado SSL o TLS. Los profesionales o dueños de una web deben buscar un proveedor de dichos certificados para que nuestra web cuente con la seguridad necesaria que necesitan los usuarios que vayan a acceder a ella.

Qué es HTTPS

Qué es HTTPS está relacionado directamente con las respuestas anteriores. Como hemos explicado en apartados anteriores, las dos tecnologías van de la mano. Que una web aparezca con HTTPS en su inicio (como suele ser habitual en la gran mayoría de los casos) significará que hay un protocolo SSL o TLS instalado en la misma. Hace falta un certificado SSL o TLS que permita esa “S” final.

HTTPS es Hipertext Transport Protocol Secure y es la evolución de HTTP, el o protocolo de transferencia de datos entre servidor y cliente a través de Internet. Con la S final se añade, como su propio nombre indica, un extra de seguridad. Una capa más de seguridad entre las transferencias de datos entre servidores y clientes para que la información que viaja en este canal sea con datos cifrados que no pueden ser leídos ni aunque sean interceptados, frente al texto plano y sin cifrar utilizado en protocolos anteriores. Y para poder tener HTTPS en nuestra web y que los usuarios “confíen” en nosotros como página. Para que nuestra web funcione bajo el protocolo HTTPS es necesario tener instalado un certificado SSL o un certificado TLS que será el encargado de cifrar las conexiones tal y como hemos explicado.

Cómo sabemos si una web es segura

¿Cómo lo indica el navegador? En la barra de la página web o URL. En el caso de Google Chrome veremos el https antes del ://www… pero además veremos un icono de un candado en la barra de direcciones. Este icono nos dirá, en un vistazo, si es o no segura. Una vez que veamos el candado, podemos tocar sobre él y nos dirá si el certificado es válido o no. Podemos tocar sobre el certificado para ver más detalles.

Veremos el certificado, sus propósitos, para qué web ha sido emitido y por qué organización o entidad ha sido emitido. También podemos ver la fecha de validez: válido desde X hasta Y. Además, podemos ver todo tipo de detalles en la ventana emergente: la versión, número de serie, algoritmo de firma, emisor, validez, sujeto, clave pública, parámetros de clave pública, etc.

También otros navegadores nos dicen si una web es no segura. En el caso de Mozilla Firefox indican desde su web de soporte o ayuda que aparecerá un mensaje de aviso si no se puede comprobar que la encriptación es suficiente. Aparecerá una página de error con un mensaje que indica “riesgo potencial de seguridad a continuación”.

HTTPS Everywhere

HTTPS Everywhere es una extensión gratuita y de código abierto para todos los navegadores que nos permite mejorar la seguridad cuando navegamos por Internet y evitando que el protocolo de transferencia de datos no lleve nuestra información cifrada, dejando así vía libre a ciberdelincuentes. Es una extensión de navegador gratuita que hace que las páginas que vas a visitar utilicen automáticamente una conexión HTTPS en lugar de una conexión HTTP si no lo tienen ya por defecto.

Nació como colaboración entre Electronic Frontier Foundation y The Tor Project hace ya más de diez años y tenía como intención asegurar las webs que ya no están encriptadas, forzando la conexión. Actualmente es poco habitual que encontremos páginas que no sean HTTPS (casi el 90% de los sitios actuales lo ofrecen) en nuestro día a día pero puede ser interesante saber que existe la extensión, que es gratis y que es fácil de utilizar. Podemos usarla en Mozilla Firefox, en Google Chrome, en Opera, en Microsoft Edge, en Tor Browser. Prácticamente en cualquier navegador.

Es probable que cada vez menos tenga sentido usar esta extensión y en septiembre de 2021 anunciaban que en algún momento de 2022 dejaría de estar disponible. Lo anunciaban en su propia página web aunque aún funciona. Según el propio comunicado indicaban “sabemos que muchos usuarios tienen esta herramienta instalada y queremos darles a nuestros socios y usuarios el tiempo necesario para la transición”. Por el momento, podemos seguir utilizándola en el navegador.

Fuente: adslzone