En un informe anterior sobre el cambio de HTTP a HTTPS, se tocó brevemente en Capa de sockets únicos (SSL). En resumen, SSL y su sucesor, Transport Layer Security (TLS), son necesarios para operar de forma segura en línea.
En este artículo, echemos un vistazo más de cerca a la respuesta a la pregunta "qué es SSL" y también cómo SSL / TLS protege su información confidencial.
¿Por qué debería preocuparse por SSL / TLS?
Sin embargo, antes de dirigirse a "Cómo", echemos un vistazo al "Por qué" que desea utilizar SSL / TLS en primer lugar.
En estos días, la seguridad de los datos es oro. Cualquiera que haya robado su identidad podría decírselo. La clave para mantener segura su información es guardarla en un lugar seguro donde nadie más pueda verla.
Desafortunadamente, eso no es posible en línea. Cuando transfieres información en línea, hay siempre En algún momento del proceso, tanto usted como su cliente pierden el control de los datos.
Verá, mientras su cliente puede proteger el dispositivo en el que se ejecuta su navegador y puede proteger su servidor web, las tuberías del mundo en línea están fuera de sus manos.
Ya sea la compañía de cable, la compañía telefónica o un cable submarino operado por el gobierno, los datos de sus clientes pasarán a través de las manos de otra persona en línea y es por eso que necesitan ser encriptados usando SSL / TLS.
Estos son algunos ejemplos de los tipos de información que puede usar SSL / TLS para asegurar en línea:
- Transacciones con tarjeta de crédito
- Inicio de sesión del sitio web
- Transmitir información privada y personal de un lado a otro
- Asegurando su correo electrónico de fisgones.
Sí, si realiza negocios en línea, SSL / TLS es fundamental para su éxito continuo. ¿Por qué? Porque:
- Sus clientes necesitan sentirse seguros cuando hacen negocios con usted en línea o no harán negocios con usted; y
- Usted tiene la responsabilidad de que su cliente proteja la información confidencial que ha decidido compartir con usted.
A continuación, echemos un vistazo a cómo funciona SSL / TLS.
Las claves públicas, públicas y de sesión son las ... clave
Cuando usa SSL / TLS para transmitir sus datos confidenciales en línea, su navegador y el servidor web seguro al que se conecta utilizan dos claves separadas para configurar una conexión segura: una clave pública y una privada. Una vez que la conexión está en su lugar, un tercer tipo de clave, la clave de sesión, se utiliza para encriptar y descifrar la información pasada y vuelta.
Así es como funciona:
- Cuando se conecta a un servidor seguro (p. Ej. Amazon.com), comienza el proceso de "apretón de manos":
- Primero, el servidor pasará su navegador es certificado SSL / TLS así como su clave pública;
- Luego, su navegador verificará el certificado del servidor para ver si puede confiar en él utilizando factores tales como si el certificado fue emitido por una fuente confiable y si el certificado no ha expirado.
- Si se puede confiar en SSL / TLS, su navegador enviará un acuse de recibo al servidor para informarle que está listo para funcionar. Ese mensaje se cifrará utilizando la clave pública del servidor y solo se puede descifrar utilizando la clave privada del servidor. Incluido en ese reconocimiento está la clave pública de su navegador.
- Si no se puede confiar en el servidor, verá una advertencia dentro de su navegador. Siempre puedes ignorar la advertencia, pero no es sabio.
- El servidor luego crea la clave de sesión. Antes de enviarlo a su navegador, encripta el mensaje usando su clave pública para que solo su navegador, usando su clave privada, pueda descifrarlo.
- Ahora que el apretón de manos ha terminado y ambos partiers han recibido la clave de sesión de forma segura, su navegador y el servidor comparten una conexión segura. Tanto su navegador como el servidor utilizan la clave de sesión para encriptar y descifrar los datos confidenciales a medida que se envían de ida y vuelta en línea.
- Una vez que la sesión termina, la clave de sesión se descarta. Incluso si se conecta una hora más tarde, deberá ejecutar este proceso desde el principio, lo que dará como resultado una nueva clave de sesión.
El tamaño importa
Los tres tipos de claves consisten en largas cadenas de números. Cuanto más larga es la cadena, más segura es la encriptación. En el lado negativo, una cadena más larga toma más tiempo para cifrar y descifrar datos y pone más tensión en los recursos del servidor y de su navegador.
Esta es la razón por la cual existen claves de sesión. Una clave de sesión es mucho más corta que las claves públicas y privadas. El resultado: cifrado y descifrado mucho más rápidos pero menos seguridad.
Espera, ¿menos seguridad? ¿No es malo? Realmente no.
Las claves de sesión solo existen durante un breve período de tiempo antes de que se eliminen. Y aunque no son tan largos como los otros dos tipos de claves, son lo suficientemente seguros como para evitar el pirateo durante el poco tiempo que exista la conexión entre su navegador y el servidor seguro.
Algoritmos de encriptación
Tanto las claves públicas como las privadas se crean utilizando uno de los tres algoritmos de encriptación.
Aquí no vamos a profundizar demasiado, literalmente necesitas un título en matemáticas (quizás varios) para comprender por completo los algoritmos de encriptación, sin embargo, es útil conocer los conceptos básicos cuando llega el momento de elegir el tipo que tu propio sitio web usará.
Los tres algoritmos principales son:
- RSA - llamado así por sus creadores (Ron Rivest, Adi SHamir y Leonard Adlema), RSA ha existido desde 1977. RSA crea claves utilizando dos números primos aleatorios en una serie de cálculos. Aprende más…
- Algoritmo de firma digital (DSA) - creado por la Agencia de Seguridad Nacional (NSA), DSA crea claves utilizando un proceso de dos pasos que utiliza una "función hash criptográfica" en una serie de cálculos. Aprende más…
- Criptografía de curva elíptica (EEC) - EEC crea claves usando "la estructura algebraica de curvas elípticas" en una compleja serie de cálculos. Aprende más…
¿Qué algoritmo de encriptación debe elegir?
Dejando a un lado las matemáticas, ¿cuál es el mejor algoritmo de encriptación para usar?
Actualmente, ECC parece estar llegando a la cima. Gracias a los cálculos matemáticos, las claves creadas con el algoritmo ECC son más cortas, sin dejar de ser tan seguras como las claves más largas. Sí, ECC rompe la regla del "tamaño importa", por lo que es ideal para la conexión segura en dispositivos menos potentes, como su teléfono móvil o tableta.
El mejor enfoque puede ser uno híbrido, donde su servidor puede aceptar los tres tipos de algoritmos para que pueda manejar cualquier cosa que se le arroje. Las dos desventajas de este enfoque pueden ser:
- El servidor usa más recursos que manejan RSA, DSA y ECC en lugar de solo ECC; y
- Su proveedor de certificado SSL / TLS puede cobrarle más. Mire a su alrededor sin embargo, hay proveedores muy dignos de crédito que no cobran extra por usar los tres.
¿Por qué todavía se llama a TLS SSL?
Como mencionamos en la parte superior de esta publicación, TLS es el sucesor de SSL. Mientras SSL todavía está en uso, TLS es una solución más refinada y conecta muchos de los agujeros de seguridad que plagaron a SSL.
La mayoría de las empresas de alojamiento y proveedores de certificados SSL / TLS todavía usan el término "certificado SSL" en lugar de "certificado TLS".
Sin embargo, tenga en cuenta que los mejores proveedores de alojamiento y certificados están usando certificados TLS, simplemente no querían cambiar el nombre porque confundiría a sus clientes.
Conclusión
La Capa de Conexión Única (SSL) y su sucesora, Transport Layer Security (TLS), son necesarios para operar de forma segura en línea. Usando largas cadenas de números llamados, "Llaves", SSL / TLS permite conexiones donde tanto la información de usted como la de su cliente se cifra antes de que se envíe y descifre cuando llegue.
En pocas palabras: si realiza negocios en línea, SSL / TLS es fundamental para su éxito continuo, ya que genera confianza al mismo tiempo que protege a usted y a sus clientes.
Foto de seguridad a través de Shutterstock
