Image credit: zviray
La epidemia crónica de ceguera facial que afecta a la población de Metrópolis y que les impide darse cuenta de que Clark Kent y el maldito alienígena volador que se parece a él son en realidad la misma persona se extiende al sector tecnológico donde continuamente discutimos sobre lo pedante que hay que ser sobre la diferencia entre «SSL» y «TLS».
Obtenga el EBook gratuito de Pen Testing de Entornos de Directorio Activo
Para ser justos, la situación es menos un «SSL es de la Tierra» y «TLS es de Krypton» que una historia muy positiva de cómo los estándares de encriptación han sido continuamente mejorados y cómo los métodos anticuados e inseguros de comunicación con el cliente y el servidor han sido obviados para impulsar la seguridad general de Internet.
¿Qué es SSL?
Netscape desarrolló la versión 1.0 del protocolo Secure Sockets Layer (SSL) hace más de 20 años para que la gente pudiera utilizar su navegador para navegar de forma segura por Geocities y compartir arte ASCII de Star Trek de forma segura.
Como todos los primeros esfuerzos en el envío de criptografía práctica, las versiones 1.0 a 3.0 de SSL tuvieron algunos problemas de seguridad.0 presentaban algunos problemas de seguridad que obligaron a lanzar repetidamente diseños cada vez más seguros.
¿Qué es TLS?
En 1999, se lanzó la versión 1.0 del protocolo Transport Layer Security (TLS). El cambio de nombre pretendía aclarar que se trataba de un estándar abierto que cualquier empresa o proyecto podía incorporar y no de un producto propietario de Netscape (que en aquel momento todavía vendía el software de servidor web «Netscape Enterprise Server» que utilizaba «SSL» para el cifrado del transporte). Además, TLS se diseñó para ser independiente de los protocolos de aplicación, mientras que SSL se diseñó inicialmente de forma bastante limitada sólo para conexiones HTTP.
¿Cuál debería decir?
Lingüísticamente, el término «SSL» ha ganado en la guerra de «¿Cómo deberíamos llamar a la cosa que hace que el candado aparezca y sea verde?» Como prueba, véase la comparación de Google Trends de «SSL vs TLS».
Por ello, cada vez que se habla del concepto general -o cuando se intenta explicar esto a un público no técnico- «SSL» se convierte en el término general comúnmente aceptado, ya que es lo más probable que hayan oído hablar de él y los beneficios de una comunicación conceptual clara suelen ser primordiales.
Cuando se habla del protocolo y de qué versiones de SSL/TLS deberían estar habilitadas, se prefiere necesariamente «TLS» ya que la versión exacta importa debido a los cambios en cómo se manejan los cifrados, etc.
A nivel práctico, sin embargo, hay importantes beneficios administrativos y de seguridad al saber:
- Que existen diferentes versiones de SSL/TLS.
- Que los sistemas más antiguos no pueden conectarse a los más nuevos si hay un desajuste de protocolo. Si alguna vez se ha preguntado por qué Internet Explorer en una instalación nueva de Windows 95 no puede conectarse a sitios HTTPS, ahí tiene la respuesta.
- Que debería tener una política organizativa de habilitar sólo las versiones posteriores de TLS. (TLS 1.0 no es aceptable para el cumplimiento de la PCI)
- Que muchos dispositivos y aplicaciones todavía admiten versiones más antiguas e inseguras de TLS/SSL que debe desactivar específicamente.
En última instancia, la pregunta de «¿cuál es la diferencia entre SSL y TLS?» es una gran pregunta, aunque sólo sea para discutir estos puntos prácticos y llevar a casa por qué los puntos más finos de los protocolos de seguridad importan.