¿Qué es el protocolo SSL? Cómo funciona y por qué es importante

Secure Sockets Layer, también conocido como SSL, es un protocolo de encriptación que crea un canal autentificado entre dispositivos en Internet, de manera que la información pueda ser compartida de forma segura. Dicho de otra forma, SSL pone la “s” en las URL que empiezan por “https://”, lo que significa que la conexión entre tu ordenador y el servidor es segura.

SSL fue el estándar de seguridad para los sitios web hasta 1999, cuando apareció el protocolo actualizado, Transport Layer Security (TLS). Aunque los sitios web actuales utilizan realmente TLS, SSL sigue siendo un término muy utilizado, de manera que es común referirse a estas tecnologías indistintamente como SSL o TLS.

De la misma forma que una VPN encripta tu actividad en línea, el SSL/TLS es un criterio importante para mantener tus datos seguros cuando navegas por la web. Puedes utilizar esta guía rápida para saber más sobre qué es, cómo funciona, por qué es importante y cómo obtener un certificado SSL para tu sitio web.

¿Cómo funciona el SSL?

SSL proporciona los elementos necesarios para cifrar tanto el canal como los datos que se transmiten en línea. El protocolo establece una conexión privada entre el navegador y el servidor web mediante un proceso conocido como ‘SSL Handshake’ (en inglés, apretón de manos).

El protocolo SSL utiliza tres claves para establecer una conexión privada: la clave privada, la pública y la de sesión. Si los datos se cifran con la clave privada, sólo la clave pública puede descifrarlos. Por otro lado, la clave privada es la única que puede descifrar la información cifrada con la clave pública.

Tanto la clave privada como la pública se utilizan durante el SSL Handshake para crear una clave de sesión segura que cifrará todos los datos transmitidos. Para ver una descripción paso a paso, consulta este proceso.

Los 6 pasos del SSL Handshake:

1. El navegador web (es decir, el cliente) se conecta con un sitio web protegido por SSL (es decir, el servidor SSL) y solicita que el sitio web se identifique. Esto se conoce como el ‘hola del cliente’ (client hello).
2. Para identificarse, el sitio web envía una copia de su certificado SSL y la clave pública del sitio web. Esta respuesta se denomina ‘hola del servidor’ (Server hello).
3. A continuación, el cliente comprueba el certificado con una lista de autoridades de certificación (CA) y se asegura de que ese certificado no ha caducado o ha sido revocado.
4. Si el certificado es auténtico, el cliente creará una clave de sesión simétrica utilizando la clave pública del sitio web.
5. A continuación, el servidor SSL descifra la clave de sesión con la clave privada y envía un acuse de recibo cifrado para iniciar la sesión.
6. Todos los datos transmitidos entre el sitio web y el navegador se cifran con la clave de sesión.

A pesar de los diversos pasos, el SSL Handshake se realiza instantáneamente y el proceso no es perceptible para los visitantes de la web.

¿Por qué es importante el SSL?

Sin el SSL, si compartes información confidencial en línea, como tu número de la Seguridad Social, esa información se intercambia utilizando texto normal. Como el texto normal no es seguro, tus datos son vulnerables y los ciberdelincuentes pueden interceptarlos y utilizarlos.

Cada vez que realizas un pago en línea o compartes información personal, como el número de tu tarjeta de crédito, el sistema SSL garantiza la privacidad de tus datos. Es una parte fundamental para establecer la seguridad entre un sitio web y sus visitantes.

También ayuda a los sitios web a cumplir con las siguientes normas de seguridad de la información:

• Autenticación: verifica que el servidor del sitio web es el correcto.
• Encriptación: mantiene las transmisiones de datos privadas y protegidas.
• Integridad: confirma que los datos solicitados o transmitidos se entregan realmente.

¿Qué es un certificado SSL?

Al igual que un pasaporte o un documento de identidad, un certificado SSL/TLS verifica que un sitio web o una aplicación son realmente quienes dicen ser y que están almacenados en un servidor apropiado.

Además, el certificado SSL también contiene las claves privadas y públicas que se utilizan durante el Handshake SSL para crear una conexión segura. Sin un certificado SSL, no hay forma de que tu sitio web habilite el protocolo SSL.

Cómo obtener un certificado SSL

Sigue los pasos indicados a continuación para saber cómo obtener un certificado SSL/TLS para tu web.

1. Crear claves y una Solicitud de Firma de Certificado (Certificate Signing Request, CSR)

El primer paso para obtener un certificado SSL/TLS es generar un par de claves privadas y públicas en tu servidor. A continuación, deberás crear una solicitud de firma de certificado en el servidor de tu web.

Un CSR es un archivo de datos codificados que funciona como un método estandarizado para compartir tu clave pública, así como cualquier información identificativa de la empresa con una autoridad de certificación.

Información común en una CSR:

• Nombre de la empresa y denominación
• Ubicación de la empresa
• Tipo y tamaño de la clave

2. Enviar el archivo de datos CSR a la autoridad de certificación (CA)

Una vez dispongas de un CSR, tendrás que enviar el archivo de datos encriptados a una CA para obtener tu certificado. Para ello, tendrás que elegir un referente en el que confíen públicamente los navegadores web, como DigiCert o SSL.com.

Además, tendrás que determinar si puedes utilizar un certificado estándar gratuito o si tienes que pagar por uno personalizado. Los sectores regulados, como el de los seguros o las finanzas, tienen requisitos específicos para los certificados SSL que pueden requerir una personalización.

Después de elegir una CA de confianza y el tipo de certificado que necesitas, puedes enviar tu archivo CSR. La CA te enviará entonces el certificado SSL/TLS.

3. Instala el certificado SSL en tu servidor

Ahora que tienes el certificado SSL/TLS, necesitas instalarlo en tu servidor web. También tendrás que instalar un certificado intermedio, que confirme la autenticidad de tu certificado al vincularlo con el certificado raíz de tu CA.

Sigue las instrucciones de tu servidor para instalar y probar el certificado. Una vez instalado, cualquier navegador con el que se conecte tu sitio web hará saber a los usuarios que tu web es segura y de confianza.

Cómo saber si un sitio web es seguro con el protocolo SSL

Hay algunas formas de saber si un sitio web está protegido por SSL. Basta con echar un vistazo rápido a la URL para comprobarlo. A continuación, detallamos los dos detalles que indican que un sitio web es seguro:

1. La URL comienza con “https://” en lugar de “http://”

La “s” de “https://” representa una conexión segura y confirma que el sitio web está cifrado con SSL.

2. Hay un icono de un candado junto a la URL segura

Dependiendo de tu navegador, aparecerá un icono de un candado a la izquierda o a la derecha de la URL. Por ejemplo, si utilizas Google Chrome, el candado debe estar a la izquierda.

3. Bonus: comprueba que el certificado SSL del sitio web es válido

Un sitio web con un certificado SSL caducado no tendrá realmente una conexión segura, pero puede seguir teniendo una URL que empiece por “https://” y también puede mostrar un candado.

Comprueba que el certificado sigue siendo válido y que tu conexión es segura haciendo clic en el candado de la barra de URL para obtener más información. Si un sitio web no muestra su identidad en su certificado, es una señal de alarma y no deberías compartir tu información personal.

TLS vs. SSL: ¿Cuál es la diferencia?

TLS se creó como una actualización de la tecnología SSL, a la que se le dio un nombre diferente. Se trata de protocolos similares que utilizan el cifrado para mantener la privacidad de los datos de los usuarios en línea.

Dicho esto, SSL se ha quedado anticuado en comparación con la última versión de TLS (TLS 1.3) y se considera como inseguro por los navegadores web modernos. Aunque TLS es la tecnología más actualizada que se utiliza para asegurar los sitios web hoy en día, el término SSL sigue siendo ampliamente conocido y utilizado.

Una de las conclusiones importantes es que aunque TLS ha sustituido a la tecnología SSL, los dos términos se suelen utilizar indistintamente.

SSL/TLS es una importante ayuda cuando se trata de proteger tus datos online. Crea conexiones seguras entre sitios web y servidores, y mantiene toda la información transmitida encriptada y privada.

Ahora que ya sabes todo sobre el SSL, puedes leer más temas sobre seguridad de la información consultando nuestro Centro Multimedia. No olvides descargar nuestra VPN gratuita para cifrar tu actividad en Internet y añadir una capa adicional de seguridad para tus datos en línea.

Fuentes: GlobalSign |IBM | Kinsta | Microsoft |