¿Qué son? ¿Para qué se Utiliza? Los certificados de Seguridad SSL/TLS

Cuando visitamos un sitio web toda la información que enviamos y recibimos viaja de forma legible, a diferencia de cuando un sitio web usa un certificado de seguridad, en este caso la información viaja encriptada (segura) de manera que no es visible en el viaje que hace por la gran red de la internet.

 

Para ilustrar mejor nuestra explicación contamos con los siguientes escenarios:

Petición a un Sitio Web sin uso de Certificado

Un Usuario, esta visitando un sitio web que no esta utilizando un certificado de seguridad y decide llenar un formulario donde le solicitan información sobre: nombre, edad, Documento de Identificación, Numero Tributario y cuenta bancaria, luego que llena el formulario envía la información, como ya habrás notado, toda esta información es Sensible y de importancia su confidencialidad.

Comunicación sin certificado de Seguridad SSL/TLS
Comunicación sin certificado de Seguridad SSL/TLS

Vemos que cuando el Usuario envía la información esta viaja de forma legible de manera que si alguien la intercepta sería capaz de substraer los datos que el usuario esta enviando.

 

Petición a un Sitio Web que implementa un Certificado

Disponemos nuevamente con un Usuario que esta enviando información por medio de un formulario en una web que SI utiliza un certificado de seguridad, vemos que la información viaja encriptada y no puede ser leída:

Comunicación con certificado de Seguridad SSL/TLS
Comunicación con certificado de Seguridad SSL/TLS

Para que la información sea Leída se requiere de dos Llaves o Key una del lado del Cliente y otra del lado del Servidor, estos trabajando en conjunto habitualmente son llamados el Certificado de Autenticación.

Del lado del Formulario (Del lado de Nuestro navegador o cliente) existe un Certificado/Key que encripta la información desde el momento que es enviado, este encriptamiento utiliza una Key Cliente para realizarlo, y no puede ser leída a menos que se utilize la otra Key del servidor, esto permite que aunque la información sea interceptada NO puede ser legible.

 

¿Qué son? Los Certificados SSL/TLS


A todo el proceso de Encriptar y Desencriptar la información que es transmitida mediante Certificados, se le llama Certificado SSL / TLS.

Security Sockets Layer (SSL): lo cual se traduce a “Capa de Puertos Seguros”, este es el primer protocolo de seguridad que se implemento en las paginas web y fue desarrollado por la empresa Netscape.

Transport Layer Security (TLS): lo cual se traduce a “Seguridad de la Capa de Transporte” y es el predecesor del SSL, este es el nombre que se le ha dado a la última versión del protocolo de seguridad en la web.

De acuerdo a Wikipeadia

Transport Layer Security (TLS; en español «seguridad de la capa de transporte») y su antecesor Secure Sockets Layer (SSL; en español «capa de puertos seguros») son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.

TLS es un protocolo Internet Engineering Task Force (IETF), definido por primera vez en 1999 y actualizado en el RFC 5246 (agosto de 2008) y en RFC 6176 (marzo de 2011). Se basa en las especificaciones previas de SSL (1994, 1995, 1996) desarrolladas por Netscape Communications para agregar el protocolo HTTPS a su navegador Netscape Navigator.

 

¿Para qué se Utiliza? Los Certificados SSL/TLS


Es recomendable usar un certificado de seguridad cuando nuestro sitio web tenga las siguientes características:

  • Cuando nuestro sitio web tiene un pago en línea, o utiliza operaciones transaccionales.
  • Cuando solicitemos información a nuestros usuarios que sea sensible como Documento de Identidad, Numero Tributario, direcciones, teléfonos, información financiera, claves de acceso, etc.).
  • Cuando enviamos y guardemos documentos confidenciales en un sistema web.

La función u objetivo de un Certificado SSL/TLS es dar Seguridad en la capa de transporte, entiéndase como transporte la transmisión de información.

Lo que debemos de tener en cuenta sobre SSL y TLS, es que el SSL por ser la primera versión del protocolo cuenta ya con varias vulnerabilidades, por lo tanto es bueno saber que si tienes una paginas web con certificado de seguridad estés usando TLS que es la última versión del protocolo seguro, por lo tanto más estable y más seguro.

Otras Características

Por que se hablan de certificado a 128 / 256 bit, esto se refiere a el numero de bit que incluye el certificado en la generación de su llave, a mayor bit, mayor complejidad de encriptacion.

Nomenclatura usada por Google en su barra de navegación:

Captura WWW Icono de pagina normal

Sin Certificado, Pagina Típica de Navegación, que NO posee Certificado SSL / TLS en el transporte de información.

 
Captura https seguro barra de navegacion

Con Certificado, Pagina Que Posee un Certificado SSL / TLS en el transporte de información, y esta es reconocida por una entidad o Proveedor de Certificados SSL / TLS.

 

Captura https Seguro, pero no reconocido el certificado

Certificado No Reconocido, Pagina que posiblemente posee un Certificado SSL / TLS en el transporte de información, pero el Certificado no esta registrado o avalado por una entidad Certificada. También puede ser que el Certificado si esta avalado pero no es un Certificado valido para la URL utilizada (posible plagio de certificado)

 

Certificados Open Source y Proveedores de Certificado SSL / TLS


Para entender el Ultimo ejemplo de Certificados NO Reconocidos, todos los certificados del lado del Cliente, son subidos y administrados por entidades Reconocidas como “Proveedores SSL/TLS” que son consultadas cada vez que visitamos un sitio con SSL / TLS. Estos a su vez proporcionan a los navegadores actualizaciones de que la KEY utilizada esta registrada para ser utilizada por la URL o pagina web especifica, para encriptar la información en el lado de los clientes.

Esta información NO es importante para los Piratas o Cracker ladrones de información, debido a que se requiere las Dos KEY, es decir el Certificado del lado del Servidor para poder hacer la información legible.

Certificado Auto Firmado

En ocasiones lo sitios Web utilizan OpenSource como OpenSSL para generar los certificados y gestión de seguridad, pero estos no son proporcionados a ningún “Proveedor SSL/TLS”, por lo tanto, NO existe nadie que garantize que realmente ese Certificado tenga un propietario. Este tipo de Esquema es llamado Certificado Auto Firmado.

La información viaja encriptada pero No tenemos garantía de que el certificado utilizado es propiedad de el sitio Web que lo utiliza.

Plagio de Certificado

Otra posible causa puede ser que el certificado que se esta utilizando (Key del Cliente), es reconocida pero para ser utilizada desde otro sitio web, y no desde donde se envía la información. Información que arroja los “Proveedor SSL/TLS” y la razón por la cual es importante darnos de alta con estos proveedores.

Solución Open Source SSL / TLS

Como mencionamos anteriormente el implementar un esquema SSL / TLS puede ser incluso programado por nosotros mismos, o utilizando open source como OpenSSL o pagar a un Proveedor de Certificados SSL/TLS.

Proveedores de Certificados SSL / TLS

En la gran mayoría los proveedores de certificados son de paga y sus costos suelen ser muy elevados comparados con el valor de un Nombre de Dominio .Com, pero existen asociaciones que nos permiten subir nuestro Certificado Cliente como la Organización Let’s Encript, sin costo alguno, lo único que debes demostrar es que eres el Dueño del Nombre de Domino.

 

links & referencias: 


Si deseas mas información o consultar las fuentes bibliográficas, aquí te dejamos…

 

Estudiante de la vida, buscando aprender…
Tu solo pregunta, si no tengo la respuesta… ya NO preguntaras solo…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *