En un informe anterior sobre el cambio de HTTP a HTTPS, se abordó brevemente la capa de socket único (SSL). En resumen, SSL y su sucesor, Transport Layer Security (TLS), son necesarios para operar de manera segura en línea.
En este artículo, echemos un vistazo a la pregunta "qué es SSL" y también cómo SSL / TLS protege su información confidencial.
¿Por qué debería preocuparse por SSL / TLS?
Sin embargo, antes de dirigirse a "Cómo", echemos un vistazo al "Por qué" que quiere usar SSL / TLS en primer lugar.
$config[code] not foundEn estos días, la seguridad de los datos es oro. Cualquier persona a quien le hayan robado su identidad podría decírselo. La clave para mantener su información segura es guardarla en un lugar seguro donde nadie más pueda verla.
Desafortunadamente, eso no es posible en línea. Cuando transfieres información en línea, hay siempre algún punto en el proceso en el que tanto usted como su cliente pierden el control de los datos.
Usted ve, mientras que su cliente puede asegurar el dispositivo en el que se ejecuta su navegador y usted puede proteger su servidor web, las canalizaciones del mundo en línea están fuera de sus manos.
Ya sea la compañía de cable, la compañía de teléfonos o un cable submarino operado por el gobierno, los datos de sus clientes pasarán a través de las manos de otra persona en línea y es por eso que se deben cifrar mediante SSL / TLS.
Estos son algunos ejemplos de los tipos de información que puede usar SSL / TLS para proteger en línea:
- Transacciones con tarjeta de crédito
- Inicio de sesión en el sitio web
- Pasar información privada y personal de ida y vuelta
- Asegurando su correo electrónico de los fisgones.
Sí, si realiza negocios en línea, SSL / TLS es fundamental para su éxito continuo. ¿Por qué? Porque:
- Sus clientes necesitan sentirse seguros cuando hacen negocios con usted en línea o no harán negocios con usted; y
- Usted es responsable ante su cliente de proteger la información confidencial que ha elegido compartir con usted.
A continuación, veamos cómo funciona SSL / TLS.
Las claves públicas, públicas y de sesión son las claves, uh …
Cuando usa SSL / TLS para transmitir sus datos confidenciales en línea, su navegador y el servidor web seguro se conectan para usar dos claves separadas para configurar una conexión segura: una pública y una privada. Una vez que la conexión está en su lugar, un tercer tipo de clave, la clave de sesión, se utiliza para cifrar y descifrar la información que se pasa de un lado a otro.
Así es como funciona:
- Cuando te conectas a un servidor seguro (por ejemplo, amazon.com), comienza el proceso de "apretón de manos":
- Primero, el servidor pasará su navegador, tanto el certificado SSL / TLS como su clave pública;
- Su navegador luego verificará el certificado del servidor para ver si puede confiar en él mediante factores como si el certificado fue emitido por una fuente confiable y si el certificado no ha caducado.
- Si se puede confiar en SSL / TLS, su navegador enviará un acuse de recibo al servidor para informarle que está listo para funcionar. Ese mensaje se cifrará con la clave pública del servidor y solo se podrá descifrar con la clave privada del servidor. Incluido en ese acuse de recibo está la clave pública de su navegador.
- Si no se puede confiar en el servidor, verá una advertencia en su navegador. Siempre se puede ignorar la advertencia, pero no es prudente.
- El servidor crea la clave de sesión. Antes de enviarlo a su navegador, encripta el mensaje usando su clave pública para que solo su navegador, utilizando su clave privada, pueda descifrarlo.
- Ahora que el intercambio ha terminado y ambos participantes han recibido de forma segura la clave de la sesión, su navegador y el servidor comparten una conexión segura. Tanto su navegador como el servidor utilizan la clave de sesión para cifrar y descifrar los datos confidenciales a medida que se envían en línea.
- Una vez que finaliza la sesión, la clave de sesión se descarta. Incluso si se conecta una hora más tarde, deberá ejecutar este proceso desde el principio, lo que dará como resultado una nueva clave de sesión.
El tamaño importa
Los tres tipos de claves consisten en largas cadenas de números. Cuanto más larga sea la cadena, más seguro será el cifrado. En el lado negativo, una cadena más larga toma más tiempo para cifrar y descifrar datos y ejerce más presión sobre los recursos del servidor y de su navegador.
Por eso existen las claves de sesión. Una clave de sesión es mucho más corta que las claves pública y privada. El resultado: cifrado y descifrado mucho más rápidos pero menos seguridad.
Espera - ¿menos seguridad? ¿No es tan malo? Realmente no.
Las claves de sesión solo existen por un corto tiempo antes de que se eliminen. Y aunque no son tan largas como los otros dos tipos de claves, son lo suficientemente seguras para evitar la piratería durante el breve tiempo que existe la conexión entre su navegador y el servidor seguro.
Algoritmos de cifrado
Tanto las claves públicas como las privadas se crean utilizando uno de los tres algoritmos de cifrado.
No vamos a profundizar demasiado, literalmente necesitas un grado en matemáticas (tal vez varios) para entender completamente los algoritmos de encriptación; sin embargo, es útil saber lo básico cuando sea el momento de elegir el tipo que tu propio sitio web utilizará.
Los tres algoritmos principales son:
- RSA - el nombre de sus creadores (Ron RIvest, Adi SHamir y Leonard UNAdlema), RSA ha existido desde 1977. RSA crea claves utilizando dos números primos aleatorios en una serie de cálculos. Aprende más…
- Algoritmo de firma digital (DSA) - creada por la Agencia de Seguridad Nacional (NSA), DSA crea claves utilizando un proceso de dos pasos que utiliza una "función criptográfica hash" en una serie de cálculos. Aprende más…
- Criptografía de curva elíptica (CEE) - EEC crea claves utilizando “la estructura algebraica de las curvas elípticas” en una serie de cálculos complejos. Aprende más…
¿Qué algoritmo de cifrado debería elegir?
Matemáticas a un lado, ¿cuál es el mejor algoritmo de encriptación para usar?
Actualmente, ECC parece estar llegando a la cima. Gracias a los cálculos matemáticos, las claves creadas con el algoritmo ECC son más cortas y al mismo tiempo son tan seguras como las claves más largas. Sí, ECC rompe la regla de "el tamaño importa" por lo que es ideal para una conexión segura en dispositivos menos potentes, como su teléfono móvil o tableta.
El mejor enfoque puede ser uno híbrido, donde su servidor puede aceptar los tres tipos de algoritmos para que pueda manejar cualquier cosa que se le presente. Las dos desventajas de este enfoque pueden ser:
- El servidor utiliza más recursos para el manejo de RSA, DSA y ECC en lugar de solo ECC; y
- Su proveedor de certificados SSL / TLS puede cobrarle más. Mire a su alrededor, sin embargo, hay proveedores muy acreditados que no cobran extra por usar los tres.
¿Por qué TLS sigue siendo llamado SSL?
Como mencionamos en la parte superior de esta publicación, TLS es el sucesor de SSL. Aunque SSL todavía está en uso, TLS es una solución más refinada y cubre muchos de los agujeros de seguridad que plagaron a SSL.
La mayoría de las empresas de alojamiento y los proveedores de certificados SSL / TLS siguen utilizando el término "certificado SSL" en lugar de "Certificado TLS".
Sea claro, sin embargo, los mejores proveedores de alojamiento y certificados están utilizando los certificados TLS, simplemente no querían cambiar el nombre porque confundiría a sus clientes.
Conclusión
Single Socket Layer (SSL), y su sucesor, Transport Layer Security (TLS), son necesarios para operar de manera segura en línea. Al usar cadenas largas de números llamados "Claves", SSL / TLS permite las conexiones donde su información y la de su cliente se encripta antes de que se envíe y descifre cuando llegue.
Conclusión: si realiza negocios en línea, SSL / TLS es fundamental para su éxito continuo, ya que genera confianza y protege a usted y a sus clientes.
Foto de seguridad a través de Shutterstock
Más en: ¿Qué es 5 Comentarios ▼
