Transport Layer Security es un protocolo de seguridad ampliamente utilizado diseñado para garantizar la confidencialidad y la seguridad de los datos al intercambiar datos a través de Internet.. En particular, Usamos TLS diariamente para cifrar la comunicación entre servidores y clientes. – una comunicación común para todos. Mientras tanto, La gente solía escuchar la abreviatura HTTPS con respecto a lo mismo: comunicación segura cliente-servidor.. Pero ¿cuál es la diferencia entre los protocolos TLS y HTTPS?? Vamos a resolverlo.
La diferencia entre TLS y HTTPS
El predecesor de TLS es the previous Secure Sockets Layer (SSL) protocolo de cifrado desarrollado por Netscape. Porque la versión TLS 1.0 comenzó el desarrollo como versión SSL 3.1, el nombre del protocolo fue cambiado antes de su publicación. Por lo tanto, Los términos TLS y SSL a veces se utilizan como sinónimos.. Además, Puedes conocer ambas tecnologías en uso incluso hoy en día.. La mayoría de los navegadores web admiten el uso del protocolo SSL para proteger la conexión., a pesar de que el IETF lo considera obsoleto en 2014. En algunas configuraciones, you may witness a connection error al intentar abrir el sitio con el estándar de seguridad obsoleto.
SSL/TLS is what adds S to HTTP. Para hacer que la conexión al sitio web sea segura, necesita un certificado SSL/TLS actualizado. Cuando instalas un certificado SSL, lo configuras para transferir datos usando HTTPS. De este modo, Las dos tecnologías van de la mano y, por lo tanto, no se puede operar uno sin el otro. Las URL están precedidas por HTTP (Protocolo de Transferencia de Hipertexto) o HTTPS (Protocolo de transferencia de hipertexto seguro), que determina cómo se transfieren los datos que recibe o envía. Para determinar si un sitio utiliza un certificado SSL, verifique la URL y vea si usa HTTP o HTTPS porque las conexiones HTTPS requieren un certificado de seguridad SSL. Por eso, Podemos concluir que la diferencia entre TLS y HTTPS no es tan grande.: el primero es parte del segundo.
¿Por qué las empresas deberían utilizar TLS??
Porque el cifrado TLS puede ayudar a proteger las aplicaciones web de la fuga de datos y otros ataques, HTTPS con seguridad TLS es una práctica estándar para los sitios web. En ese punto, no hay diferencia entre TLS y HTTPS, ya que significan cosas iguales para ti. El navegador Chrome promocionado la transición de los sitios web a HTTPS, después de lo cual otros navegadores hicieron lo mismo. Hoy, expertos en ciberseguridad No recomiendo confiar en sitios web que no tengan un ícono de candado HTTPS.. SSL o versiones anteriores de TLS pueden contener infracciones explotables, por lo que, la última versión (1.3) es la única opción. No hace falta decir que utilizar conexiones no seguras es como darse una ducha en un cubículo transparente en medio de una plaza abarrotada..
¿Qué hace TLS??
El propósito del protocolo TLS consiste en servicios a todas las aplicaciones que trabajan en él: cifrado, autenticación, e integridad. Técnicamente, puedes aplicar solo dos de ellos al azar, proporcionando un nivel suficiente de seguridad. Pero en la práctica, Todos ellos se suelen aplicar por motivos de seguridad.:
- Cifrado – ocultar información que una computadora envía a otra. Incluso si un tercero lo pilla, no habrá forma de leer los datos sin la clave pública. Para un espectador, se convierte en una secuencia ilegible de símbolos.
- Autenticación – comprobar la identidad de ambas partes de la comunicación. Generalmente, eso es un apretón de manos y una verificación de la correspondencia URL. Eso asegura la ausencia de un tercero que actúe como intermediario turbio y se siente en el medio..
- Integridad – detección de suplantación de información. El intermediario que mencionamos anteriormente no sólo podría obtener la clave pública y leer la información, sino también inyectar sus propios paquetes., falsificando el resultado. La integridad verifica la suma hash de los paquetes de Internet en cada paso de transferencia.
¿Cómo funciona TLS??
Para que TLS funcione en un sitio web o aplicación, el servidor de origen debe contener el certificado TLS o SSL. Una autoridad certificadora lo emite a la persona o empresa propietaria del dominio.. Contiene información esencial sobre quién es el propietario del dominio y la clave pública del servidor, que es necesario para la autenticación del servidor. Entonces, una conexión TLS se inicia mediante una secuencia conocida como protocolo de enlace TLS. Por ejemplo, cuando un usuario visita un sitio web que utiliza TLS, el protocolo de enlace TLS comienza entre el dispositivo del usuario (También llamado dispositivo cliente.) y el servidor web. Durante el protocolo de enlace TLS, El dispositivo del usuario y el servidor web hacen lo siguiente.:
- Especificar la versión de TLS que usarán (TLS 1.0, 1.2, 1.3, etc.)
- Decidir qué conjuntos de cifrado utilizarán.
- Autenticar el servidor con el certificado de servidor TLS.
- Genere claves de sesión para cifrar mensajes entre ellos una vez completado el protocolo de enlace
El protocolo de enlace TLS establece un cifrado para cada sesión de comunicación.. Los conjuntos de cifrado son algoritmos que especifican la información., como cifrado compartido o claves de sesión, para ser utilizado para una sesión determinada. Por ejemplo, gracias a la criptografia, TLS puede establecer claves de sesión coincidentes a través de un canal no cifrado. La criptografía se basa en una tecnología de clave pública.. Además, el apretón de manos maneja la autenticación, que consiste en que el servidor confirma su identidad al cliente.
Para ello se utilizan claves públicas.. Estas son claves de cifrado que utilizan cifrado unidireccional.. Cualquier persona con una clave pública puede descifrar los datos cifrados con la clave privada del servidor para garantizar su autenticidad.. Sin embargo, solo el remitente original puede cifrar los datos con la clave privada. La clave pública del servidor forma parte de su certificado TLS..
Una vez que los datos estén cifrados y autenticados, está firmado con un código de autenticación de mensaje (MAC). El destinatario puede comprobar la MAC para garantizar la integridad de los datos.. Esto es algo así como la lámina protectora de un frasco de aspirinas., cuya integridad garantiza al comprador que nadie ha manipulado el medicamento.
El impacto de TLS en el rendimiento de las aplicaciones web
Las últimas versiones de TLS casi no tienen ningún efecto en el rendimiento de las aplicaciones web.. Sin embargo, debido al complejo proceso de setting up a TLS connection, se necesita algo de tiempo y potencia de procesamiento para cargar. Además, el cliente y el servidor necesitan intercambiar datos varias veces antes de intercambiar paquetes, lo que consume preciosos milisegundos de tiempo de carga de aplicaciones web y memoria tanto para el cliente como para el servidor.
Los administradores del servidor pueden utilizar ciertos trucos para reducir el posible retraso creado por el protocolo de enlace TLS.. Uno de ellos es el inicio en falso de TLS., que permite al servidor y al cliente comenzar a transferir datos antes de que se complete el protocolo de enlace TLS. Otra tecnología para acelerar TLS es la reanudación de la sesión TLS.. Permitirá a los clientes y servidores que hayan intercambiado datos previamente utilizar un protocolo de enlace abreviado..
Estas mejoras hacen de TLS un protocolo rápido que no debería afectar notablemente los tiempos de acceso.. En cuanto al costo computacional asociado con TLS, no es muy importante para los estándares actuales. TLS 1.3, lanzado en 2018, hizo que TLS fuera aún más rápido. Porque los apretones de manos TLS en TLS 1.3 requieren solo un viaje de ida y vuelta (o comunicación bidireccional) en lugar de dos, Esto reduce el proceso en unos pocos milisegundos.. Sin embargo, supongamos que un usuario se había conectado previamente a un sitio web. En ese caso, el protocolo de enlace TLS no tiene viajes de ida y vuelta, acelerándolo aún más.
Cómo implementar un certificado SSL en el sitio?
Dependiendo de los parámetros de alojamiento del sitio., hay diferentes formas de agregar un certificado SSL. A veces, el sitio debe tener obligatoriamente el certificado, por ejemplo, si es una página de comercio electrónico. Los grandes proveedores de alojamiento suelen ofrecer paquetes de alojamiento que ya incluyen certificados SSL.. Además, Es posible transferir un SSL existente desde otro host exportándolo desde el servidor original e importándolo al nuevo servidor.. Debe haber instrucciones especiales en el sitio web de alojamiento para esto.. Finalmente, Algunas autoridades de certificación requieren la compra de una licencia de servidor para cada servidor que aloja el certificado..