SSL (Secure Socket Layer) es la especificación de una tecnología, a través de la cual la transferencia de Datos está asegurada en Internet. Los datos que se transmiten están encriptados sobre la base del protocolo HTTPS y, por lo tanto, protegidos contra el espionaje de terceros. El cifrado se complementa con la exigencia de autentificación de los participantes en la comunicación. El término SSL ha sido sustituido por TLS (Transport Layer Security). Sólo ha cambiado el nombre. La tecnología subyacente sigue siendo la misma y algunos paquetes de software y bibliotecas siguen llevando SSL en sus nombres por razones históricas, aunque se basan en TLS, que desde entonces se ha desarrollado más.
De SSL a TLS - similitudes y diferencias
La tecnología ampliamente implementada, generalmente conocida por la abreviatura SSL, se continúa y desarrolla hoy en día bajo el nombre de TLS. Los conceptos básicos de la tecnología no han cambiado. Sigue siendo el uso de HTTPS como un protocolo de encriptación híbrido, cuya última versión como protocolo SSL fue el Vers. 3.0. Luego fue desarrollado y estandarizado como el protocolo TLS, comenzando en el Vers. 1.0. En el uso general del lenguaje, los dos términos se utilizan a menudo como sinónimos, aunque debe señalarse el número de versículo. Por ejemplo, SSL 1.0 no corresponde a TSL 1.0. En la presente presentación, se utiliza la abreviatura SSL porque es la que tiene mayor grado de familiaridad y todavía es común hablar de SSL hoy en día, incluso cuando se trata de la tecnología TLS. Se presentan los conceptos básicos, que son idénticos tanto para el SSL como para el TSL. Sin embargo, para usos específicos hay diferentes implementaciones con diferentes nombres, como OpenSSL, GnuTLS y LibreSSL.
Criptografía y verificación de identidad - el principio funcional del SSL
El principio de funcionamiento de la capa de conexión segura o seguridad de la capa de transporte tiene dos partes. Además de la codificación de los datos, también se basa en el uso de la autenticación. El uso de SSL está muy extendido y se utiliza a menudo para la recuperación segura de datos confidenciales desde y la transmisión segura de datos confidenciales a un servidor HTTP (servidor web). La autenticidad del servidor marcado se verifica mediante un Certificado está garantizada y la conexión entre el servidor y el cliente está encriptada. Dado que el SSL es muy popular hoy en día, casi se ha convertido en un estándar para complementar los protocolos de aplicación con los que no se puede realizar una conexión segura sólo mediante el cifrado.
Certificación y autenticación
La certificación y autenticación antes del inicio de una transmisión de datos a través de una conexión SSL se divide en los siguientes pasos de procesamiento:
- La certificación de la clave pública tiene lugar una vez
A petición, el servidor recibe una certificación de una autoridad de certificación y validación.
- Autenticación del servidor
La conexión entre el cliente y el servidor se establece mediante una petición SSL del cliente y el servidor se autentica con su certificado.
- Validación del certificado transmitido
El cliente hace que la autoridad de certificación y validación compruebe el certificado recibido del servidor.
- transmisión de datos encriptados
Si la identidad del servidor es claramente identificable sobre la base del certificado validado, comienza la transmisión de los datos codificados.
Cifrado y descifrado
El cifrado y descifrado del protocolo SSL se basa en un par de claves digitales que consisten en una clave pública y una clave privada. Ambas claves son diferentes. El emisor (cliente) recibe la clave pública del receptor (servidor) después de que el receptor se haya autentificado con su certificado. Este procedimiento se denomina "encriptación asimétrica" o "procedimiento de clave pública". El remitente utiliza la clave pública para encriptar los datos que envía al receptor. Después de la codificación, los datos ya no pueden descifrarse con la clave pública, sino sólo con la clave privada correspondiente del servidor, que por lo tanto debe mantenerla en secreto en cualquier caso.
Los certificados
Tanto el SSL como el TLS funcionan con los llamados certificados PKIX, que significa "Infraestructura de Clave Pública según X.509v3". Hay tres tipos de certificados, en los que el esfuerzo de verificación durante la certificación es diferente y, por lo tanto, se garantiza un nivel de autenticidad seguro diferente:
- El certificado de dominio validado (DV-SSL) es el más barato. El dominio sólo es validado por Correo electrónico validado y el certificado se emite normalmente después de unos minutos.
- El Certificado de Validación de la Organización (OV-SSL) aumenta la confiabilidad del dominio al verificar completamente la compañía/operador.
- El Certificado de Validación Extendida (EV SSL) se basa en el nivel más alto de validación y es común en el sector bancario, entre otras cosas.
Las limitaciones de SSL/TLS
Sólo la transmisión de datos está asegurada por el protocolo SSL. Lo que le sucede al destinatario está fuera del alcance del protocolo SSL.