La seguridad de la capa de transporte (TLS) es un protocolo estándar del grupo de trabajo Internet Engineering Task Force (IETF) que ofrece autenticación, privacidad e integridad de datos para comunicaciones a través de internet. Este protocolo se publicó en 1999 y su última versión, TLS 1.3, data de 2018. Un caso de uso típico de TLS es el cifrado de comunicaciones entre dos sistemas. La importancia de TLS radica en el hecho de que confirma la identidad de la otra parte en una conexión, comprueba la integridad de los datos y aporta cierta confidencialidad mediante cifrado. TLS utiliza una serie de algoritmos y métodos para cumplir estos objetivos y, no en vano, se ha convertido en el protocolo de seguridad más adoptado y desplegado de la actualidad. Es ideal para navegadores web y otras aplicaciones que precisan que los datos se intercambien de forma segura mediante la red por el protocolo Hypertext Transfer Protocol Secure (HTTPS). TLS también puede proteger elementos como correos y otros protocolos.
Si hablamos de TLS, es común que se mencione Secure Socket Layer (SSL) o incluso SSL/TLS. SSL es la versión antigua de TLS, y todavía hay gente que se refiere al protocolo por su nombre anterior. Usaremos «TLS» el resto del artículo, pero es importante recordar que los nombres se suelen usar indistintamente. TLS es el sucesor de SSL, que hoy por hoy está en desuso.
TLS surgió a partir del protocolo Secure Sockets Layer (SSL) de Netscape y lo ha acabado sustituyendo, con un nombre diferente que evita problemas con Netscape pero sigue confundiendo aún hoy. TLS, al ser más nuevo y a la vez maduro, presenta claras diferencias, como puede ser la capacidad para resolver vulnerabilidades y mejorar la integración y las posibilidades de implementación. Así, TLS es más eficiente y seguro que SSL al ofrecer generación de claves, una autenticación más robusta y compatibilidad con diferentes cifrados y con algoritmos más nuevos y seguros. No se puede utilizar uno u otro indistintamente, aunque TLS permite habilitar capacidades antiguas. Además, TLS gestiona el protocolo de enlace mucho más rápidamente que SSL. Por último, cabe señalar que, en 2021, el IETF dejó de usar formalmente TLS 1.0 y 1.1, y le siguieron los pasos importantes proveedores como Apple y Microsoft.
HTTPS es la versión segura del protocolo de transferencia de hipertexto (HTTP), que usan tu navegador y el servidor web para comunicarse e intercambiar información. Cuando el envío de datos se cifra con SSL/TLS, pasa a llamarse HTTPS. Así pues, si tu sitio web utiliza HTTPS, toda la información se cifra con certificados SSL/TLS.
El protocolo TLS aporta tres componentes principales: integridad, autenticación y cifrado.
Integridad: confirma que los datos enviados a través de una red no han sido vulnerados.
Autenticación: certifica que las partes son quienes dicen ser.
Cifrado: los datos enviados quedan ocultos a terceras partes.
Podemos dividir el protocolo TLS en dos capas.
El protocolo de registro de TLS protege los datos de aplicaciones por medio de las claves creadas durante el protocolo de enlace de TLS, y también verifica la integridad y autenticidad de dichos datos. Por su parte, el protocolo de enlace de TLS se encarga de la autenticación y el intercambio de claves necesarios para establecer y proteger sesiones.
El protocolo de registro de TLS aporta seguridad a la conexión, mientras que el protocolo de enlace de TLS permite que el cliente y el servidor se autentiquen mutuamente y negocien las claves de seguridad antes de intercambiar datos.
El proceso del protocolo de enlace de TLS consta de distintos pasos. En su forma típica, el cliente y el servidor se envían mensajes de «hello», intercambian claves, cifran mensajes y mandan un mensaje final.
Casi todos los sitios web son compatibles con TLS 1.2, y casi el 60 % (al publicar estas líneas) también es compatible con TLS 1.3, que aporta mejoras de seguridad significativas y elimina funcionalidades antiguas y más débiles. Las nuevas funcionalidades de TLS 1.3 permiten acelerar el protocolo de enlace de TLS: Session Resumption comprueba si un servidor y un cliente se han comunicado con anterioridad en el caso de que se hayan saltado comprobaciones de seguridad, mientras que False Start permite que los servidores y los clientes transmitan datos antes de que finalice el protocolo de enlace. Un protocolo de enlace con TLS 1.3 solo requiere un trayecto de ida y vuelta y no dos, como en versiones anteriores de TLS. Por último, Zero Round Trip Time Resumption (0-RTT) habilita la creación de una clave maestra de reanudación.
El uso de TLS también aporta múltiples ventajas a empresas y aplicaciones web, como la mejora de la optimización del sitio para buscadores (SEO) y el fomento de la confianza del usuario. Así, tu empresa puede seguir siendo competitiva en las páginas de resultados de buscadores (SERP).
El cifrado de TLS ayuda a proteger las aplicaciones web de violaciones de seguridad de los datos y otras vulnerabilidades. Con Fastly TLS, los clientes pueden gestionar los certificados de TLS dominio a dominio o por múltiples dominios usando nuestra API o interfaz web. Además, puedes generar y cargar tus propias claves privadas y certificados TLS o solicitar a Fastly que genere y gestione automáticamente los certificados TLS por ti a través de una entidad de certificación (CA) comercial, tercera o sin ánimo de lucro.
Supongamos que necesitas una entidad de certificación en concreto o bien un certificado de validación de organización (OV) o de prórroga de validación (EV): puedes usar la API o la interfaz web de Fastly para cargar claves y certificados TLS si aportas tus certificados.
Cuando Fastly gestiona tus certificados, usas la API o la interfaz web de Fastly para seleccionar la entidad de certificación en la que Fastly debería verificar tus certificados de TLS. Acto seguido, Fastly obtiene certificados validados por dominio (DV) de la autoridad elegida. Para completar la petición de certificado, deberás probar que controlas tus dominios de dos formas: si usas un comodín para cubrir todos tus subdominios con un certificado, deberás añadir un token de desafío a tus registros del sistema de nombres de dominio (DNS). Fastly responderá automáticamente al desafío de HTTP si no necesitas ningún comodín, e instalará los certificados de TLS en un conjunto compartido de direcciones IP predeterminadas. Cuando Fastly recibe peticiones de cliente, seleccionamos los certificados correctos usando la extensión SNI de TLS, que permite a los clientes presentar un nombre del host en la petición de protocolo de enlace de TLS.
TLS es un protocolo de seguridad muy común que cifra datos de texto no cifrado a texto cifrado, y viceversa. TLS ofrece privacidad y seguridad de datos mediante tráfico cifrado y evita que salga a la luz información sensible.
Si necesitas ayuda para entender y configurar TLS, contacta con Fastly.
Prueba Fastly gratis hoy mismo