TLS frente a SSL
Hay una serie de diferencias entre SSL y TLS, ya que TLS es el sucesor de SLS, todo lo cual se analizará en este artículo. SSL, que se refiere a Secure Socket Layer, es un protocolo utilizado para brindar seguridad a las conexiones entre un servidor y un cliente. Este protocolo utiliza mecanismos de seguridad, como criptografía y hash, para brindar servicios de seguridad, como confidencialidad, integridad y autenticación de punto final, a las conexiones entre un servidor y un cliente. TLS, que se refiere a Transport Layer Security, es el sucesor de SSL, que incluye correcciones de errores y mejoras sobre SSL. SSL, que ahora es un poco antiguo, tiene muchos errores de seguridad conocidos y, por lo tanto, lo que se recomienda usar es la última versión de TLS, que es TLS 1.2. SSL llegó a la versión 3.0 y luego se cambió el nombre a TLS.
¿Qué es SSL?
SSL, que se refiere a Secure Socket Layer, es un protocolo utilizado para proporcionar conexiones seguras entre un cliente y un servidor. Una conexión TCP puede proporcionar un vínculo confiable entre un servidor y un cliente, pero no puede brindar servicios como confidencialidad, integridad y autenticación de punto final. Entonces, Netscape introdujo SSL a principios de la década de 1990 para proporcionar estos servicios. La primera versión de SSL, que se conoce como SSL 1.0, nunca se lanzó al público porque tenía muchos agujeros de seguridad. Sin embargo, en 1995, se introdujo SSL 2.0, que proporcionaba mejor seguridad que SSL 1.0, y en 1996, se introdujo SSL 3.0 con más mejoras. Las siguientes versiones del protocolo SSL aparecieron con el nombre TLS.
SSL, que se implementa en la capa de transporte, puede asegurar un protocolo como TCP aplicando varias medidas de seguridad. Proporcionará confidencialidad mediante el uso de encriptaciones para evitar que alguien escuche a escondidas. Utiliza cifrado asimétrico y simétrico. Primero, usando el cifrado de clave asimétrica, se establece una clave de sesión simétrica que luego se usaría para cifrar el tráfico. La criptografía de clave asimétrica también se utiliza para los certificados digitales utilizados para autenticar el servidor. Luego, el código de autenticación de mensajes, que utiliza varias técnicas de hashing, se usa para proporcionar integridad (identificar cualquier modificación no autenticada realizada en los datos reales). Entonces, un protocolo como SSL permite transmitir información confidencial, como transacciones bancarias e información de tarjetas de crédito a través de Internet. Además, se utiliza para brindar confidencialidad a servicios como correo electrónico, navegación web, mensajería y voz sobre IP.
SSL ahora está desactualizado y tiene muchos problemas de seguridad en los que actualmente no se recomienda mucho su uso. SSL 3.0 estaba habilitado de forma predeterminada hasta hace poco en muchos navegadores, pero ahora planean deshabilitarlo en futuras versiones debido a errores de seguridad graves, como el ataque POODLE.
¿Qué es TLS?
TLS, que se refiere a Transport Layer Security, es el sucesor de SSL. Después de SSL 3.0, la siguiente versión surgió como TLS 1.0 en 1999. Luego, en 2006, se introdujo una versión mejorada denominada TLS 1.1. Luego, en 2008, se realizaron más mejoras y correcciones de errores y se introdujo TLS 1.2. Actualmente, TLS 1.2 es la última versión disponible de Transport Layer Security. Al igual que SSL, TLS también brinda servicios de seguridad como confidencialidad, integridad y autenticación de punto final. De manera similar, el cifrado, el código de autenticación de mensajes y los certificados digitales se utilizan para proporcionar estos servicios de seguridad. TLS es inmune a ataques como el ataque POODLE, que ha comprometido la seguridad de SSL 3.0.
La recomendación es usar la última versión de TLS, TLS 1.2, ya que al ser la última tiene menos fallas de seguridad. Cualquier sistema de seguridad no es perfecto y con el tiempo se detectarían fallas y en el futuro se lanzará la versión 1.3 de TLS que corregirá esos errores detectados. Sin embargo, actualmente, TLS 1.2 es el más seguro y, en todos los navegadores principales, está habilitado de manera predeterminada.
¿Cuál es la diferencia entre SSL y TLS?
• TLS es el sucesor de SLS. SLS se introdujo en la década de 1990 y se han introducido tres versiones, a saber, SSL 1.0, SSL 2.0 y SSL 3.0. Después de eso, en 1999, la siguiente versión de SSL se denominó TLS 1.0. Luego se introdujo TLS 1.1 y la última versión actual es TLS 1.2.
• SSL tiene muchos errores y es susceptible a ataques conocidos que TLS. En las últimas versiones de TLS, la mayoría de los errores se han solucionado y, por lo tanto, es inmune a los ataques.
• TLS tiene nuevas funciones y admite nuevos algoritmos en comparación con SSL.
• Con el ataque llamado ataque POODLE, ahora el uso de SSL se ha vuelto mucho más vulnerable y, en las nuevas versiones de los navegadores web, SSL estará deshabilitado de forma predeterminada. Sin embargo, en todos los navegadores, TLS está habilitado de forma predeterminada.
• TLS admite nuevos conjuntos de algoritmos de autenticación e intercambio de claves, como ECDH-RSA, ECDH-ECDSA, PSK y SRP.
• Los conjuntos de algoritmos de código de autenticación de mensajes, como HMAC-SHA256/384 y AEAD, están disponibles en las últimas versiones de TLS, pero no en SSL.
• SSL fue desarrollado y editado bajo Netscape. Sin embargo, TLS está bajo el Grupo de trabajo de ingeniería de Internet como protocolo estándar y, por lo tanto, está disponible bajo RFC.
• Existen diferencias en la implementación del protocolo, como el intercambio de claves y la derivación de claves.
Resumen:
TLS frente a SSL
TLS es el sucesor de SSL y, por lo tanto, TLS incluye muchas mejoras y correcciones de errores sobre SSL. SSL se introdujo a principios de la década de 1990 y tres versiones llegaron a SSL 3.0. Luego, en 1999, apareció la siguiente versión de SSL con el nombre TLS 1.0. Actualmente, la última versión es TLS 1.2. SSL, al ser un protocolo antiguo, tiene muchos errores de seguridad conocidos y, por lo tanto, es susceptible a ataques conocidos como el ataque POODLE. La última versión de TLS tiene correcciones para estos ataques y también admite nuevas funciones y algoritmos. Por lo tanto, para las aplicaciones que necesitan una mayor seguridad, se recomienda la última versión de TLS en lugar de utilizar los antiguos protocolos SSL.