¿Qué es TLS y para qué sirve el protocolo TLS?

Una de las mayores preocupaciones de usuarios y administradores de sistemas en Internet es la seguridad y la privacidad. En este campo una de las prácticas más útiles es la capacidad de encriptar las transmisiones entre clientes y servidores, de modo que nadie pueda escuchar las comunicaciones e interceptar su contenido. Para conseguir realizar esta encriptación uno de los protocolos más importantes es TLS.

¿Qué es el protocolo TLS?

TLS es un protocolo de criptografía que corresponde con las siglas de Transport Layer Security. Su cometido consiste en la encriptación de la información que viaja por Internet entre clientes y servidores. Gracias a TLS no sólo conseguimos que sea imposible escuchar las comunicaciones entre puntos sino también se garantiza la integridad de las mismas.

Actualmente en Internet se utiliza el protocolo TLS para garantizar la seguridad de las comunicaciones, de manera preferente a otro protocolo más antiguo como el SSL, que a día de hoy se considera poco seguro.

Diferencias entre TLS y SSL

Como hemos dicho, en la actualidad el protocolo estándar para garantizar las comunicaciones seguras es el TLS. Sin embargo es muy habitual que utilicemos el término SSL para referirnos a la capacidad de encriptar las comunicaciones. ¿Cuál es la diferencia entre estos protocolos?

TLS es la evolución de SSL y gracias a ello ofrece mayor nivel de seguridad. De hecho, en la actualidad SSL ya no se considera seguro. No obstante, a veces nos referimos a estos dos protocolos de manera indistinta con el término SSL, cuando realmente TLS es el que está funcionando en la mayor parte de las ocasiones para garantizar la seguridad de las transmisiones.

¿Cómo funciona el protocolo TLS?

El protocolo TLS funciona de manera transparente para los usuarios en los sitios protegidos con certificados de seguridad, así como los usuarios de otros servicios de Internet como el correo o las transmisiones de archivos. Vamos a ver los puntos más importantes que debes conocer para entender el funcionamiento del protocolo.

El proceso de cifrado en TLS

TLS se encarga de realizar un proceso de cifrado de las comunicaciones. Esto quiere decir que mediante este protocolo y distintos algoritmos de encriptación se realizan ofuscaciones de los datos enviados entre el servidor y el cliente. De este modo, aunque eventualmente alguna persona consiguiera escuchar las comunicaciones, no conseguiría obtener más que datos completamente ilegibles.

La negociación de la conexión segura (handshake)

Para establecer las comunicaciones encriptadas se realiza un proceso cuyo nombre técnico es handshake. Durante el handshake de TLS tanto cliente como servidor realizan una serie de intercambios de información, en los que negocian aspectos como el algoritmo de cifrado y las claves que van a utilizar durante las comunicaciones.

Uso de certificados digitales en TLS

Durante las comunicaciones TLS se encarga de hacer la encriptación de los datos transferidos. Para ello se usan certificados digitales que permiten no solo encriptar información sino desencriptarla y, a la vez, garantizar aspectos como el origen y la integridad de los datos transmitidos.

Estos certificados de seguridad son emitidos por autoridades de certificación y se tienen que instalar en un servidor para ofrecer soporte para TLS.

Autenticación, confidencialidad e integridad

Los tres elementos fundamentales que se utilizan en TLS para garantizar las comunicaciones seguras son los siguientes:

• Autenticación: el proceso mediante el cual se confirma la identidad del servidor.
• Confidencialidad: mediante el cual los datos permanecen ocultos para terceros.
• Integridad: mediante la integridad se asegura que los datos transmitidos no han sido alterados durante las comunicaciones.

¿Para qué sirve el protocolo TLS?

Como ya hemos dicho, el protocolo TLS sirve para mantener comunicaciones seguras entre clientes y servidores. Bajo este contexto general vamos a ver algunos casos de uso más específicos.

Proteger la comunicación entre cliente y servidor

TLS es esencial para proteger las comunicaciones entre clientes y servidores. De este modo se evita que posibles atacantes puedan interceptar las comunicaciones para realizar actos maliciosos.

Garantizar la privacidad de los datos transmitidos

Gracias a TLS también se garantiza la privacidad de la información que se transmite, evitando que otras personas puedan conocer datos sensibles como credenciales de acceso o números de tarjetas de crédito.

Autenticar la identidad de los sitios web

A través de los certificados de seguridad y las organizaciones certificadoras también se garantiza que los servidores que atienden las solicitudes de un dominio son realmente legítimos.

Evitar ataques de intermediarios (Man-in-the-Middle)

Con TLS se consigue reducir de manera sensible la posibilidad de que un atacante se interponga en el medio de las comunicaciones para realizar acciones maliciosas como la manipulación de la información. Este tipo de ataque se conoce generalmente como Man-in-the-Middle.

Versiones de TLS y su evolución

A lo largo del tiempo se han publicado diversas versiones de TLS que han ido progresivamente mejorando la seguridad del protocolo, vamos a ver los hitos más importantes de estas versiones junto con sus características.

TLS 1.0 y TLS 1.1 (versiones obsoletas)

Las versiones de TLS 1.0 y 1.1 actualmente se consideran obsoletas por lo que ya no se usan en los sistemas actuales. La primera versión fue publicada en 1999 y la segunda en 2006. Ha llovido mucho desde entonces, por lo que si quieres implementar este protocolo tienes que usar versiones más modernas.

TLS 1.2 (todavía ampliamente utilizado)

Luego tenemos TLS 1.2 que no es la última versión pero todavía se considera muy robusta. Por ello TLS 1.2 continúa siendo utilizada en la actualidad. Esta versión del protocolo TLS fue lanzada en 2008.

TLS 1.3 (versión más segura y eficiente)

Bastante más reciente es la versión 1.3 del protocolo TLS que fue lanzada en 2018. Esta versión del protocolo presentó algunos aspectos de optimización como la eliminación del proceso de handshake.

Con esta versión también se eliminaron algunos algoritmos de encriptación considerados débiles y pese a ello TLS mejoró también en aspectos como la velocidad de encriptación.

Usos más comunes del protocolo TLS

El uso más frecuente de TLS es en los sitios web, pero vamos a ver que existen otros marcos de uso también muy habituales en numerosos servicios de Internet.

TLS en HTTPS para navegación web segura

Como venimos diciendo, el uso más frecuente de TLS es ofrecer soporte a las comunicaciones seguras en la web. Mediante TLS los sitios web pueden utilizar URL seguras con HTTPS, algo esencial en la actualidad y no solo en sitios críticos como bancos o comercios electrónicos, por aspectos como el SEO o la experiencia de usuario.

TLS en correos electrónicos (SMTP, IMAP, POP3)

Ahora bien, también utilizamos TLS para otros servicios importantes en Internet como es el correo electrónico. Podemos usar encriptación vía TLS en todos los protocolos frecuentes de correo como SMTP, IMAP, POP3, etc.

TLS en aplicaciones de mensajería y VoIP

También se utilizan comunicaciones seguras en las comunicaciones de las aplicaciones que utilizamos para la mensajería y VoIP. De esta manera se consigue que las aplicaciones del chat y las llamadas por Internet tengan la seguridad y confidencialidad necesarias.

TLS en redes privadas virtuales (VPN)

Muchas de las VPN actuales utilizan TLS para conseguir que el canal de comunicación de la red sea seguro, a pesar de utilizar como soporte una red pública como Internet.

TLS en transferencias de archivos (FTPS)

Otro lugar donde también se utiliza TLS es en las comunicaciones por FTP, dando soporte a FTPS, para la transferencia de archivos confidencial entre cliente y servidor.

Ventajas de utilizar TLS

Ya hemos explicado muchas de las ventajas que nos ofrece TLS pero vamos a insistir en los siguientes puntos.

Seguridad avanzada en la transmisión de datos

TLS es el protocolo más seguro en la actualidad para proteger las comunicaciones en Internet, gracias a sus algoritmos de cifrado más avanzados y seguros.

Mayor confianza para usuarios y clientes

Gracias a TLS los clientes están más seguros, ya que pueden confiar en que los datos no serán interceptados durante las comunicaciones.

Este nivel de seguridad es esencial para muchos de los procesos actuales que se realizan en las páginas web como por ejemplo las ventas online o los sistemas de autenticación. Pero la verdad es que los beneficios de TSL se extienden a todos los tipos de usuarios y webs, ya que mejora la experiencia y confiabilidad de los usuarios, gracias al candado de seguridad de la barra del navegador.

Compatibilidad con la mayoría de navegadores y sistemas

TLS es un protocolo abierto que está disponible actualmente en todos los navegadores, así como en las aplicaciones de correo electrónico y en general en cualquier sistema que requiera comunicaciones entre cliente y servidor.

Mejora del SEO gracias al uso de HTTPS

Una ventaja fundamental de contar con TLS en un sitio web, ya desde hace unos años, consiste en la mejora del posicionamiento. Gracias a la incorporación de protocolos seguros y el uso de HTTPS, en lugar del inseguro HTTP, Google y otros buscadores entienden que existe una mejora de la experiencia de usuario, lo que sirve para posicionar mejor la web, al menos en relación a otras páginas que no sean seguras.

Reducción de riesgos frente a ataques cibernéticos

Sin embargo, al final, la característica más importante de TLS es que nos permite realizar comunicaciones más seguras, estando más protegidos frente a ataques de muchos tipos.

Riesgos y limitaciones del protocolo TLS

Aunque el uso de TLS siempre supone una mejora en la seguridad también pueden ocurrir circunstancias que anulan o limiten estos beneficios. Las vamos a repasar en los próximos puntos para que trates de evitarlas.

Vulnerabilidades por mala configuración

Es muy importante configurar de manera correcta los servidores para que usen el protocolo TLS de una manera adecuada. Algunos errores frecuentes de configuraciones malas pueden ser utilizar algoritmos débiles o versiones obsoletas de TLS, y derivarían en vulnerabilidades que permitirían a un atacante descifrar la comunicación o interceptar los datos transmitidos.

Uso de certificados inseguros o caducados

Si el certificado de seguridad está caducado los navegadores mostrarán advertencias de seguridad cuando los visitantes accedan a nuestro sitio, con lo cual la experiencia de usuario se verá sensiblemente mermada.

Todavía es peor cuando los certificados de seguridad no son expedidos por entidades autorizadas con lo cual se mostrarán avisos para alertar al usuario que la página no es segura. Esta situación nos hará perder la mayor parte del tráfico, aparte de reducir la confianza de nuestros usuarios.

Consumo de recursos en servidores antiguos

Si tenemos un servidor muy antiguo o con recursos muy limitados las necesidades de procesamiento para cifrar y descifrar los datos en las comunicaciones pueden afectar al rendimiento y disminuir la velocidad de los sitios web.

Ataques avanzados contra implementaciones débiles

Aunque el protocolo TLS sea seguro y el servidor esté bien configurado, también puede ocurrir es que tengamos una implementación débil ya sea por configuraciones incorrectas o por el uso de software inseguro o librerías poco actualizadas. Como sabemos, en lo relativo a la seguridad cada componente cuenta, haciendo que la cadena pueda romperse por el eslabón más débil.

Buenas prácticas al implementar TLS

Antes de acabar vamos a ver una serie de buenas prácticas que consideramos fundamentales para mejorar las implementaciones del protocolo TLS en los sitios web y otros tipos de servidores.

Utilizar siempre la última versión (TLS 1.3)

Lo primero y más recomendable es utilizar las versiones más recientes del protocolo TLS. Aunque la versión 1.2 de TLS es todavía válida, actualmente la recomendación es utilizar la versión 1.3 que no solo es más segura sino que también ofrece un mayor rendimiento.

Instalar certificados SSL/TLS válidos y actualizados

Es muy importante instalar certificados SSL o TLS que sean válidos, esto es: emitidos por una entidad certificadora y que estén dentro de él plazo de validez. De lo contrario nuestros usuarios recibirán advertencias en el navegador lo que mermará la confianza hacia nuestros servicios y la disminución del tráfico de manera sensible.

Configurar correctamente el servidor web

También es muy importante prestar atención a las configuraciones en los servidores web para evitar versiones antiguas del protocolo o algoritmos de encriptación que no sean totalmente seguros. Es importante que consultes fuentes de información autorizadas confiables y actualizadas para aprender a configurar tus servidores.

Forzar el uso de HTTPS con redirecciones seguras

A la hora de configurar un sitio web también es muy importante forzar que todos los visitantes consulten la web a partir de la dirección mediante HTTPS. Este tipo de configuración se realiza de manera muy sencilla y evita que los usuarios puedan dirigirse a páginas inseguras de manera accidental, lo que puede mermar su experiencia de usuario, el posicionamiento de la página web o incluso caer en penalizaciones por la existencia de contenido duplicado.

Monitorizar y renovar certificados periódicamente

Te recomendamos realizar una monitorización de tus servidores para asegurarte que siempre respondan correctamente a las solicitudes bajo el protocolo HTTPS.

Además es importante asegurarte que los certificados estén correctamente emitidos y renovados. Siempre que puedas configura las renovaciones de tus certificados de manera automática, para no descuidar los procesos de actualización y además evitar tener que realizar acciones manuales que te pueden quitar tiempo, sobre todo si tienes que mantener numerosos dominios.