¿Qué son los protocolos SSL/TLS, y por qué debemos utilizarlos?

El incremento de los ciberataques y el empecinamiento de los gobiernos en vigilar a los ciudadanos han disparado la preocupación en torno a la seguridad y privacidad en la red. Entidades como Mozilla llevan tiempo intentando impulsar HTTPS frente a la no utilización de cifrado, una política que también ha llevado contra la candidata Demócrata para la Casa Blanca Hilary Clinton.

También otros gigantes como Google, Facebook y Microsoft han dado grandes pasos para impulsar la utilización de SSL/TLS para cifrar las conexiones con los sitios web, algo que se identifica cuando el usuario ve HTTPS en la parte delantera de la URL en lugar de HTTP.

¿Qué es SSL/TLS?

Aunque se suelen mencionar juntos, en realidad SSL y TLS son dos protocolos de cifrado, siendo el segundo el sucesor del primero. SSL fue desarrollado en los 90 del siglo pasado por Netscape, con el fin de asegurar la autenticidad de los sitios web y permitir que los datos fuesen intercambiados de manera segura entre el cliente y el servidor, creando una conexión cifrada utilizando una clave de cifrado pública.

Como ya hemos comentado, SSL y TLS no son lo mismo, y de hecho hoy en día muchas librerías de criptografía ya inhabilitan SSL por defecto, como ya comentamos en el ataque DROWN. Sin embargo, SSL es empleado todavía debido a que es el soportado por muchos clientes que utilizan software antiguo.

¿Por qué es importante?

El problema de las conexiones HTTP es que los datos transmitidos pueden ser interceptados por hackers. Esto no es especialmente grave en un sitio web de noticias y otros lugares donde no se manejen datos sensibles, sin embargo, todo cambia cuando hablamos de una red social, un foro importante donde haya personalidades públicas y sobre todo bancos y tiendas online. En estos casos muchas veces se almacena datos sensibles de los usuarios, como su dirección postal o su tarjeta de crédito. Estos factores convierten la privacidad en un factor crítico.

Por eso es bueno comprobar antes de comprar o utilizar un servicio bancario si el sitio web utiliza SSL/TLS, o sea, HTTPS, antes de introducir datos sensibles.

¿Es difícil de configurar?

Por lo que se sabe, SSL/TLS es difícil de implementar, sobre todo en sitio web grandes. Las organizaciones conocidas como Autoridades Certificadoras venden diferentes tipos de certificados digitales utilizados para autenticar sitios web. Dependiendo del tipo de certificado, la Autoridad Certificadora verificará que la petición de entidad es legítima para proteger contra los sitios fraudulentos. Pero los certificados pueden ser caros, y los críticos comentan que los costes y la complejidad a la hora de implementarlos pueden ahuyentar a muchos de utilizarlos. Los certificados también expiran, así que es importante que los administradores de IT conozcan la fecha de caducidad para saber cuándo toca renovarlos.

Debido a esto existen personas que critican el impulso de HTTPS, no porque estén en contra de las conexiones cifradas y la protección de la privacidad, sino porque el aumento de los costes que supone la utilización de SSL/TLS podría provocar la desaparición muchos sitios web que siguen en pie con la intención de que se mantenga como un medio barato, ya sea porque fueron creados como un hobby o bien por ser el sitio web “plano” y sencillo de una pequeña empresa que no dispone de un gran presupuesto para su mantenimiento.

Con el fin de subsanar el problema de los costes añadidos por la utilización de SSL/TLS, el año pasado nació la iniciativa Let’s Encrypt, destinada a ofrecer cifrados gratuitos para las webs y que cuenta con el apoyo de distintas entidades relevantes en la computación, como Mozilla Foundation, The Linux Foundation y Cisco.

¿Hay debilidades?

Como toda creación humana, SSL/TLS tiene fallos, y cada año se descubren muchos fallos que comprometen el cifrado ofrecido por las librerías de criptografía, destacando aquí Heartbleed, que afectó a OpenSSL.

Las Autoridades Certificadoras también son ocasionalmente víctimas de un ataque hacker, pudiendo los atacantes crear versiones ilegítimas de los certificados para realizar ataques de phishing. Entre las empresas certificadoras más destacadas tenemos a Comodo y Verisign, siendo esta última la encargada de crear el certificado utilizado por Windows para validarse a través de Secure Boot.

¿Qué se está haciendo con los problemas?

Los bugs en SSL/TLS, así como en el software que los emplea, son parcheados en el mismo momento de ser descubiertos, aunque puede haber problemas que se resisten como el mencionado Heartbleed, cuya complejidad requiere de más tiempo de trabajo. Tampoco existen reemplazos realmente viables para todo el sistema cuando se llega a ese extremo.

Cambiarlo todo requeriría de un acuerdo entre toda la industria, algo poco probable a corto plazo. Por ahora la protección a través de claves privadas SSL/TLS es probablemente la tarea más importante, algo que puede ser reforzado con la utilización de módulos de hardware de seguridad para la gestión de las claves digitales.