El panorama digital, en constante expansión, exige una comunicación en línea y una protección de datos seguras. Una tecnología que ha desempeñado un papel fundamental en la protección de nuestras transacciones en línea y el intercambio de información son los protocolos SSL/TLS y los certificados digitales que los utilizan. A lo largo de las dos últimas décadas, los certificados SSL han evolucionado y se han adaptado a las crecientes complejidades de la ciberseguridad, convirtiéndose en un componente crucial de la seguridad en línea.
Introducidos a mediados de los noventa, los certificados SSL revolucionaron la forma de transmitir información por Internet. Inicialmente diseñadas para proteger la transmisión de datos confidenciales, como datos de tarjetas de crédito y contraseñas, desde entonces se han convertido en una herramienta esencial para establecer la confianza, la privacidad y el cifrado en las interacciones en línea. Este artículo explora la historia de los certificados SSL, trazando su evolución desde los primeros días hasta sus encarnaciones modernas. También examina los principales hitos que han configurado su desarrollo.
Índice
- Historia de SSL y TLS – Un paseo por la memoria
- Evolución de los certificados SSL a finales de los noventa
- Evolución de los certificados SSL a principios del siglo XXI
- Evolución de los certificados SSL en la última década
- ¿Qué depara el futuro a los certificados SSL?
- Conclusión
Historia de SSL y TLS – Un paseo por la memoria
Cuando John Wainwright, informático afincado en Silicon Valley, encargó el primer libro de Amazon, lo último que podía imaginar es que un edificio llevara su nombre. Pero eso es exactamente lo que el mayor minorista del planeta valora a su primer cliente no empleado.
En un salto gigantesco desde finales de los noventa, cuando la venta minorista en línea estaba aún en pañales, Amazon vende ahora millones de libros al año. Pero lo que Wainwright hizo hace 25 años no habría sido posible sin otra tecnología en segundo plano. Una tecnología tan fundamental para la evolución de Internet y las transacciones en línea que ya ningún sitio web puede vivir sin ella. Hablamos de protocolos criptográficos y certificados SSL/TLS, los elementos de seguridad web que hicieron posible la revolución de Internet.
En la época en que los primeros navegadores popularizaban la World Wide Web, la necesidad de pagos seguros era una preocupación acuciante. En algún lugar de la sede de Netscape, una de las mayores empresas de servicios informáticos de la época, Taher Egmal, criptógrafo egipcio y científico jefe de Netscape, estaba redactando el primer protocolo de Internet Secure Sockets Layer (SSL).
Evolución de los certificados SSL a finales de los noventa
Sin la posibilidad de probarlo en el mundo real, SSL 1.0 fue un completo fracaso. La primera versión, plagada de fallos criptográficos y vulnerabilidades de seguridad, nunca llegó a publicarse. Netscape continuó desarrollando el protocolo SSL y, en febrero de 1995, lanzó SSL 2.0. Se incluía con el navegador Navigator de Netscape y sólo se utilizó durante un año, hasta que hackers y expertos en seguridad volvieron a ponerlo al descubierto.
Al mismo tiempo, Microsoft decidió revisar el protocolo SSL 2 con algunos añadidos propios y lanzó la primera versión del protocolo PCT (Tecnología de Comunicación Privada). Sin embargo, nunca cobró impulso y siguió siendo compatible únicamente con IE e IIS.
Netscape se apresuró a desarrollar SSL 3.0, que por fin aportó un poco de estabilidad y respiro a la Web. No fue hasta 1999 cuando salió a la luz un protocolo TLS (Transport Layer Security) 1.0 aparentemente nuevo. En realidad, TLS era casi idéntico a SSL 3.0, y más un compromiso entre los fieros competidores Netscape y Microsoft, que una desviación de SSL 3.0.
Como recuerda Tim Dierks, el autor de la implementación de referencia de SSL 3.0, Netscape y Microsoft negociaron un acuerdo por el que ambos apoyarían que el IETF (Internet Engineering Task Force) se hiciera cargo del protocolo y lo estandarizara en un proceso abierto.
“Como parte del cambio, tuvimos que hacer algunos cambios en SSL 3.0 (para que no pareciera que el IETF se limitaba a aprobar el protocolo de Netscape), y tuvimos que cambiar el nombre del protocolo (por la misma razón). Así nació TLS 1.0 (que en realidad era SSL 3.1). Y claro, ahora, en retrospectiva, todo parece una tontería”.
El grupo IETF tardó tres años en publicar TLS 1.0. La confusión SSL/TLS continúa hoy en día.
Evolución de los certificados SSL a principios del siglo XXI
En los albores del nuevo milenio, los certificados SSL eran tan escasos como árboles en un desierto. Las autoridades de certificación cobraban cientos de dólares por la validación empresarial, la única opción disponible en aquel momento. Fue toda una inversión para las empresas de comercio electrónico que se sumergían en aguas desconocidas del mundo en línea.
La necesidad de una validación más rápida y sencilla era evidente. En 2002, GeoTrust se convirtió en la primera autoridad de certificación en distribuir certificados con validación de dominio, un paso que acabaría cambiando el panorama SSL para siempre. Más rápidos y baratos, estos certificados podían cifrar cualquier tipo de sitio web y acabaron convirtiéndose en la fuerza motriz de la revolución HTTPS.
Cinco años después, en 2007, otra innovación revolucionó el sector de la SSL. La llegada de los certificados con Extended Validation permitió a las empresas ofrecer garantías razonables a los internautas de que el sitio web al que acceden está realmente controlado por una entidad jurídica. La ahora famosa barra de direcciones verde EV ayudó a las empresas a identificarse mejor ante los clientes y dificultó los ataques de phishing mediante certificados SSL.
Mientras tanto, el IETF publicó TLS 1.1 en 2006 para hacer frente al ataque BEAST, y luego TLS 1.2 en 2008, con el cifrado autenticado (AEAD) como principal novedad. Aunque se trata de un avance significativo en la criptografía en línea, los principales navegadores y servidores tardarían años en habilitarlo. Chrome añadió compatibilidad con TLS 1.2 en agosto de 2013. Para entonces, el IEFT ya había empezado a redactar el protocolo TLS 1.3.
Con la rápida evolución de la web y el número de ciberataques a su ritmo, la necesidad de un cifrado a gran escala parecía el paso lógico hacia una Internet más segura. Entra Google, posiblemente el mayor defensor de la transición a HTTPS.
Evolución de los certificados SSL en la última década
En 2014 la historia del SSL dio un giro cuando Google anunció que daría un impulso SEO a todos los sitios web seguros. Y, como en aquella época todo el mundo estaba obsesionado con el SEO, los sitios web que de otro modo ni se acercarían a un certificado SSL, pasaron de HTTP a HTTPS para obtener la más mínima ventaja sobre la competencia. Este movimiento inició el ascenso de HTTPS y una nueva era para el ecosistema SSL/TLS.
Poco después del incentivo de Google, Cloudflare, el popular servicio de red de distribución de contenidos, regaló certificados gratuitos a sus más de dos millones de usuarios.
El año 2015 fue testigo de tres grandes avances en el mundo SSL/TLS. En primer lugar, los certificados expedidos después del 1 de abril vieron reducida su validez de cinco a tres años. La vida útil más corta se esbozó en 2012, en los primeros requisitos básicos para la emisión y gestión de certificados de confianza pública.
Llega Let’s Encrypt, SSL queda obsoleto
Unos meses más tarde, en noviembre, la autoridad de certificación de código abierto Let’s Encrypt puso a disposición de todo el mundo certificados SSL gratuitos con validación de dominio y emisión automatizada. Respaldado por empresas como Google, Facebook y Mozilla, Let’s Encrypt se convirtió rápidamente en una opción popular para sitios web básicos, blogs y carteras en línea.
Ese mismo año, el protocolo SSL fue obsoleto por el IETF, pero pasarían años antes de que los servidores más antiguos lo desactivaran por completo.
En 2016, el cifrado HTTPS alcanzó el 50% en toda la web. Aunque en aquel entonces fue un gran logro, el trabajo se quedó a medias. El objetivo final de Google era proteger toda la Web. Para ello haría falta algo más radical que un pequeño impulso SEO. Y, como siempre, las mentes brillantes de Silicon Valley idearon una solución sencilla pero eficaz.
Los navegadores empiezan a bloquear los contenidos HTTP
Con el lanzamiento de Chrome 68 en 2018, el navegador comenzó a marcar todos los sitios HTTPS no cifrados como no seguros. Mozilla siguió su ejemplo y, de repente, los certificados SSL pasaron de ser un mero incentivo SEO a una necesidad absoluta para todo tipo de sitios web. Cuando los propietarios se apresuraron a proteger sus sitios y evitar la ominosa advertencia, el cifrado HTTPS se disparó hasta el 80% en todo Internet.
Los certificados SSL eran ahora la nueva norma. Un elemento indispensable para la construcción y la seguridad de los sitios web. A partir de aquí, la evolución de HTTPS giraría en una nueva dirección. En su próxima versión, Chrome 69 eliminaría la insignia de seguridad de los sitios web HTTPS, dejando sólo el candado como único indicador.
Esto volvió a consolidar el importante cambio de enfoque de Google hacia los sitios web cifrados. Si en el pasado ofrecía recompensas para fomentar la migración a HTTPS. Ahora ha tomado el camino inverso y ha empezado a penalizar a los sitios no encriptados. La barra verde de validación ampliada sobrevivió, pero pronto su tiempo también llegaría a su fin.
Fecha de lanzamiento de TLS 1.3
En medio de estos cambios críticos, el IETF publicó el esperado protocolo TLS 1.3. Se tardó cinco años en desarrollarla y llegó una década después de la anterior versión TLS 1.2, pero la espera mereció la pena. Lanzado en agosto de 2018, TLS 1.3 eliminó un montón de cifrados y algoritmos antiguos y redujo la velocidad del handshake TLS a la mitad. Al igual que con las versiones anteriores, su adopción sería lenta.
El ajetreado año 2018 fue testigo de otro avance crucial en el panorama SSL. La siempre cambiante validez del SSL se redujo de nuevo, esta vez sólo por dos años. La nueva restricción permitía que los certificados SSL caducaran y se volvieran a emitir con más frecuencia, lo que permitía a las autoridades de certificación controlar mejor el entorno SSL/TLS en general.
Tras el largo paseo por el pasado, por fin hemos llegado a nuestro tiempo actual. En el mundo online, el cifrado HTTPS en la web ha superado la cifra del 95%. El objetivo de Google de proteger toda Internet ya es una realidad.
Cambios en HTTPS después de 2020
Los navegadores siguen normalizando la conexión HTTPS haciéndola más neutral. En su último movimiento, tanto Chrome como Firefox han eliminado el indicador de validación ampliada de sus barras de direcciones y lo han reubicado en el panel de información del certificado. Google llevó a cabo una investigación interna y externa y descubrió que el indicador EV no transmite información sobre la identidad y la seguridad de un sitio web de forma eficaz. Además, ocupa demasiado espacio y puede presentar nombres de empresas confusos. Aun así, la eliminación del indicador EV no es el fin de los certificados con Extended Validation. Su principal ventaja sigue siendo la verificación exhaustiva de la identidad de la empresa.
Mientras tanto, la validez del SSL siguió reduciéndose. Esta vez le ha tocado a Apple acortar por unanimidad el ciclo de los certificados a sólo un año para su navegador Safari. El nuevo cambio entra en vigor el 1 de septiembre. Dado que Safari es el segundo navegador más popular de la web, sus competidores siguieron la decisión de Apple. La validez de un año disminuye aún más la ventana de exposición a los ciberataques al generar nuevas claves con regularidad. Todos estos cambios han vuelto a poner de relieve la naturaleza siempre cambiante de la historia de SSL.
¿Qué depara el futuro a los certificados SSL?
El cifrado universal conlleva una mayor responsabilidad a la hora de proteger los datos sensibles de los usuarios frente a ciberataques persistentes. Aunque los fallos de los protocolos más antiguos se erradicaron en las versiones posteriores, el riesgo de nuevas amenazas a la seguridad seguirá siendo alto mientras Internet siga evolucionando.
Muchos expertos en tecnología financiera han sugerido blockchain como posible sustituto de SSL. En términos sencillos, una cadena de bloques es una estructura de base de datos que almacena información en lotes denominados bloques, enlazados secuencialmente para formar una cadena de bloques. Cada cadena es un libro de contabilidad público donde las transacciones se registran y confirman de forma anónima. Uno de los ejemplos más famosos de blockchain es la criptomoneda Bitcoin. Pero, ¿cómo puede Blockchain mejorar el cifrado web?
Para empezar, puede ser utilizado por partes individuales para generar claves criptográficas únicas que puedan verificar la información y proporcionar una comunicación segura. Ya existen en el mercado varios certificados SSL basados en blockchain. Estos certificados eliminan a las autoridades de certificación (factor humano) de las transacciones digitales, garantizando una autenticación más sólida.
Uno de estos sistemas es Remme. El protocolo de Infraestructura de Clave Pública distribuida asigna certificados SSL a dispositivos individuales, como teléfonos inteligentes o PC, y almacena la información del certificado en una base de datos segura habilitada para blockchain.
Aunque blockchain se promociona como el mejor sustituto de SSL, sacar a las CA de la ecuación puede generar el efecto contrario. La tecnología aún está en pañales, y hasta que los desarrolladores puedan demostrar su eficacia y estabilidad a la hora de proporcionar confianza descentralizada, las muy reguladas autoridades de certificación seguirán verificando la legitimidad de los propietarios de certificados.
Como dice el refrán, si no está roto, no lo arregles. Esto no quiere decir que las CA no hayan tenido sus problemas y pruebas, pero su progreso ininterrumpido ha transformado el sector SSL en un lugar mucho más seguro. En la actualidad, las principales CA ofrecen una amplia gama de opciones de gestión y automatización de certificados, que ayudan a las empresas a gestionar eficazmente miles de ciclos de certificados.
Tanto los navegadores como las CA confían tanto en el historial de seguridad SSL que Google pretende eliminar el icono del candado, el último indicador superviviente de un sitio web seguro. Hasta ahora, todas las intenciones de Google se han hecho realidad. El fin del candado SSL marcará la revolución HTTPS como un éxito y un capítulo importante en la joven historia de Internet.
Conclusión
Han pasado casi tres décadas desde la llegada del primer protocolo SSL. Internet ha avanzado mucho desde los primeros días de los navegadores, hasta el punto de que es un entorno completamente distinto. La encriptación de la web es ahora omnipresente. Los protocolos SSL y TLS más antiguos han quedado obsoletos, dejando paso a la versión más reciente TLS 1.3.
La historia de SSL nos ha enseñado la importancia del cifrado, la autenticación, la adaptabilidad, las normas del sector, la facilidad de uso, la accesibilidad y la naturaleza permanente de la seguridad. Estas lecciones aportan valiosas ideas en nuestro esfuerzo por crear un mundo digital más seguro para las personas, las empresas y las organizaciones de todo el mundo.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10
