SSL frente a TLS. ¿Cuál es la diferencia entre los certificados SSL y TLS?

Última actualización por Dionisie Gitlan
ssl-vs-tls-certificates

SSL y TLS son acrónimos intercambiables cuando se ponen junto al término “certificado”, pero fundamentalmente son protocolos criptográficos diferentes diseñados para realizar la misma tarea. En esta guía definitiva de SSL frente a TLS, analizaremos en detalle cada protocolo y sus características distintivas para que conozca la diferencia entre SSL y TLS.

Antes de profundizar en los aspectos técnicos de SSL y TLS, echemos un vistazo a todo el sector SSL y veamos por qué desempeña un papel crucial en la seguridad web actual.

Índice

  1. ¿Qué son los certificados SSL/TLS?
  2. Breve historia de los certificados SSL/TLS
  3. ¿Cuál es la diferencia entre los certificados SSL y TLS?
  4. ¿Cuál es la diferencia entre el cifrado SSL y TLS?
  5. ¿Qué es más seguro, SSL o TLS?
  6. Si SSL es ahora TLS, ¿por qué no los llamamos certificados TLS?
  7. Reflexiones finales

¿Qué son los certificados SSL/TLS?

Un certificado SSL/TLS es un pequeño archivo digital que protege los datos confidenciales en tránsito entre dos aplicaciones informáticas a través de una red. Y, dado que Internet es la mayor red informática, los certificados SSL son un elemento esencial de cualquier sitio web.

Por defecto, toda la información que los usuarios comparten con un sitio web viaja en texto plano desde el navegador al servidor web a través de HTTP (Protocolo de Transferencia de Hipertexto). Este protocolo cliente-servidor es vulnerable a las ciberamenazas, sobre todo a los ataques de intermediario que pueden interceptar y robar datos confidenciales, como números de tarjetas de crédito. Para evitarlo, los informáticos inventaron los protocolos SSL y TLS, que siguen los certificados digitales. Así es como funciona todo en la práctica:

Supongamos que tiene una tienda online que vende cristales. Cuando los clientes llegan a la página de pago, rellenan los datos de pago y pulsan el botón de compra. Ahora, toda su información va directamente de su navegador a tu servidor. Si el protocolo HTTPS está activado, para un posible pirata informático los datos parecerán una cadena de caracteres aleatorios en lugar de los nombres, direcciones y números de tarjeta de crédito reales.

Romper el cifrado SSL/TLS está más allá de las capacidades humanas. Por eso los certificados SSL son ahora obligatorios para todos los sitios. Sin uno, los navegadores marcarán las conexiones como no seguras. Y lo que es peor, el sitio no aparecerá en las páginas de resultados de los motores de búsqueda.

¿Cómo se obtiene un certificado SSL? Lo obtiene de una Autoridad de Certificación, una entidad externa que valida la propiedad del dominio y, si es necesario, el estatus legal de la empresa. A continuación, instale/cargue los archivos del certificado en el servidor de su sitio web y active el protocolo seguro HTTPS. ¡Eso es! Su sitio web es seguro y los datos de los usuarios están a salvo.

Breve historia de los certificados SSL/TLS

Los años 90 nos dieron los primeros sitios web y navegadores y la primera transacción minorista segura a través de la Web. Pero, como suele ocurrir con los primeros lanzamientos, la versión inicial de SSL (Secure Sockets Layer) estaba repleta de vulnerabilidades. Era tan débil que nunca salió a la luz.

En 1995, Netscape lanzó SSL 2.0 para uso general y, un año después, el protocolo SSL 3.0 mejorado. No contento con el rendimiento de la seguridad, Netscape unió fuerzas con su competidor Microsoft en 1999 y desarrolló un nuevo protocolo criptográfico llamado TLS (Transport Layer Security).

TLS 1.0 era casi idéntico a SSL 3.0, pero con cada nueva versión se volvía más seguro. TLS 1.2 pronto cumplirá 15 años, pero su uso sigue estando muy extendido. La última versión TLS 1.3 es la que ofrece más mejoras y la que se está implantando progresivamente en toda la Web.

Ahora que hemos cubierto brevemente la historia de SSL y TLS, veamos cuáles son sus similitudes y diferencias.

¿Cuál es la diferencia entre los certificados SSL y TLS?

Para el usuario medio, SSL o TLS no significan gran cosa. Mientras el icono del candado aparezca junto a la URL de un sitio web, utilizarlo es seguro. Tampoco debe preocuparse por los certificados SSL frente a TLS a la hora de comprar uno. Es importante distinguir entre certificados y protocolos.

Los certificados son los archivos digitales que autentican la identidad de su servidor para que los navegadores puedan establecer una conexión segura mediante protocolos criptográficos. Estos protocolos de comunicación permiten a dos partes intercambiar datos con privacidad e integridad.

Hoy en día, la mayoría de los sitios son compatibles con los protocolos TLS 1.2 y TLS 1.3, mientras que las versiones SSL ya no se utilizan. Técnicamente, todo el mundo utiliza certificados TLS, independientemente de cómo los llamemos. Por tanto, cuando nos referimos estrictamente a certificados, no hay diferencia entre SSL y TLS en 2023. En cuanto a los protocolos, con cada nueva versión de TLS, el predecesor de SSL quedaba obsoleto.

¿Cuál es la diferencia entre el cifrado SSL y TLS?

Cuando comparamos SSL frente a TLS, el cifrado es sólo una parte del apretón de manos entre un cliente y un servidor. SSL 2.0 sólo utilizaba el intercambio de claves RSA (Rivest Shamir Adleman), mientras que SSL 3.0 y las versiones TLS también admiten el de Diffie-Hellman (DH). TLS 1.2 introdujo la compatibilidad con la criptografía de curva elíptica, mientras que en TLS 1.3 se ha eliminado RSA.

Todas estas técnicas de cifrado utilizan algoritmos complejos llamados conjuntos de cifrado para convertir el mensaje original en texto cifrado, pero tienen algo en común: la criptografía de clave pública.

La criptografía de clave pública o asimétrica utiliza claves diferentes para cifrar y descifrar datos. Así es como funciona:

Supongamos que Juan quiere enviar un mensaje secreto a Juana. Jane tiene una clave pública y otra privada, por lo que guarda su clave privada en un lugar seguro y envía su clave pública a John. John encripta el mensaje secreto utilizando la clave pública de Jane. Jane puede descifrarlo después con su clave privada. Pero, ¿y si Tom se hace pasar por Jane? ¿Cómo confiará John en Jane? Introducir firmas digitales y Autoridades de Certificación (CAs).

Los certificados SSL/TLS están firmados digitalmente por una CA que crea la firma utilizando su clave privada y proporciona identificación para el portador, en nuestro caso, Jane.

Como puede ver, tanto el protocolo SSL como el TLS intentan conseguir lo mismo, pero con cada nueva versión de TLS, el enfoque y los avances en seguridad difieren mucho de las primeras versiones de SSL.

TLS, por ejemplo, utiliza menos suites de cifrado, pero más eficientes, que no dejan lugar a la piratería informática. Las suites de cifrado proporcionan Perfect Forward Secrecy (PFS) y aceptan cualquier longitud de clave. Por otro lado, SSL sólo admite un conjunto de cifrado con PFS, que utiliza una clave RSA de 1024 bits.

Podría decirse que la mayor diferencia entre SSL y TLS es la autenticación de mensajes. SSL emplea códigos de autenticación de mensajes (MAC) para garantizar la integridad de los mensajes durante la transmisión. TLS no utiliza MAC, sino que se basa en el cifrado para evitar la manipulación.

¿Qué es más seguro, SSL o TLS?

A medida que Internet evolucionaba y las ciberamenazas se hacían más frecuentes, los antiguos protocolos SSL eran demasiado débiles para hacer frente a la avalancha de ataques. La primera versión de SSL ni siquiera se puso en marcha, y la siguiente tampoco era un producto acabado. SSL 3.0 vino a corregir los fallos de su predecesora, mientras que las dos primeras versiones de TLS sólo aportaron cambios menores.

Con la llegada de TLS 1.2 se introdujeron mejoras significativas, mientras que TLS 1.3 las llevó a un nuevo nivel, redefiniendo algunos de los conceptos básicos. Hoy en día, los protocolos SSL están obsoletos y ya no son compatibles con la mayoría de servidores y clientes. Es posible que todavía encuentre SSL activado en algunas plataformas heredadas, pero Internet ha pasado a TLS 1.2 y 1.3.

Vulnerabilidades SSL y POODLE

En 2014, un equipo de especialistas en seguridad empleados por Google detectó un problema crítico en SSL y lo denominó POODLE (Padding Oracle On Downgraded Legacy Encryption). Este descubrimiento provocó una transición masiva de SSL a TLS.

En pocas palabras, POODLE aprovecha las fallbacks de SSL 3.0. Los atacantes abusan del protocolo SSL y lo utilizan para descifrar partes del contenido. Al realizar un número significativo de ataques, los hackers pudieron revelar algunos fragmentos de la conexión entre el cliente y el servidor y acceder a la información. Cualquier sistema que soporte SSL 3.0 puede ser violado utilizando el método POODLE.

En 2002, mucho antes de la vulnerabilidad POODLE, salieron a la luz otras brechas SSL como BREAST o BREACH. Hasta 2011 no se demostró que estos ataques eran un problema real. Microsoft, Apple y otras empresas de navegadores colaboraron para erradicarlos. Finalmente, todos estos fallos de seguridad fueron la razón por la que SSL fue sustituido por TLS.

Por aquel entonces, la solución más rápida para cualquier vulnerabilidad SSL era desactivar el protocolo desde el lado del servidor y utilizar únicamente la versión segura TLS 1.2. Hoy en día, muchos usuarios siguen preguntándose qué es mejor, ¿SLT o TLS? La respuesta es obvia, y es la misma desde hace más de una década. TLS es el protocolo más estable, con funciones de seguridad avanzadas capaces de hacer frente a las ciberamenazas modernas. SSL es el pasado, mientras que TLS es el presente y el futuro.

Si SSL es ahora TLS, ¿por qué no los llamamos certificados TLS?

La diferencia entre SSL y TLS se hace más significativa a medida que pasan los años y las nuevas versiones de TLS adoptan tecnologías de cifrado de gama alta. Cuando surgió TLS como alternativa a SSL, trajo consigo pequeños cambios y algunos servidores no lo soportaban. Para evitar confusiones técnicas, todo el mundo siguió utilizando las antiguas siglas SSL para las conexiones a través del protocolo SSL 3.0.

Durante el apogeo de las vulnerabilidades SSL, los hackers se divirtieron degradando el protocolo TLS a SSL 3.0 a través del ya mencionado ataque POODLE. Cansados de sus constantes fallos, los reguladores del sector eliminaron el protocolo SSL, pero mantuvieron el nombre con fines comerciales.

Dado que el público en general está familiarizado con el término SSL, las principales autoridades de certificación, como DigiCert, GeoTrust, RapidSSL, Thawte y Sectigo, lo utilizan en todos sus productos.

¿Nos libraremos algún día de las siglas SSL y utilizaremos exclusivamente TLS? Teniendo en cuenta que hace ya ocho años que SSL 3.0 pasó a la historia, y que no hay indicios de que las CA vayan a eliminar el nombre SSL, la antigua abreviatura de tres letras seguirá vigente en el futuro inmediato.

Reflexiones finales

La pregunta SSL frente a TLS estará en la mente de todos los usuarios cuando conozcan por primera vez los certificados SSL y el cifrado de datos confidenciales. Ambos protocolos criptográficos resuelven el mismo problema, pero como suele ocurrir con la tecnología, las versiones iniciales contienen deficiencias que sólo las alternativas futuras podrán superar.

El protocolo SSL ha allanado el camino para una opción TLS mejor, más rápida y más fiable. Y esa es la principal diferencia entre SSL y TLS. Con cada nueva versión de TLS, las similitudes disminuyen y divergen. Para resumir todo el artículo en una frase: Todos los certificados SSL son ahora certificados TLS con las antiguas siglas adjuntas para mayor claridad y facilidad de uso.

Preguntas frecuentes

¿Es TLS mejor que SSL?

Sí, TLS es mejor que SSL en todos los aspectos, desde la seguridad y la fuerza de cifrado hasta la velocidad del apretón de manos, TLS es el claro ganador. La última versión de TLS 1.3 mejora aún más la seguridad al eliminar cifrados y algoritmos obsoletos.

Normalmente, el handshake requería varias idas y vueltas para intercambiar las claves y autenticar al servidor, lo que añadía latencia a las conexiones. TLS 1.2 lo ralentizó, mientras que TLS 1.3 lo refinó a un solo viaje de ida y vuelta. La nueva función de reanudación con tiempo de ida y vuelta cero (0-RTT ) hace que la conexión sea casi instantánea cuando un usuario vuelve a visitar su sitio en poco tiempo.

Copiar enlace

¿Cómo determinar si un servidor utiliza SSL o TLS?

La mayoría de los servidores y clientes de correo electrónico modernos admiten TLS 1.2 o TLS 1.3. Sólo los servidores heredados y los sistemas antiguos pueden permitir la ejecución de protocolos SSL obsoletos. A continuación se explica cómo identificar qué protocolo está activado en los sistemas Windows y Linux.

Windows

WindowsMicrosoft habilitó TLS 1.3 en las últimas versiones de Windows 10 a partir de la versión 20170.

Siga los pasos que se indican a continuación:

  • Pulsa la tecla de Windows + R para iniciar Ejecutar, escribe regedit y pulsa Intro.
  • Vaya a la siguiente clave y compruébelo. Si está presente, el valor debe ser 0:
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2ClientDisabledByDefault
  • A continuación, compruebe la siguiente clave. Si lo encuentra, su valor debe ser 1:
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2ClientEnabled
  • Si ninguna de las claves está presente o si sus valores son incorrectos, entonces TLS 1.2 no está habilitadoLinuxLa forma más fácil y rápida de comprobar la versión TLS en varios servidores Linux es con un comando Open SSL: $ openssl s_client -connect {domain}:443 -servername {domain} -tls{version}

Linux

La forma más fácil y rápida de comprobar la versión TLS en varios servidores Linux es con un comando Open SSL:

$ openssl s_client -connect {domain}:443 -servername {domain} -tls{version}

Copiar enlace

¿Cómo saber si un sitio web utiliza SSL o TLS?

Puede comprobar el estado TLS de cualquier sitio web con una herramienta externa como SSL Labs. También le proporcionará información detallada sobre el certificado SSL.

Copiar enlace

¿Utiliza HTTPS SSL o TLS?

HTTPS utiliza TLS 1.2 y TLS 1.3. Se trata de los protocolos más seguros y fiables que satisfacen las necesidades actuales de seguridad en línea. Los protocolos SSL han quedado obsoletos y ya no se utilizan.

Copiar enlace

¿Necesito tanto SSL como TLS?

Necesita un certificado SSL/TLS para cifrar los datos confidenciales y seguir las directrices de seguridad más recientes. Sin un certificado SSL/TLS, su sitio web no será accesible a los visitantes. En su lugar, recibirán una advertencia de seguridad. Todos los certificados SSL utilizan el protocolo TLS, mientras que SSL ha quedado obsoleto. TLS es el medio estándar para realizar el cifrado.

Copiar enlace

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

¡Ahorra un 10% ahora!
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.

Entradas relacionadas
What is new in TLS 1.3
Novedades de TLS 1.3 Una visión rápida
Public Key Infrastructure (PKI)
¿Qué es la PKI (infraestructura de clave pública) y cómo funciona?
SSL Stats
12 estadísticas sobre SSL que debe conocer en 2024
History of SSL Certificates
Historia de SSL: De la creación al triunfo evolutivo
TLS Handshake
Explicación del protocolo TLS Handshake: Protocolos, procesos y normas de cifrado