Seguridad | Noticias | 22 MAR 2016

Cinco cosas que hay que saber de SSL

La seguridad en Internet es fundamental y, en gran medida, pasa por cifrar el tráfico que fluye por la red. Google, Facebook y Microsoft son algunas de las muchas empresas que presionan para extender el uso del cifrado SSL/TLS, aunque resulta difícil y costoso de implementar. ¿Por qué es tan importante SSL?
SSL
Redacción NetworkWorld

¿Qué es SSL /TLS?
Se trata de un protocolo que desarrolló originalmente Netscape en la década de los 90, para garantizar la autenticidad de los sitios Web y permitir el intercambio de datos de forma segura con los usuarios. Para ello, se crea una conexión cifrada utilizando criptografía de clave pública, por lo general indicada por "https" y un candado que aparece en la ventana del navegador.

¿Por qué es importante?
Los datos intercambiados, utilizando sólo http, pueden ser interceptados por los ciberdelincuentes. Los datos se pueden recoger y manipular, lo que supone un claro riesgo de privacidad y seguridad para el usuario. Casi todos los bancos de renombre y los sitios de comercio electrónico más populares ya utilizan SSL/TLS, pero muchos sitios web más pequeños todavía no lo hacen.

¿Es difícil de configurar?
SSL/TLS es conocido por ser complicado y difícil de implementar, especialmente en caso de grandes sitios web. Las conocidas como autoridades de certificación (CA) venden diferentes tipos de certificados digitales para autenticar sitios web. Dependiendo del tipo de certificado, las CA verifican que la entidad solicitante es legítima y se protege frente a los sitios fraudulentos. Sin embargo, los certificados pueden ser caros, y los críticos dicen que su coste y complejidad son excesivos. Los certificados también expiran, y es importante que los administradores de TI sepan cuándo tienen que renovarlos.

¿Tiene debilidades?
Sí, en los últimos años se han detectado numerosos ataques que comprometieron conexiones SSL/TLS, y se han encontrado vulnerabilidades como Heartbleed en Open SSL. También las autoridades de certificación han sufrido ataques, a raíz de los cuales los ciberdelincuentes han creado certificados de sitios web que fueron utilizados para phishing. Pese a ello, no hay reemplazo y el resto de protocolos alternativos son igual de antiguos.

¿Qué se está haciendo para resolver estos problemas?
Un proyecto llamado Let´s Encript, lanzado el año pasado, emite certificados digitales de forma gratuita, como parte de un movimiento para ampliar el uso de la encriptación en la web.
Los fallos en SSL/TLS son parcheados, cuando se descubren nuevos ataques, pero no hay realmente un sustituto viable para un sistema completo. Cambiarlo requeriría un acuerdo de toda la industria y es improbable que llegue pronto. De momento, la tarea más importante ahora es proteger las claves privadas SSL/TLS y hay muchos módulos de hardware de seguridad en el mercado que pueden gestionar de forma segura estas claves.

 

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información