¿En qué se diferencian TLS y SSL?
Seguro que ya se han cruzado en tu camino alguna vez las siglas SSL y TLS, a menudo también combinadas como SSL/TLS. Por ejemplo, seguro que te las has encontrado si alguna vez has tenido que configurar manualmente un cliente de correo electrónico o el alojamiento de un sitio web. Aquí te contamos la diferencia entre los dos protocolos.
- Domina el mercado con nuestra oferta 3x1 en dominios
- Tu dominio protegido con SSL Wildcard gratis
- 1 cuenta de correo electrónico por contrato
Qué significan SSL y TLS
SSL significa Secure Socket Layer; TLS, Transport Layer Security. Ambos son protocolos de cifrado para la capa de transporte de internet. Su función es cifrar el tráfico de datos entre el cliente y el servidor.
Cuando la comunicación tiene lugar en esta capa de transporte cifrada, se añade una “s” al nombre del protocolo: por ejemplo, http pasa a ser https, imap se convierte en imaps. Las siglas SSL también se utilizan para referirse al certificado SSL. Este certificado es necesario para la comunicación de sitios web mediante https, que es el caso de la mayoría de los sitios web actuales.
Encontrarás información detallada sobre TLS en nuestro siguiente artículo.
Diferencias entre SSL y TLS
El SSL se introdujo en 1995. Después de que se descubriera una serie de graves vulnerabilidades de seguridad, se publicó la versión mejorada 2.0, seguida de la versión 3.0 al año siguiente. Más tarde, el IETF (Internet Engineering Task Force, a cargo del desarrollo y mejora de internet) rechazó el SSL 3.0 porque se habían descubierto nuevas vulnerabilidades.
SSL 2.0 y SSL 3.0 se conocen también como SSLv2 y SSLv3.
TLS es el protocolo sucesor de SSL, que se lanzó en 1999 como una versión mejorada de SSL 3.0. Inicialmente, se le conocía como SSL 3.1. La versión actual es TLS 1.3 (desde 2018).
Al principio, el paso de SSL 3.0 a TLS 1.0 fue pequeño. “Las diferencias entre este protocolo (TLS) y SSL 3.0 no son enormes, pero son lo suficientemente significativas como para que TLS 1.0 y SSL 3.0 no sean compatibles” (traducido libremente de RFC 2246). En comparación con SSL 3.0, TLS 1.0 mejoró la seguridad del cifrado y la interoperabilidad de las aplicaciones. La versión TLS 1.2 que se utiliza hoy en día proporciona mayor seguridad contra los ataques de hackers y da a las aplicaciones una flexibilidad mucho mayor en cuanto al cifrado utilizado (cipher suites o suites de cifrado).
Por esto, el TLS actual es más seguro, flexible y eficiente que su antecesor SSL. Sin embargo, como las siglas SSL siguen siendo mucho más conocidas que TLS, muchos proveedores de software de cliente o enrutadores usan el término SSL o alternativamente el doble término SSL/TLS. No obstante, esto se refiere únicamente a la versión actual de TLS, es decir, TLS 1.3.
SSL o TLS, ¿cuál debo usar?
Hoy en día, solo se debe utilizar TLS. SSL 2.0 y SSL 3.0 están desactualizados y ya no se consideran seguros. Lo mismo se aplica a las versiones más antiguas de TLS. Solo se puede utilizar TLS 1.2 bajo ciertas condiciones indicadas en la especificación de TLS 1.3. Sin embargo, debes evitar todos los protocolos SSL (cuyo uso es ahora ilegal) y las versiones 1.0 y 1.1 de TLS (cuyo soporte se eliminará pronto). En un servidor configurado correctamente, estos protocolos anticuados están deshabilitados.
Con esta herramienta de GlobalSign podrás comprobar qué protocolos de cifrado tiene habilitados el servidor de un sitio web específico.