Tanto SSL como TLS son protocolos criptográficos utilizados para asegurar las comunicaciones, normalmente entre un servidor y un cliente. SSL en su versión 3.0 es actualmente el estándar de facto en cuanto a la securización de las comunicaciones. Sin embargo, TLS supone una evolución de SSL que pretende no caer en los mismos fallos de seguridad.

Cuando dos equipos establecen una conexión segura con estos protocolos, se negocia la versión que van a usar, así como el sistema de cifrado que utilizarán. Es muy importante tener en cuenta que no sólo la versión del protocolo que se use puede tener errores, sinó que además los distintos sistemas de cifrado pueden ser vulnerables a ataques.

En los últimos meses hemos visto cómo han aparecido muchas vulnerabilidades en estos sistemas de seguridad (POODLE, FREAK, BEAST y el famoso Heartbleed), que hacen plantearse si las conexiones “seguras” que realizamos con los servidores son tan seguras como nosotros creemos. ¿Podemos fiarnos de SSL y TLS? ¿Es posible la navegación y conexión segura a través de Internet?

Si observamos esta tabla a modo de resumen, podemos ver como todos los sistemas de cifrado que se usan con SSL 2.0 y 3.0 son considerados inseguros. Esto ha llevado al punto en el que la próxima revisión de PCI, el estándar de seguridad para transacciones con tarjetas de crédito en Internet, considere que estos protocolos no cumplen con su estándar de “criptografía fuerte”, y por tanto, los sitios web o aplicaciones que usen SSL no podrán acceder a esta certificación.

Con TLS 1.0, sin embargo, todo depende de la configuración adicional que se use. Los únicos protocolos que se pueden considerar seguros son TLS 1.1 y TLS 1.2, aunque uno de los mecanismos de negociación de TLS 1.1 es rebajarse a actuar como SSL, por lo que realmente el único protocolo ahora mismo seguro es TLS 1.2.

Hasta ahora hemos hablado de la seguridad en las comunicaciones refiriéndonos a los servidores, pero hay que tener en cuenta que los clientes también pueden ser vulnerables a estos ataques. Por este motivo, aunque nos conectemos a un servidor bien configurado, nada es seguro si nuestro navegador o sistema operativo no está preparado contra estas vulnerabilidades. Aquí la única opción es mantener nuestro equipo actualizado con las últimas versiones y parches proporcionados por el fabricante.

Las versiones más nuevas de los navegadores web más populares utilizan TLS 1.2 por defecto, por lo que la navegación debería ser segura, al menos mientras no se descubra ninguna vulnerabilidad de este protocolo.