SSL/TLS - Cómo HTTPS cifra tu conexión
Lectura de 2 min aprox.
SSL/TLS (Secure Sockets Layer / Transport Layer Security) es un protocolo que cifra la comunicación a través de internet. Cifra los datos entre los navegadores web y los servidores, evitando la interceptación y la manipulación por parte de terceros. Hoy en día, TLS, el sucesor de SSL, es el estándar, pero por convención ambos se denominan conjuntamente SSL/TLS. La «S» de HTTPS se refiere a esta tecnología.
Antecedentes históricos
SSL fue desarrollado por Netscape Communications en 1994. Tras SSL 2.0 (1995) y SSL 3.0 (1996), el IETF estandarizó TLS 1.0 en 1999. Se descubrieron vulnerabilidades graves como el ataque POODLE en SSL 3.0, y su uso está ahora prohibido. TLS 1.2 (2008) fue el estándar durante mucho tiempo, pero en 2018 se finalizó TLS 1.3, logrando handshakes más rápidos y una seguridad más sólida. Cuando Google anunció en 2014 que incluiría HTTPS como factor de posicionamiento, la migración de los sitios web a HTTPS se aceleró rápidamente, y a fecha de 2025 más del 95% del tráfico web está cifrado con HTTPS. Los principales navegadores han finalizado por completo el soporte de TLS 1.0 y 1.1, y la migración a TLS 1.3 se ha convertido en el estándar.
Cómo funciona SSL/TLS
En el handshake de TLS, el servidor presenta primero un certificado digital para probar su identidad. A continuación, el cliente y el servidor intercambian de forma segura una clave criptográfica compartida y cifran toda la comunicación posterior con criptografía simétrica. En TLS 1.3, el handshake se simplifica a 1-RTT (un solo ida y vuelta), mejorando tanto la velocidad de conexión como la seguridad.libros sobre el protocolo SSL/TLS (Amazon) te ayudarán a aprender los detalles técnicos.
Casos de uso reales
«Los resultados del escaneo de SSL Labs revelaron tres servidores que todavía tienen TLS 1.0 y 1.1 habilitados. Este mes planeamos estandarizar en TLS 1.2 o superior y revisar también las suites de cifrado.»
Flujo del handshake de TLS
Consideraciones prácticas
SSL/TLS protege la ruta de comunicación cuando se transmiten las contraseñas. Al introducir una contraseña en un formulario de inicio de sesión, confirma siempre que la conexión sea HTTPS. Un error común en la práctica es pasar por alto la caducidad de los certificados. La difusión de Let's Encrypt ha permitido obtener certificados de forma gratuita, pero si descuidas la configuración de la renovación automática, el sitio puede mostrarse de repente como «no seguro». Además, los servidores que mantienen habilitadas versiones antiguas de TLS (1.0, 1.1) conllevan un riesgo de vulnerabilidades. Por muy fuerte que sea la contraseña que configures, existe el riesgo de interceptación en comunicaciones sin cifrar, por lo que es importante adquirir el hábito de confirmar que el icono del candado aparece en la barra de direcciones del navegador.libros sobre seguridad web (Amazon) también son una referencia útil.
¿Te resultó útil este artículo?