Si tiene un certificado SSL instalado en su sitio, es posible que se haya preguntado si son tan infalibles como parecen. Por ejemplo, ¿se puede piratear un SSL? La respuesta corta es que, si bien es técnicamente posible piratear un SSL, la probabilidad de que esto suceda es increíblemente escasa.
En este artículo, analizaremos por qué los certificados SSL son increíblemente difíciles de comprometer y cómo, cuando alguien piensa que su SSL ha sido pirateado, lo más probable es que se deba a otro problema. Después de eso, cubriremos brevemente las formas en que puede fortalecer la efectividad de su certificado SSL para mayor tranquilidad.
Primero, abordemos un malentendido común sobre los certificados SSL.
Los certificados SSL no protegen su sitio contra ataques
Los certificados SSL permiten conexiones cifradas entre un cliente y un servidor web a través del protocolo de seguridad de la capa de transporte (TLS). En términos cotidianos, un cliente es un navegador web y un servidor web es un lugar donde se aloja un sitio web. Un SSL garantiza que cualquier comunicación enviada a través de esta conexión solo pueda ser leída por el remitente y el destinatario. Nadie puede interceptar un mensaje mientras se transmite a través de una conexión cifrada.
Ése es el alcance de las capacidades de un certificado SSL. Protege las comunicaciones, manteniéndolas privadas de miradas indiscretas. No protege su sitio web contra ataques. Si bien los certificados SSL son una parte increíblemente importante de la seguridad de un sitio web, son solo un elemento. No puede simplemente instalar un certificado SSL y dejarlo todo, esperando que su sitio web sea completamente seguro.
Piénselo de esta manera, si tuviera una casa con varias puertas exteriores, sería una tontería cerrar solo una de ellas y pensar que está protegido de todo tipo de intrusos y visitantes no deseados. Al tener un SSL, simplemente está cerrando la puerta de su sitio web que protege las comunicaciones entre su sitio y el navegador web del visitante. Para proteger completamente su sitio, hay muchas otras puertas que deben cerrarse, como protección contra malware y virus, así como higiene de contraseñas.
Para más información, .
La piratería de un SSL
Ahora que hemos cubierto lo que realmente hace un SSL, hablemos de la probabilidad de que un SSL sea pirateado. Mencionamos anteriormente que no es imposible, pero las posibilidades son muy, muy pequeñas. Una sola persona no podría hacerlo por sí sola. Incluso con la ayuda de la supercomputadora más potente, se necesitaría una cantidad insondable de años.
Para explicar por qué tendremos que ser un poco técnicos y explicar cómo funcionan el cifrado y descifrado más allá de simplemente hacer que los datos sean ilegibles. Específicamente, cómo los certificados SSL actuales que utilizan el protocolo TLS hacen que la información sea ilegible mediante el uso de claves y cifrado de 256 bits.
Primero, hablemos de cómo funciona el cifrado en sus términos más básicos. Una clave de cifrado clásica sustituye las letras del alfabeto por letras alternativas. Un buen ejemplo de esto es el primero de ellos: el cifrado César, acertadamente llamado así en honor a Julio César, quien lo usó él mismo en correspondencia privada.
Funciona reemplazando cada letra del texto sin formato con una letra en un número determinado de posiciones en el alfabeto. Este número dado es la clave para desbloquear el código. Por ejemplo, si la clave es tres, cada letra del alfabeto se adelantaría tres. Entonces A sería reemplazada por D, B por E y C por F.
Si alguien quisiera enviar una carta a un amigo y quisiera asegurarse de que nadie más pudiera leerla, podría codificar el texto normal de la carta en texto cifrado (texto cifrado) utilizando un cifrado y una clave, como la que mencionamos anteriormente. . El destinatario de la carta, que también tiene el mismo cifrado y clave, puede descifrar la carta una vez que la reciba. El cifrado y la clave deben mantenerse en secreto para todos, excepto para el remitente y el destinatario, para que el mensaje permanezca verdaderamente cifrado.
El cifrado moderno funciona en gran medida según el mismo principio, pero a una escala mucho mayor. Con TLS 1.3, los mensajes digitales enviados entre un navegador y un servidor web se cifran y descifran utilizando una clave privada de 256 bits. 256 bits se refieren a la longitud y fuerza de una clave. Para descifrar una clave privada por fuerza bruta, necesitaría encontrar hasta 2×256 combinaciones de números diferentes. Eso es alrededor de 115 mil billones de combinaciones posibles. Son muchas combinaciones.
Entonces, ¿qué tan difícil sería para los humanos comunes entenderlo? Casi imposible. Podrías tener más posibilidades si fueras una supercomputadora a la que le sobraran millones de años. Algunas personas piensan que algún día podrían tener una oportunidad de luchar, pero los que están disponibles actualmente aún no tienen la capacidad.
Entonces, considerando todo, que alguien piratee su certificado SSL no es algo de lo que deba preocuparse.
Cómo fortalecer su SSL
Si bien es poco probable que su certificado SSL sea pirateado, existen otras formas en que un SSL puede verse comprometido. Asegúrese de que su SSL tenga posibilidades de luchar haciendo lo siguiente:
- Protege tu clave privada: Los piratas informáticos ni siquiera necesitarán adivinar nada por fuerza bruta si de alguna manera consiguen su clave privada. Si sospecha que su clave privada se ha visto comprometida, asegúrese de volver a emitir su SSL lo antes posible.
- Deshabilitar versiones anteriores del protocolo TLS: Un certificado SSL es tan sólido como la configuración del servidor de su sitio web. Asegúrese de que su configuración sea compatible con TLS 1.2 y 1.3 y desactive las versiones anteriores que podrían dejarlo vulnerable. Puede comprobar su configuración utilizando el archivo .
- Manténgase al tanto de las renovaciones de SSL: Si su certificado SSL caduca antes de que tenga la oportunidad de renovarlo y reemplazarlo, su sitio web podría quedar temporalmente vulnerable a ataques de intermediario. Esté atento a la fecha de vencimiento de su SSL y asegúrese de comenzar el proceso de renovación con varios días de anticipación.
Envolver
Con suerte, terminará este artículo con una mejor idea de cómo funcionan los certificados SSL y el alcance de sus capacidades. Aunque un SSL es casi imposible de piratear, es esencial tomar las medidas necesarias para garantizar que el suyo no se vea comprometido en el futuro. Y recuerde: nunca dependa de un SSL para atender cualquier necesidad de seguridad web más allá de la creación de conexiones cifradas.
Si ha estado pensando en obtener un SSL para su sitio web, .
Facebook Comments
Disqus