Si tiene un sitio web, probablemente tenga un certificado SSL (si no lo tiene, asegúrese de tenerlo). Probablemente sepas lo que hace un SSL en un sentido amplio. Al utilizar el protocolo TLS (Transport Layer Security), los certificados SSL garantizan que la conexión entre su sitio y el navegador de un usuario sea segura y no pueda ser comprometida por ningún tercero. Esto se conoce como cifrado. Es menos probable que sepa qué sucede detrás de escena cuando un certificado SSL crea esta conexión.
Es por eso que hoy nos centraremos en un aspecto clave del proceso de cifrado: los conjuntos de cifrado. Al final de este artículo, debería tener una mejor idea de cómo funcionan los certificados SSL en relación con los cifrados y los conjuntos de cifrado.
¡Siga leyendo para obtener más información!
¿Qué es un conjunto de cifrado?
Antes de sumergirnos en los conjuntos de cifrado, deberíamos tomarnos un momento para explicar qué es un cifrado. En criptografía, un cifrado es un algoritmo que establece los principios generales para proteger una red a través de TLS (el protocolo de seguridad utilizado por los certificados SSL modernos). Un conjunto de cifrado comprende varios cifrados que funcionan juntos, cada uno con una función criptográfica diferente, como generación de claves y autenticación.
Si bien los actos de cifrado y descifrado en sí se realizan mediante claves, los conjuntos de cifrado describen el conjunto de pasos que las claves deben seguir para hacerlo y el orden en que se ejecutan estos pasos. Existen numerosos conjuntos de cifrado, cada uno con diferentes instrucciones sobre el proceso de cifrado y descifrado. Los conjuntos de cifrado utilizados están dictados por la versión de TLS configurada en su servidor (hablaremos más sobre eso en un momento).
Entonces, ¿cómo se ve exactamente un conjunto de cifrado en acción? Como ya sabrá, cuando alguien visita un sitio web con SSL, su navegador se conectará al servidor donde está alojado el sitio web para formar una conexión cifrada. Esta conexión se negocia mediante un proceso conocido como protocolo de enlace SSL. Los conjuntos de cifrado desempeñan un papel integral en el proceso de protocolo de enlace.
Conjuntos de cifrado y protocolo de enlace SSL/TLS
No profundizaremos demasiado en los detalles más finos del protocolo de enlace TLS, ya que es un proceso técnico muy complicado. En los términos más simples, es una serie de mensajes intercambiados entre el navegador (cliente) y el sitio web (servidor) donde se autentica la clave pública del servidor y el certificado SSL, culminando con la creación de una clave de sesión, que es lo que cifra la conexión entre el cliente y el servidor.
Los conjuntos de cifrado dictan cómo se desarrolla todo el proceso. El cliente envía al servidor una lista de los conjuntos de cifrado que admite y el servidor elegirá el conjunto de cifrado mutuamente compatible que considere más seguro. Dependiendo de la versión de TLS que se utilice, esto puede suceder antes del protocolo de enlace o en el primer paso.
Una mirada más cercana a lo que constituye un conjunto de cifrado
Como mencionamos anteriormente, un conjunto de cifrado se ve diferente según la versión del protocolo TLS que se esté utilizando. Los estándares actuales son TLS 1.2 y 1.3. Si bien la 1.3 es la versión más nueva y segura, la 1.2 todavía se usa ampliamente. La diferencia entre estas dos versiones es evidente por la cantidad de cifrados que utilizan y la longitud de sus conjuntos de cifrado. Hay 37 cifrados para TLS 1.2, mientras que TLS 1.3 sólo tiene cinco. Eche un vistazo a estos dos ejemplos de conjuntos de cifrado:
- Conjunto de cifrado TLS 1.2: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- Conjunto de cifrado TLS 1.3: TLS_AES_256_GCM_SHA384
Como puede ver, la suite TLS 1.3 es mucho más corta, pero ¿por qué es mejor? Para explicarlo, repasemos lo que significan algunas de esas letras y números.
En TLS 1.2, un conjunto de cifrado se compone de cuatro cifrados:
- Un algoritmo de intercambio de claves: Esto está representado por ECDHE (Curva Elíptica Diffie Hellman) en el ejemplo anterior. Esto describe cómo el cliente y el servidor intercambiarán las claves. Otros algoritmos de intercambio de claves incluyen RSA y DH.
- Un algoritmo de autenticación: Esto está representado por ECDSA (Algoritmo de firma digital de curva elíptica) en el ejemplo anterior. Es una firma digital que muestra el tipo de certificado y ayuda al cliente a verificar que el SSL del sitio web es legítimo. Otros algoritmos de autenticación incluyen RSA y DSA.
- Cifrado de datos masivos: Este cifrado garantiza que los datos se transfieran entre el cliente y el servidor de forma segura. Está representado por AES_256_GCM en el ejemplo anterior.
- Un algoritmo de código de autenticación de mensajes (MAC): Esto está representado por SHA384 en el ejemplo anterior. Este es un algoritmo hash que autentica mensajes y garantiza la integridad de los datos.
En comparación, un conjunto de cifrado TLS 1.3 solo tiene dos cifrados: cifrado de datos masivos y el algoritmo MAC. ¿Cómo es más seguro si usa dos en lugar de cuatro? Esto se debe a que no es necesario mostrar el tipo de algoritmo de intercambio de claves y, por extensión, el algoritmo de autenticación, ya que solo hay un tipo aceptado de algoritmo de intercambio de claves, que es el método efímero Diffie-Hellman.
Esto reduce la cantidad de mensajes intercambiados durante el protocolo de enlace TLS de dos viajes de ida y vuelta en TLS 1.2 a un viaje de ida y vuelta en 1.3, simplificando todo el proceso. Además, los 37 conjuntos de cifrado admitidos por TLS 1.2 pueden variar en calidad, siendo algunos más débiles que otros. Los conjuntos de cifrado TLS 1.3 son más sólidos en comparación. En definitiva, esto se traduce en una latencia reducida y conexiones más rápidas y seguras.
¿Puedes elegir tus conjuntos de cifrado preferidos?
Sí tu puedes. Para hacer esto, necesitará tener acceso a la configuración de su servidor. Contrariamente a la creencia común, la versión de TLS utilizada no la dicta el certificado SSL que utilice, sino la configuración de su servidor. Los conjuntos de cifrado que puede elegir dependen de la versión de TLS que esté habilitada en su servidor. Puede verificar qué protocolo TLS y conjuntos de cifrado son compatibles con su servidor usando .
Puede cambiar sus conjuntos de cifrado con la ayuda de esto. Muestra plantillas de configuraciones de servidor que te ayudarán a editar más fácilmente la configuración del Host Virtual de tu dominio. Sólo necesitas elegir tu servidor de la lista de opciones y el nivel de seguridad que deseas (moderno, intermedio o antiguo). Se le dará un ejemplo de la configuración del Host virtual que puede usar para editar las configuraciones.
Envolver
Si bien esta ha sido una descripción general muy básica de los conjuntos de cifrado y lo que hacen, es de esperar que comprenda mejor el protocolo TLS y el proceso de cifrado de sitios web. Para asegurarse de que su sitio web utilice los conjuntos de cifrado más actualizados, asegúrese de que su servidor admita TLS 1.3 y actualice las configuraciones a sus conjuntos de cifrado preferidos.
Facebook Comments
Disqus