La encriptación SSL (de sus siglas en inglés Secure Socket Layer) se encarga de proporcionar una conexión segura entre el cliente y el servidor que permite encriptar datos sensibles (como información de pago, datos de tarjetas de crédito) y hacerlos ilegibles a terceros y es un método de cifrado común para las conexiones HTTPS.
Su importancia es tal, que ningún banco en línea, o cliente de correos electrónicos, ni tiendas online o siquiera las redes sociales sería posible, incluso los viajes de vacaciones no podrían ser reservados en línea de no ser por estas tecnologías de encriptación SSL tiene una gran importancia para la empresa moderna de Internet.
Funciones y variaciones
Proporciona la información sobre el emisor del certificado y el propietario y verifica al propietario que es de confianza, para eso sirve el certificado ssl, como prueba de que el propietario de la página existe realmente y es un vendedor, banco o similar honesto. El certificado también incluye una fecha de vencimiento donde los certificados SSL están disponibles en versiones de 128 y 256 bits. Este último se considera más seguro.
No todos los certificados tienen los mismos pasos de validación y por lo tanto representan niveles de seguridad diferentes. El más débil es el certificado validado por dominio. Esto sólo comprueba si la dirección de correo electrónico del dominio se considera administrativa. Este nivel de validación no protege contra ataques como el phishing. Además, existen, por ejemplo, certificados que validan la organización.
El alto nivel de seguridad, tal y como se exige en el caso de las conexiones bancarias, está garantizado por un certificado EV–SSL (Extended Validation). Si se utiliza un navegador de alta calidad con una conexión https, la barra de direcciones aparece parcialmente coloreada en verde sólo con este certificado. Una empresa sólo obtiene un certificado EV-SSL después de una verificación detallada, ampliada y unificada. Esto garantiza una autenticación de alto nivel.
Seguridad
La transmisión de datos siempre se realiza de manera segura y no puede ser accedida por terceros. Si se llegase a almacenar sin protección en un servidor, los ataques de hackers cerrarían y/o robarían toda la información disponible lo cual causaría pérdidas innumerables tanto de recursos como falsificaciones de las identidades robadas lo que llevaría a un juicio en caso de no pagar una multa por dejar exponer dichos datos. Por eso es que puedes firmar un documento en el móvil Android.
Diferentes tipos de cifrado
El cifrado SSL garantiza una conexión segura entre un servidor y un cliente. Dado que los protocolos de aplicación como HTTP, IMAP, POP3, SMTP, que se transmiten de forma encriptada, están protegidos con él. Así se protege los datos sensibles contra la manipulación no deseada y el acceso por parte de terceros. Entre los cifrados tenemos: cifrado simétrico (una sola clave), cifrado asimétrico (dos claves) y la función hash (huella dactilar). En términos generales, se verifica si los datos enviados y recibidos coinciden al 100%.
Durante mucho tiempo, el cifrado SSL fue una función de seguridad que sólo se utilizaba en áreas sensibles como en las compras online, pero rara vez de forma generalizada. En términos de optimización de motores de búsqueda, hubo algunas preocupaciones acerca de posibles problemas con el contenido duplicado y podría llevar al phishing por parte de las páginas malintencionadas.
Encriptaciones
Cuando se codifica la información, se basa en una o dos claves, una pública y otra privada, estamos usando una encriptación asimétrica. La clave pública puede entregarse a cualquier receptor, mientras que el emisor guarda la clave privada
- Encriptar con clave pública: encriptará mensajes que solo podrán ser accedidos con una clave privada. ésto implica confidencialidad, ya que solo el receptor podrá interpretar el mensaje.
- Encriptar con clave privada: también se le conoce como firma digital. Con ella se consigue que la autenticación solo está disponible para el que tenga la clave privada, así no ocurren problemas para encriptar información, y su integridad, dado que nadie más que la persona que ha encriptado el mensaje puede modificarlo. No se asegura la confidencialidad, ya que aquel que posea la clave pública podrá leer el mensaje
HTTPS y la encriptación simétrica
La encriptación simétrica utiliza una clave única tanto para encriptar como para desencriptar. En este caso, la clave se comparte entre el emisor y el receptor, por lo que no se consigue una confidencialidad ni autenticidad al 100%. Su ventaja principal es que es menos costosa.
El HTTPS es más sencillo. Primero, se establece una comunicación en la que el servidor envía el certificado y la clave pública al receptor. Este último genera la clave secreta, secret key en inglés, que se utilizará para comunicarse con encriptación simétrica. Tras encriptarla con la clave pública, se la vuelve a enviar al servidor. De esta manera podemos asegurarnos de que solo el cliente posee la clave.
HTTPS es especialmente importante sobre redes y redes inseguras que pueden estar sujetas a manipulación, como los puntos de acceso Wi-Fi públicos, permiten que cualquier persona de la misma red local pueda rastrear los paquetes y descubra información confidencial no protegida por HTTPS.
Algunas redes WLAN de pago y libres se han observado manipulando páginas web, participando en la inyección de paquetes con el fin de publicar sus propios anuncios en otros sitios web. Esta práctica puede ser explotada maliciosamente de muchas maneras, como mediante la inserción de malware en páginas web y el robo de información privada de los usuarios.
La implementación de HTTPS también permite el uso de HTTP/2 (o su predecesor, el protocolo SPDY,que ahora está en desuso), que es una nueva generación de HTTP diseñada para reducir los tiempos de carga, el tamaño y la latencia de la página.
Se recomienda utilizar HTTP Strict Transport Security con HTTPS para proteger a los usuarios de ataques de tipo «man-in-the-middle«, especialmente de la eliminación de SSL y no debe confundirse con el HTTP seguro (S-HTTP) que rara vez se utiliza especificado en RFC 2660.
La seguridad es subyacente, normalmente usa claves públicas y privadas a largo plazo para generar una clave de sesión a corto plazo, que luego se usa para cifrar el flujo de datos entre el cliente y el servidor. Como consecuencia, las entidades de certificación y los certificados de clave pública son necesarios para verificar la relación entre el certificado y su propietario, así como para generar, firmar y administrar la validez de los certificados.
