CambioDigital-OL

0

Cinco cosas que hay que saber de SSL

ssl_hiLa seguridad en Internet es fundamental y, en gran medida, pasa por cifrar el tráfico que fluye por la red. Google, Facebook y Microsoft son algunas de las muchas empresas que presionan para extender el uso del cifrado SSL/TLS, aunque resulta difícil y costoso de implementar. ¿Por qué es tan importante SSL?

¿Qué es SSL /TLS?
Se trata de un protocolo que desarrolló originalmente Netscape en la década de los 90, para garantizar la autenticidad de los sitios Web y permitir el intercambio de datos de forma segura con los usuarios. Para ello, se crea una conexión cifrada utilizando criptografía de clave pública, por lo general indicada por “https” y un candado que aparece en la ventana del navegador.

¿Por qué es importante?
Los datos intercambiados, utilizando sólo http, pueden ser interceptados por los ciberdelincuentes. Los datos se pueden recoger y manipular, lo que supone un claro riesgo de privacidad y seguridad para el usuario. Casi todos los bancos de renombre y los sitios de comercio electrónico más populares ya utilizan SSL/TLS, pero muchos sitios web más pequeños todavía no lo hacen.

¿Es difícil de configurar?
SSL/TLS es conocido por ser complicado y difícil de implementar, especialmente en caso de grandes sitios web. Las conocidas como autoridades de certificación (CA) venden diferentes tipos de certificados digitales para autenticar sitios web. Dependiendo del tipo de certificado, las CA verifican que la entidad solicitante es legítima y se protege frente a los sitios fraudulentos. Sin embargo, los certificados pueden ser caros, y los críticos dicen que su coste y complejidad son excesivos. Los certificados también expiran, y es importante que los administradores de TI sepan cuándo tienen que renovarlos.

¿Tiene debilidades?
Sí, en los últimos años se han detectado numerosos ataques que comprometieron conexiones SSL/TLS, y se han encontrado vulnerabilidades como Heartbleed en Open SSL. También las autoridades de certificación han sufrido ataques, a raíz de los cuales los ciberdelincuentes han creado certificados de sitios web que fueron utilizados para phishing. Pese a ello, no hay reemplazo y el resto de protocolos alternativos son igual de antiguos.

¿Qué se está haciendo para resolver estos problemas?
Un proyecto llamado Let´s Encript, lanzado el año pasado, emite certificados digitales de forma gratuita, como parte de un movimiento para ampliar el uso de la encriptación en la web.
Los fallos en SSL/TLS son parcheados, cuando se descubren nuevos ataques, pero no hay realmente un sustituto viable para un sistema completo. Cambiarlo requeriría un acuerdo de toda la industria y es improbable que llegue pronto. De momento, la tarea más importante ahora es proteger las claves privadas SSL/TLS y hay muchos módulos de hardware de seguridad en el mercado que pueden gestionar de forma segura estas claves.

IDG.es

Ordenado por: Seguridad Tags: 

TOT

 

 

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 2018 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB