TLS, la evolución y el estándar de las conexiones seguras

¡Hola amig@s informáticos! Hoy me gustaría completar la nota de SSL con la explicación de TLS (transport layer security = seguridad de la capa de transporte ). No hay mucho que contar sobre el funcionamiento, porque TLS es la evolución de SSL 3.0, por lo tanto son pocas las cosas que varían entre ellos, pero no así, poco importantes.

El conocer las diferencias más destacables nos va a ayudar a seleccionar TLS o SSL, según nuestras necesidades. Igualmente los dos son compatibles y se pueden utilizar juntos (..¡¡son como padre e hijito !!).

No hay grandes cambios en cuanto a seguridad y sigue el estándar CLIENTE-SERVIDOR, pero una cosa interesante que surgió al momento de crear el estándar, fue que los ingenieros no sabían si hacer que TLS funcionara sobre el puerto 443 (HTTPS) o si iban a pedir que todas las peticiones de internet http fueran por este puerto. Como otra opción era hacer que TLS pasara por el puerto 80 (actual http). Como verán, la cuestión es tener un puerto de conexión seguro, allá ellos con lo que decidan, de todas maneras, si es para que navegemos libres de ataques….lo que sea, ¡¡será bienvenido !!

Vamos a ver algunas de las diferencias que me parece que son las más interesantes:

1) La primera diferencia y una de las que a mi personalmente me interesa, es que TLS no es
propietario como si lo es SSL (Netscape), con lo cuál TLS podría
tomarse como un estándar al desarrollar software.

2) Durante el armado del cálculo MAC (código de autenticación del mensaje dónde se introduce
información como numero de secuencia, etc)
para iniciar la conexión, SSL no incluye a los
campos de tipo de compresión y versión, dejánolos libres para el ataque. En TLS se toman
los campos dentro del cálculo MAC, sin dejar datos inseguros
.

3) SSL usa el algorítmo Fortezza Kea como uno de los algorítmo de intercambio, que tiene los
valores públicos fijos contenidos en los certificados. Como este es inseguro, TLS
directamente no lo soporta, evitando el uso de este
. Es una buena medida, si no me da la
seguridad necesaria, directamente lo dejo fuera……

4) Durante el primer cálculo del algorítmo de intercambio, TLS suma una nueva función llamada
PRF, formando un nuevo campo y haciendo este intercambio más seguro.

El función matemática es media compleja y amplia, pero si a alguno le interesa, pregunte en
el blog que les paso la información de los algorítmos que usa SSL y el mismo usado por TLS
con PRF para la mejora.

5) Durante el intercambio SSL, cuando el servidor pedía un certificado al cliente, este le podía
contestar con un no_certificate, TLS no permite este tipo de respuestar por parte del cliente,
logrando una transmisión segura entre CLIENTE-SERVIDOR, haciendo que el CLIENTE se autentique.
En esta mejora entra en juego la parte de desarrollo o mantención del servidor, ya que si el
servidor está a cargo nuestro y necesitamos que este seguro, una buena medida es que al
momento de que el cliente pida conectarse, el servidor pida los certificados del usuario para ver
a quien le permite la entrada.

6) Una tabla que indica algunas cuestiones sumadas a TLS

7) TLS recibe una modificación para soportar autenticación Kerberos. Las credenciales Kerberos
se usan para llevar a cabo una autenticación mutua y para establecer un master secret usado
subsecuentemente para asegurar la comunicación CLIENTE-SERVIDOR
. Si a alguien le interesa
saber más sobre el protocolo Kerberos, hay información dentro del blog.

Bueno amig@s, con esto doy por finalizado el tema de SSL/TLS. Espero que les sirva esta información, que aunque sea un poco teórica y complicada, es entendible. La configuración de nuestros navegadores y estar seguros al momento de hace algo en la internet, es parte de darle unas leídas a este tipo de humildes notas, si estamos administrando o dando soporte a usuarios finales, es recomendable que configuren estos protocolos en los navegadores y si estan administrando servidores o desarrollando, les aconsejo que sepan como usar SSL y TLS con autenticación Kerberos. Cualquier cosa que necesiten, no duden en preguntar ¡¡ Desde ya un gran abrazo y hasta la próxima !!

Juancitux 😉

Sin categoría

Deja una respuesta