Tanto TLS como SSL son protocolos que le ayudan a autenticar y transportar datos en Internet de forma segura. Pero, ¿cuál es la diferencia entre TLS y SSL? ¿Y es algo de lo que tiene que preocuparse?

En este artículo, aprenderá las diferencias claves entre TLS vs. SSL, así como la forma en que ambos protocolos se conectan a HTTPS. También aprenderá por qué, como usuario final, probablemente no tenga que preocuparse demasiado por TLS vs. SSL o si está utilizando un «certificado SSL» o un «certificado TLS».

Puede hacer clic abajo para saltar a una sección específica o leer el artículo completo:

¿Cuál es la diferencia entre TLS y SSL?

TLS, abreviatura de Transport Layer Security, y SSL, abreviatura de Secure Socket Layers, son ambos protocolos criptográficos que encriptan los datos y autentifican una conexión cuando se mueven los datos en Internet.

Por ejemplo, si está procesando pagos con tarjeta de crédito en su sitio web, TLS y SSL pueden ayudarle a procesar esos datos de forma segura para que los agentes maliciosos no puedan poner sus manos en ellos.

Entonces, ¿cuál es la diferencia entre TLS y SSL?

Bueno, TLS es en realidad sólo una versión más reciente de SSL. Corrige algunas vulnerabilidades de seguridad en los protocolos SSL anteriores.

Antes de aprender más sobre los detalles, es importante entender la historia básica de SSL y TLS.

SSL 2.0 se publicó por primera vez en febrero de 1995 (SSL 1.0 nunca se publicó debido a los fallos de seguridad). Aunque SSL 2.0 fue publicado, también contenía fallos de seguridad y fue rápidamente reemplazado por SSL 3.0 en 1996.

Luego, en 1999, la primera versión de TLS (1.0) fue lanzada como una actualización a SSL 3.0. Desde entonces, ha habido tres versiones más de TLS, siendo la más reciente la TLS 1.3 en agosto de 2018.

En este punto, ambas versiones públicas de SSL han sido desaprobadas y tienen vulnerabilidades de seguridad conocidas (más sobre esto más adelante).

Aquí está el historial completo de las versiones de SSL y TLS:

  • SSL 1.0 – nunca se ha publicado debido a problemas de seguridad.
  • SSL 2.0 – lanzado en 1995. Desaparecido en 2011. Ha tenido problemas de seguridad.
  • SSL 3.0 – lanzado en 1996. Se depreció en el 2015. Ha tenido problemas de seguridad.
  • TLS 1.0 – lanzado en 1999 como una actualización a SSL 3.0. La depreciación prevista para el año 2020.
  • TLS 1.1 – publicado en 2006. La depreciación prevista para el año 2020.
  • TLS 1.2 – publicado en 2008.
  • TLS 1.3 – lanzado en 2018.

¿Cómo funcionan los TLS y SSL para asegurar los datos?

Aquí está el proceso de alto nivel para el funcionamiento de SSL y TLS.

Cuando usted instala un certificado SSL/TLS en su servidor web (a menudo llamado simplemente «certificado SSL»), incluye una clave pública y una clave privada que autentican su servidor y permiten a su servidor cifrar y descifrar datos.

Cuando un visitante vaya a su sitio, su navegador web buscará el certificado SSL/TLS de su sitio. A continuación, el navegador realizará un «apretón de manos» para comprobar la validez de su certificado y autentificar su servidor. Si el certificado SSL no es válido, tus usuarios pueden encontrarse con el error “su conexión no es privada”, por lo que abandonen tu sitio web.

Una vez que el navegador de un visitante determina que su certificado es válido y autentica su servidor, crea esencialmente un enlace cifrado entre él y su servidor para transportar los datos de forma segura.

Aquí es también donde entra en juego HTTPS (HTTPS significa «HTTP over SSL/TLS»).

HTTP, y el más reciente HTTP/2, son protocolos de aplicación que juegan un papel esencial en la transferencia de información a través de Internet.

Con HTTP simple, esa información es vulnerable a los ataques. Pero cuando se utiliza HTTP sobre SSL o TLS (HTTPS), se encriptan y autentican esos datos durante el transporte, lo que los hace seguros.

Por este motivo, puede procesar de forma segura los datos de las tarjetas de crédito a través de HTTPS pero no a través de HTTP, y también por qué Google Chrome está presionando tanto para que se adopte HTTPS.

¿Por qué se llama certificado SSL si el SSL está desactivado?

Arriba, usted aprendió que TLS es la versión más reciente de SSL y que ambas versiones públicas de SSL han sido desaprobadas durante varios años y contienen vulnerabilidades de seguridad conocidas.

Esto puede hacer que se pregunte: ¿por qué se llama un certificado SSL y no un certificado TLS? Después de todo, el TLS es el protocolo de seguridad moderno.

Por ejemplo, si mira en la página de características de Kinsta, verá que Kinsta anuncia un certificado SSL gratuito, no un certificado TLS gratuito.

No se preocupe: ¡Kinsta no utiliza tecnología obsoleta!

No, la razón por la que la mayoría de la gente todavía se refiere a ellos como certificados SSL es básicamente una cuestión de marca. La mayoría de los principales proveedores de certificados siguen refiriéndose a los certificados como certificados SSL, por lo que la convención de nombres persiste.

En realidad, todos los «Certificados SSL» que usted ve anunciados son realmente Certificados SSL/TLS (que incluye los certificados SSL gratuitos que ofrecemos como parte de nuestra integración con Cloudflare).

Es decir, puede utilizar los protocolos SSL y TLS con su certificado.

No existe un certificado SSL o un certificado TLS y no tiene que preocuparse por sustituir su certificado SSL por un certificado TLS.

¿Debería utilizar TLS o SSL? ¿Sustituye TLS a SSL?

Sí, TLS está reemplazando a SSL. Y sí, debería usar TLS en lugar de SSL.

Como usted aprendió más arriba, ambas versiones públicas de SSL son obsoletas en gran parte debido a las conocidas vulnerabilidades de seguridad en ellas. Como tal, SSL no es un protocolo totalmente seguro en 2019 y en adelante.

TLS, la versión más moderna de SSL, es segura. Es más, las versiones recientes de TLS también ofrecen ventajas de rendimiento y otras mejoras.

No sólo es TLS más seguro y eficiente, sino que la mayoría de los navegadores web modernos ya no soportan SSL 2.0 y SSL 3.0. Por ejemplo, Google Chrome dejó de ser compatible con SSL 3.0 en 2014 y la mayoría de los principales navegadores tienen previsto dejar de ser compatibles con TLS 1.0 y TLS 1.1 en 2020.

De hecho, Google empezó a mostrar notificaciones de advertencia ERR_SSL_OBSOLETE_VERSION en Chrome.

Entonces, ¿cómo se asegura de que está utilizando las versiones más recientes de TLS y no los protocolos SSL inseguros más antiguos?

En primer lugar, recuerde que su certificado no es el mismo que el protocolo que utiliza su servidor. No es necesario cambiar el certificado para utilizar el TLS. A pesar de que puede ser calificado como un «certificado SSL», su certificado ya soporta los protocolos SSL y TLS.

En su lugar, usted controla qué protocolo utiliza su sitio web a nivel de servidor.

Si está alojando en Kinsta, Kinsta ya habilita para usted la versión TLS 1.3, que es la más moderna, segura y eficaz, así como TLS 1.2.

Si está alojando en otro lugar, puede usar la herramienta SSL Labs para comprobar qué protocolos están habilitados para su sitio.

Por ejemplo, si prueba un sitio web alojado en Kinsta, puede ver cómo Kinsta habilita TLS 1.2 y TLS 1.3 pero desactiva las versiones antiguas e inseguras de SSL:

¿Cómo probar qué protocolos SSL/TLS utiliza su servidor?
¿Cómo probar qué protocolos SSL/TLS utiliza su servidor?

Si usted encuentra que su servidor todavía soporta los protocolos SSL obsoletos, puede contactar con el soporte de su host para obtener ayuda o seguir estas instrucciones para desactivar SSL en los dos servidores web más populares (Apache and Nginx):

¿Por qué Kinsta habilita múltiples protocolos TLS?

Si TLS 1.3 es el protocolo más moderno y eficaz, ¿por qué Kinsta se molesta en habilitar también el protocolo ligeramente más antiguos TLS 1.2?

En otras palabras: ¿cuál es el beneficio de tener múltiples protocolos habilitados?

Como usted aprendió anteriormente, hay dos partes en el apretón de manos de SSL/TLS:

  1. Su servidor web
  2. El cliente (normalmente el navegador web de un visitante)

Para que el apretón de manos funcione, ambos deben apoyar el mismo protocolo.

Así que el principal beneficio de tener múltiples protocolos es la compatibilidad.

Por ejemplo, mientras que Chrome y Firefox añadieron soporte para TLS 1.3 casi inmediatamente después de su lanzamiento en 2018, Apple y Microsoft tardaron un poco más en añadir soporte para TLS 1.3.

Incluso en 2019, los siguientes navegadores todavía carecen de soporte para TLS 1.3:

  • Explorador de Internet
  • Ópera Mini
  • Navegador Android
  • Opera Móvil
  • Navegador UC para Android
  • Samsung Internet
  • Navegador Baidu
Compatibilidad con el navegador web TLS 1.3
Compatibilidad de TLS 1.3 con el navegador web

Pero mientras que TLS 1.3 todavía no tiene una adopción completa, todos los principales navegadores soportan TLS 1.2 en 2019:

Compatibilidad con el navegador web TLS 1.2
Compatibilidad de TLS 1.2 con el navegador web

Al tener habilitados tanto TLS 1.3 como TLS 1.2 en su servidor, puede asegurar la compatibilidad sin importar lo que pase, mientras sigue obteniendo los beneficios de TLS 1.3 para los navegadores que lo soportan, como Chrome y Firefox.

Si desea comprobar qué versión de SSL/TLS utiliza su navegador web, puede utilizar la herramienta «How’s My SSL»:

Cómo probar qué protocolos SSL/TLS utiliza su navegador
¿Cómo comprobar qué protocolos SSL/TLS utiliza su navegador?

Resumen

Para resumir, TLS y SSL son ambos protocolos para autentificar y encriptar la transferencia de datos en Internet.

Los dos están estrechamente vinculados y TLS es realmente la versión más moderna y segura de SSL.

Aunque SSL sigue siendo el término dominante en Internet, la mayoría de las personas se refieren realmente a TLS cuando dicen SSL, porque ambas versiones públicas de SSL no son seguras y hace tiempo que han sido desaprobadas.

Para utilizar los protocolos SSL y TLS, debe instalar un certificado en su servidor (aquí está cómo instalar un certificado SSL en WooCommerce). De nuevo, mientras que la mayoría de la gente se refiere a ellos como «certificados SSL», estos certificados soportan los protocolos SSL y TLS.

No tiene que preocuparse por «cambiar» su certificado SSL por un certificado TLS. Si ya ha instalado un «certificado SSL», puede estar seguro de que también es compatible con TLS.

Es importante utilizar las últimas versiones de TLS porque SSL ya no es seguro, pero su certificado no determina el protocolo que utiliza su servidor. En su lugar, una vez que tenga un certificado, puede elegir qué protocolos utilizar a nivel de servidor.

Si está alojando en Kinsta, Kinsta actualmente habilita TLS 1.2  y TLS 1.3, todas ellas seguras y soportadas por los principales navegadores.