La mayoría de personas (y un porcentaje alto de desarrolladores) ... desconocen que significa SSL, TSL o HTTPS, mientras no surjan en un mensaje de error, dichos conceptos no parecen ser muy importantes. Por ejemplo, sin HTTPS la comunicación entre el navegador y el servidor es hecha en texto plano. Lo que significa que tus contraseñas o el número de tarjeta de crédito se envía a través de la internet de una forma en que cualquiera con un conocimiento mínimo, digamos un hacker, podrá interceptar, leer y utilizar.
HTTPS se diseñó para resolver este problema y que la información que se envía por internet sea leída pero no entendida, más que por quien envió la información y la persona o sistema que lo reciba. Es decir que la información es encriptada. Y para encriptarlo, se utiliza algo llamado TLS, que significa Transport Layer Security (seguridad de la capa de transporte).
Si la información encriptada es interceptada por un hacker, lo que podrán ver es una enorme cantidad de datos ilegibles.
¿Cómo funciona TLS?
Al principio de todo, el navegador establece una conexión TCP con el servidor, lo normal.
El proceso envía un saludo al servidor. Ahí, el navegador le cuenta al servidor que versión de TLS soporta (puede ser TLS 1.1, TLS 1.2, TLS 1.3 etc.), y que protocolos o algoritmos de encriptación soporta (los algoritmos son utilizados para encriptar la información).
Cuando el servidor recibe el saludo, elige usar la versión de TLS y de los algoritmos de encriptación, según lo que le ha contado el navegador, y le responde con un "Hola" de nuevo, con lo que envía un certificado al navegador del usuario.
Ese certificado contiene muchas cosas. Una de ellas es la clave pública para el servidor. El cliente (navegador) entonces usa la clave pública en algo llamado encriptación asimétrica, donde una parte de la información es encriptada por una clave pública que solo puede ser desencriptada por la clave privada.
Es decir, esto es el apretón de manos TLS donde cliente y servidor se ponen de acuerdo en que versión de TLS y algoritmos de encriptación van a utilizar.
Ahora con la información encriptada, se la envía al servidor. La encriptación asimétrica juega el papel clave, ahora, solo el servidor, con su clave privada, va a poder desencriptar la información y leerla. la información encriptada viaja de forma segura a través de internet.
Y en eso radica la importancia de HTTPS, TLS y SSL.
¿Y SSL?
SSL significa Secure Sockets Layer (capa de puertos seguros), es el antecesor de TLS. TLS era SSL 3.1, un paquete de mejoras para SSL 3.0.
0 Comentarios