¿Ha muerto SSL?
21/Abr/2015Nuevas Tendencias
¿Ha muerto SSL?
21/Abr/2015Nuevas Tendencias
Cuando dos equipos establecen una conexión segura con estos protocolos, se negocia la versión que van a usar, así como el sistema de cifrado que utilizarán. Es muy importante tener en cuenta que no sólo la versión del protocolo que se use puede tener errores, sinó que además los distintos sistemas de cifrado pueden ser vulnerables a ataques.
En los últimos meses hemos visto cómo han aparecido muchas vulnerabilidades en estos sistemas de seguridad (POODLE, FREAK, BEAST y el famoso Heartbleed), que hacen plantearse si las conexiones “seguras” que realizamos con los servidores son tan seguras como nosotros creemos. ¿Podemos fiarnos de SSL y TLS? ¿Es posible la navegación y conexión segura a través de Internet?
Si observamos esta tabla a modo de resumen, podemos ver como todos los sistemas de cifrado que se usan con SSL 2.0 y 3.0 son considerados inseguros. Esto ha llevado al punto en el que la próxima revisión de PCI, el estándar de seguridad para transacciones con tarjetas de crédito en Internet, considere que estos protocolos no cumplen con su estándar de “criptografía fuerte”, y por tanto, los sitios web o aplicaciones que usen SSL no podrán acceder a esta certificación.
Con TLS 1.0, sin embargo, todo depende de la configuración adicional que se use. Los únicos protocolos que se pueden considerar seguros son TLS 1.1 y TLS 1.2, aunque uno de los mecanismos de negociación de TLS 1.1 es rebajarse a actuar como SSL, por lo que realmente el único protocolo ahora mismo seguro es TLS 1.2.
Hasta ahora hemos hablado de la seguridad en las comunicaciones refiriéndonos a los servidores, pero hay que tener en cuenta que los clientes también pueden ser vulnerables a estos ataques. Por este motivo, aunque nos conectemos a un servidor bien configurado, nada es seguro si nuestro navegador o sistema operativo no está preparado contra estas vulnerabilidades. Aquí la única opción es mantener nuestro equipo actualizado con las últimas versiones y parches proporcionados por el fabricante.
Las versiones más nuevas de los navegadores web más populares utilizan TLS 1.2 por defecto, por lo que la navegación debería ser segura, al menos mientras no se descubra ninguna vulnerabilidad de este protocolo.
Artículos Relacionados
Informe de tendencias en ciberseguridad 2023
Resultados de las auditorías y monitorización del SOC (Security Operations Center) a empresas realizadas por Sofistic en 2022 y recomendaciones de ciberseguridad para 2023
Sofistic alcanza la certificación Gold Microsoft Partner
Como fruto de la colaboración y el expertise especializado en ciberseguridad, Sofistic ha obtenido la certificación de Gold Microsoft Partner.
Ciberseguridad en centros sanitarios, defendiendo a quienes más nos protegen
¿Por qué el foco de ataques está en los centros sanitarios? La situación de desprotección del sector sanitario es uno de los mayores problemas que afronta el sector en tiempos de pandemia. Los ciberataques a los hospitales buscan conseguir recompensas económicas...
0 comentarios