1. Introducción
Los certificados SSL se utilizan para crear un canal cifrado entre el cliente y el servidor. La transmisión de datos tales como los detalles de la tarjeta de crédito, la información de inicio de sesión de la cuenta y cualquier otra información confidencial debe estar encriptada para evitar escuchas ilegales.
Con un certificado SSL, los datos se cifran antes de ser transmitidos a través de Internet. Los datos cifrados solo pueden ser descifrados por el servidor al que realmente los envía. Esto garantiza que la información que envíe a los sitios web no será robada.
A partir del 06/08/2014, Google anunció que tener un certificado SSL instalado en su sitio web aumentará su posición en el ranking, lo cual es otra gran razón para usar un SSL.
El certificado en sí mismo representa los datos codificados en base64 que contienen información sobre la entidad para la que se emitió el certificado, la clave pública requerida para el cifrado y la verificación de la firma digital, y la firma digital creada con la clave privada del emisor del certificado.
Se debe instalar un certificado SSL en el lado del servidor. Cuando accede a un sitio web protegido por un certificado SSL emitido por una Autoridad de Certificación de confianza, verá https:// al principio de su URL. Dependiendo del tipo de validación, un solicitante de certificado aprobado antes de la emisión del certificado, un navegador también puede mostrar la conexión como segura mostrando un icono de "bloqueo" en la barra de direcciones:
o mostrando el nombre de su organización:
2. Tipos de certificados SSL
Los certificados SSL se pueden dividir en 3 grupos de validación:
Certificados de validación de dominio
Requiere que un solicitante de certificado demuestre su control solo sobre el nombre de dominio. El certificado emitido contiene un nombre de dominio que se proporcionó a la Autoridad de Certificación dentro de la solicitud de certificado.
Certificados de validación de la organización
Requiere un solicitante de certificado para demostrar que su compañía es una empresa registrada y legalmente responsable, y para pasar la validación de dominio. El certificado emitido contiene un nombre de dominio y compañía del solicitante del certificado.
Certificados de Validación Extendida
Incluye los requisitos de validación de los dos tipos de validación mencionados anteriormente y los requisitos adicionales. El certificado emitido contiene un nombre de dominio y compañía del solicitante del certificado.
Cabe mencionar que solo los certificados de Validación extendida muestran una barra verde con el nombre de la compañía del propietario en los navegadores web.
Resumen técnico
Glosario
- Criptografía asimétrica: cifrados que implican diferentes claves para los procesos de cifrado y descifrado
- Conjunto de cifrado: conjunto de algoritmos de intercambio de claves, autenticación, cifrado y código de autenticación de mensajes (MAC) utilizados en los protocolos SSL / TLS
- Handshake: uso del protocolo dentro de SSL / TLS para fines de negociación de parámetros de seguridad
- Intercambio de claves: en el contexto de SSL / TLS, la forma en que el cliente y el servidor establecen de forma segura un secreto maestro previo para una sesión
- Maestro secreto: material de clave utilizado para la generación de claves de cifrado, secretos MAC y vectores de inicialización (IV)
- Código de autenticación de mensaje (MAC): función hash de una vía calculada sobre un mensaje y un secreto
- Secreto previo al maestro: material clave utilizado para la derivación del secreto maestro
- Criptografía simétrica: cifrados que implican la misma clave para los procesos de cifrado y descifrado
4. Criptografía simétrica y asimétrica.
Los protocolos SSL / TLS utilizan dos tipos de criptografía: simétrica y asimétrica.
La criptografía simétrica (también denominada "encriptación masiva") implica la misma clave para la encriptación y para la desencriptación. En SSL / TLS, los cifrados simétricos se utilizan generalmente para el cifrado de datos de la aplicación.
Ejemplos de cifrados simétricos: AES, RC4, DES.
La criptografía asimétrica (también llamada "criptografía de clave pública") implica diferentes claves para el cifrado y descifrado.
La clave pública contenida en un CSR y posteriormente en un certificado SSL se utiliza para el cifrado y la verificación de la firma.
Se puede usar una clave privada que normalmente se guarda en el servidor, dependiendo del conjunto de cifrado negociado durante el intercambio, ya sea para el descifrado de un secreto maestro previo requerido para el cálculo de un secreto maestro o para firmar los parámetros necesarios para calcular un maestro secreto.
En palabras simples, en el contexto de los protocolos SSL/TLS, el cifrado asimétrico sirve para el propósito de un cálculo de clave de cifrado simétrico seguro para ambos lados (cliente/servidor).
Ejemplo de criptosistemas asimétricos: RSA, DHE, ECDHE
5. Suite de cifrado
El conjunto de cifrado es un conjunto de algoritmos de intercambio de claves, autenticación, cifrado y código de autenticación de mensajes (MAC) utilizados en los protocolos SSL/TLS.
Ejemplos:
El conjunto de cifrado TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 implica
- DHE para el intercambio de claves
- RSA para la autenticación
- AEC_256_GCM para el cifrado masivo
- SHA384 es una función de hash utilizada para los cálculos de MAC
6. apretón de manos
Handshake es un protocolo utilizado dentro de SSL/TLS para fines de negociación de parámetros de seguridad. Dependiendo de la suite de cifrado, un apretón de manos puede consistir en diferentes mensajes que las partes envían entre sí.
El diagrama a continuación describe uno de los flujos de mensajes de intercambio más comunes que implican cifrado de clave premaster con una clave pública RSA.
Este tipo de flujo de mensajes de intercambio es aplicable a las suites de cifrado de la siguiente manera (ejemplos):
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
