TLS (Transport Layer Security) es el protocolo criptográfico que cifra la conexión entre tu navegador y los sitios web que visitas. Cada vez que ves «HTTPS» en la barra de direcciones de tu navegador, TLS está funcionando. Puedes verificar qué versión de TLS usa tu conexión en whatsmy.fyi.
TLS vs SSL: ¿cuál es la diferencia?
A menudo verás «SSL» y «TLS» usados indistintamente, pero técnicamente son diferentes:
- SSL (Secure Sockets Layer) fue el protocolo original, desarrollado por Netscape en los años 90. SSL 2.0 y SSL 3.0 están ambos obsoletos y tienen vulnerabilidades críticas conocidas.
- TLS (Transport Layer Security) es el sucesor de SSL, estandarizado por primera vez como TLS 1.0 en 1999. Es lo que usan todas las conexiones HTTPS modernas.
Ningún navegador ni servidor moderno usa SSL. Cuando alguien dice «certificado SSL», se refiere a un certificado TLS. El término «SSL» sobrevivió solo como coloquialismo.
¿Qué hace TLS?
TLS proporciona tres garantías de seguridad fundamentales:
- Confidencialidad: Los datos intercambiados entre tu navegador y el servidor están cifrados. Nadie entre tú y el servidor (tu ISP, un hacker en Wi-Fi público, una interceptación de red gubernamental) puede leer el contenido.
- Integridad: Los datos no pueden modificarse en tránsito. Si alguien manipula un paquete, el MAC (Message Authentication Code) de TLS lo detectará.
- Autenticación: TLS usa certificados digitales para verificar que realmente estás hablando con el servidor real, no un impostor. Esto previene ataques de hombre en el medio.
TLS 1.2 vs TLS 1.3
TLS 1.3 fue estandarizado en RFC 8446 (agosto de 2018) y representa una mejora mayor sobre TLS 1.2:
| Característica | TLS 1.2 | TLS 1.3 |
|---|---|---|
| Viajes de ida y vuelta del handshake | 2-RTT | 1-RTT (0-RTT para sesiones reanudadas) |
| Suites de cifrado | Muchas, incluidas débiles | Solo 5 suites fuertes |
| Perfect Forward Secrecy | Opcional | Obligatorio |
| Intercambio de claves RSA | Compatible (vulnerable) | Eliminado |
| MD5/SHA-1 en handshake | Permitido | Eliminado |
La mejora más significativa es el Perfect Forward Secrecy (PFS), obligatorio en TLS 1.3. PFS significa que incluso si la clave privada de un servidor se compromete en el futuro, el tráfico cifrado registrado previamente no puede descifrarse de forma retroactiva.
¿Cómo funciona el handshake TLS?
- ClientHello: Tu navegador envía las versiones TLS que admite y una lista de suites de cifrado que puede usar, junto con un número aleatorio.
- ServerHello: El servidor elige la versión TLS más alta y la suite de cifrado más fuerte que ambos admiten, y envía su certificado.
- Verificación del certificado: Tu navegador verifica el certificado del servidor contra las Autoridades de Certificación (CA) de confianza en tu SO o navegador.
- Intercambio de claves: Ambos lados derivan las mismas claves de sesión usando intercambio de claves Diffie-Hellman (siempre efímero en TLS 1.3).
- Comienza el tráfico cifrado.
Preguntas frecuentes
¿Es seguro TLS 1.2 para usar?
TLS 1.2, cuando está correctamente configurado (usando solo suites de cifrado fuertes, PFS habilitado), sigue siendo considerado seguro. Sin embargo, TLS 1.3 es más simple, más rápido y proporciona garantías de seguridad más sólidas.
¿Cómo verifico mi versión TLS?
Visita whatsmy.fyi — la tarjeta de Seguridad TLS muestra la versión TLS exacta y la suite de cifrado que usó tu conexión, directamente desde el borde de Cloudflare.
¿Qué es HTTPS?
HTTPS (Hypertext Transfer Protocol Secure) es simplemente HTTP transportado sobre una conexión TLS. La «S» significa Seguro. Cuando ves HTTPS en tu barra de direcciones, significa que el cifrado TLS está activo y tu conexión está protegida.
