Comprendre la seguretat online: Protocols SSL

No és cap secret que el món d’Internet s’ha tornat en un lloc caòtic tant per a les empreses com per als consumidors. Hi ha molts llocs web i serveis diferents pels quals navegar, cosa que comporta molts riscos tant per als usuaris com per a les empreses. A més, els atacs de hackers s’han convertit en un problema creixent en els últims anys.

Llavors, com pots mantenir la teva informació personal i empresarial fora de perill? La resposta està a assegurar la teva connexió a Internet, a més de protegir el teu hosting i domini. Per això aprofundirem en els protocols SSL i TLS.

La majoria de nosaltres coneix els certificats SSL que asseguren la nostra pàgina web. Però què significa SSL?

Es tracta de l’abreviatura de Secure Socket Layer i, juntament amb TLS (abreviatura de Transport Layer Security), són protocols que encripten les dades durant una connexió mitjançant una encriptació de clau pública.

Però, són el mateix? No del tot, encara que s’utilitzen indistintament. Això és principalment perquè tots dos són protocols de seguretat que estableixen una comunicació encriptada entre un servidor i un client (ja sigui una web o un gestor de correu).
Una de les diferències és que TLS és el successor del protocol SSL, per la qual cosa resulta important veure com vam arribar fins a la versió actual d’aquests protocols.

El 1995, Netscape va publicar el protocol SSL 2.0 (la versió 1.0 no es va arribar a publicar per contenir errors greus de seguretat). Aquesta versió també contenia vulnerabilitats de seguretat, tant a nivell criptogràfic com pràctic, per això el 1996 es va publicar SSL 3.0, una versió molt renovada respecte a les seves predecessores.
Durant els anys 90, els dos navegadors més importants eren Netscape i Internet Explorer, cosa que provocava una gran competència entre Netscape i Microsoft. A causa d’això, Microsoft va fer la seva pròpia revisió abans del llançament de la versió 3.0. Per evitar que aquest protocol fos una arma més en aquesta lluita i que existissin versions diferents, es va decidir que el Grup de Treball d’Enginyeria d’Internet (IETF, Internet Engineering Task Force) seria l’encarregat de continuar amb aquest protocol i el seu procés d’estandardització.
Això ens porta a 1999, quan l’IETF publica la que seria la versió SSL 3.1. A causa de l’acord entre Netscape i Microsoft, aquest es va reanomenar com a TLS.

Des de la publicació inicial de TLS 1.0, se n’han publicat tres versions més:

• TLS 1.1 (2006): afegia protecció contra atacs de xifrat CBC (Cipher Block Chaining) i suport per a paràmetres de registre de l’IANA. Tant TLS 1.0 com 1.1 es consideren avui vulnerables, i la seva retirada es va anunciar el març del 2020.

• TLS 1.2 (2008): incloïa millores importants de seguretat relacionades amb l’especificació del hash i l’algoritme utilitzat pel client i el servidor.

• TLS 1.3 (2018): substitueix el suport en MD5 per SHA-224 com a mètode d’encriptació.

Tot i que la majoria d’empreses estan treballant per establir el TLS 1.3 com a protocol de seguretat per defecte, ara mateix aquesta posició encara l’ocupa el TLS 1.2.

Quan el teu servei web o de correu disposa d’un certificat SSL, aquest inclou una clau privada i una pública que permeten al servidor xifrar i desxifrar les dades que s’intercanvien entre aquest i qualsevol visitant.
En accedir a la web, el navegador realitza un procés conegut com a handshake per identificar el servidor. Si el certificat no és correcte, es mostrarà un error.

Un cop el navegador determina que el certificat és vàlid i el servidor ha estat autenticat, es crea un enllaç xifrat entre ambdós, fent que les dades viatgin de manera segura.

En realitat, un certificat SSL i un certificat TLS signifiquen exactament el mateix: certificats digitals X.509 que ajuden a autenticar el servidor i facilitar el procés de handshake per establir una connexió segura.
I encara que la majoria de proveïdors d’aquests certificats continuen referint-s’hi com a certificats SSL, es tracta d’una qüestió de marca, motiu pel qual el nom encara persisteix.
Com els vulguis anomenar, un certificat no és el mateix que un protocol. El que importa és el protocol que utilitza, i això ho determina la configuració del teu Hosting o Servidor.

Com hem comentat abans, des de març de 2020 s’està treballant en la depreciació dels protocols anteriors a TLS 1.2, ja que són versions obsoletes amb vulnerabilitats conegudes.
Des de 2020, és possible que en accedir a alguna web hagis trobat aquest missatge: ERR_SSL_OBSOLETE_VERSION. Això significa que la pàgina que estàs visitant encara funciona amb aquestes versions antigues de TLS. Per millorar la seguretat a Internet, les empreses darrere dels navegadors més utilitzats han arribat a un acord per deixar de mostrar aquestes pàgines web obsoletes i obligar els seus propietaris a actualitzar els seus llocs.

Però el protocol TLS no només s’utilitza a les teves pàgines web: el teu correu electrònic també treballa amb aquestes mesures de seguretat. Si revises la capçalera del teu correu electrònic, podràs veure l’encriptació utilitzada en l’enviament, la qual garanteix que les dades han viatjat segures.

TLS, per tant, és l’evolució del protocol menys segur SSL. És important instal·lar certificats SSL per assegurar la teva web i el teu correu, així com actualitzar la teva web per treballar amb el protocol TLS més actual del teu servidor per garantir la integritat de les teves dades.