SEGURIDAD WEB Seguridad en la Información Protocolo SSL (Secure Sockets Layer) Protocolo TLS (Transport Layer Security).
SEGURIDAD WEB Protocolo SSL (Secure Sockets Layer)
SEGURIDAD WEB Introducción.
La necesidad de seguridad en cualquier medio de comunicación es una gran responsabilidad. Al transferir información entre un emisor y un receptor se pueden dar ciertos sucesos que pongan en peligro la integridad de la información, o incluso de los miembros, ya citados, que intervienen en esa transmisión. Protocolo SSL (Secure Sockets Layer)
SEGURIDAD WEB Protocolo SSL (Secure Sockets Layer) A modo de ejemplo, podemos pensar en el correo postal convencional. Una persona que tenga acceso al correo podrá leer o modificarlo, poniendo en peligro la legitimidad de la información a transmitir. Además, podría enviar correo haciéndose pasar por alguno de ellos, consiguiendo así suplantar a uno de ellos.
Hoy en día esto sigue siendo un problema, y principalmente lo es en las transacciones automatizadas. En internet, ha supuesto un gran avance en las comunicaciones, permitiendo que dos puntos situados en cualquier punto del planeta se puedan comunicar rápida y fácilmente. Sin embargo… ¿cómo sabemos que la información enviada es la misma que la recibida?. O bien, ¿quién nos asegura que nadie accede a esa información de forma fraudulenta?.
SEGURIDAD WEB Protocolo SSL (Secure Sockets Layer) Este problema se agrava con la evolución de internet en una red principalmente dedicada a intereses económicos, en donde la necesidad de seguridad es primordial; es el caso de los bancos o tiendas online, tan comunes hoy en día. Es preciso dotar a estos sitios de una especial seguridad, pues el tratamiento de datos que hacen es especialmente sensible a ataques y fraudes.
SEGURIDAD WEB Protocolo SSL (Secure Sockets Layer) En 1994, Netscape presenta el protocolo SSL (Secure Sockets Layer), que busca lo expuesto anteriormente: proteger el tránsito de información entre aplicaciones informáticas. Este protocolo se utiliza comúnmente en sitios web que precisen de especial seguridad, como es el caso de bancos, tiendas online de pago con tarjeta, etc. Este protocolo ha evolucionado bastante desde su comienzo, resolviendo problemas iniciales de seguridad y limitaciones en su funcionamiento. La versión 2.0 sirvió de base a Microsoft para desarrollar su protocolo PCT (Private Communications Technology) y, a su vez, PCT sirvió de base para la versión 3.0 de SSL, la utilizada actualmente. Más tarde, la IETF (Internet Engineering Task Force) propone un nuevo estándar basado en SSL 3.0, el TLS 1.0 (Transport Layer Security), que podemos considerar como una revisión de SSL 3.0, y que mantiene la compatibilidad con éste.
SEGURIDAD WEB Protocolo SSL (Secure Sockets Layer) Actualmente, el protocolo es soportado por los navegadores web, y podemos saber si estamos en una web protegida si su dirección comienza con https:// en vez de la típica cabecera http://
SEGURIDAD WEB Protocolo SSL (Secure Sockets Layer) El protocolo SSL corre como una capa intermedia entre la capa de red de TCP/IP y la capa de aplicaciones de mayor nivel como HTTP, FTP o IMAP. Esquema de la situación del protocolo SSL entre la capa de red TCP/IP y la capa de aplicación
SEGURIDAD WEB Protocolo SSL (Secure Sockets Layer) Capa de SSL: el protocolo SSL se utiliza para asegurar y autenticar los extremos de una comunicación y para garantizar la seguridad en las comunicaciones de la capa de aplicaciones. Una conexión segura a través de SSL comienza con el establecimiento de la identidad de ambos extremos a comunicar, esto es, el cliente y el servidor. Además, se establece un método de codificación y una clave de forma segura, de manera que la comunicación pueda comenzar. A partir de aquí, todo el tráfico llegante (incoming) es descodificado por la capa SSL y enviado a la correspondiente aplicación, mientras que el tráfico saliente (outgoing) es encriptado antes de ser enviado.
SEGURIDAD WEB Protocolo SSL (Secure Sockets Layer) Es importante saber que los servidores que utilizan SSL corren en diferentes puertos que las aplicaciones comunes sin SSL. Por ejemplo, HTTPS (SecureHTTP, o HTTP asegurado por SSL) corre en el puerto 443, a diferencia del protocolo HTTP común. cabe señalar que SSL no es el único protocolo de seguridad existente. Hay muchas otras aproximaciones a la seguridad de las comunicaciones. Un ejemplo es IPSec, un protocolo que trabaja a bajo nivel (capa IP) y que tiene como principal ventaja el funcionar con cualquier aplicación, independientemente de ésta
SEGURIDAD WEB Protocolo SSL (Secure Sockets Layer) Capacidades de SSL: Autenticación del Servidor de SSL Autenticación del Cliente de SSL. Encriptación de la información Compresión de la información Protección contra la falsificación Componentes de SSL: Teniendo en cuenta que entre un cliente y un servidor pueden establecerse una o más sesiones Identificador de la sesión Algoritmo de compresión Algoritmo de codificación Clave maestra, un número de 48 bytes secreto entre servidor y cliente. Números secretos para MAC, de cliente y servidor, empleados para calcular el código que nos permite verificar que un mensaje no ha sido accedido sin permiso (MAC).
SEGURIDAD WEB El protocolo TLS (Transport Layer Security).
| Página siguiente |