Internet son datos. Ceros y unos que recorren caminos de ida y vuelta por la red. Para poder usar Instagram, ver un vídeo en YouTube y leer las noticias (o este artículo) es necesario que esos datos viajen siguiendo unas reglas. Son los protocolos de red. Algunos, como el Internet Protocol (IP) o el Hypertext Transfer Protocol (HTTP) son bastante conocidos. Otros, como el TLS, lo son menos. Pero todos son fundamentales para el funcionamiento correcto de internet.
Para la mayoría de transacciones online, “es crítico que la información transmitida no sea manipulada, falsificada o leída por alguien que no sea el emisor y el receptor”, señalan desde Internet Engineering Task Force. Para ello, el popular protocolo SSL (que ya hace un par de décadas que fue jubilado por el primer TLS) ha evolucionado en un nuevo estándar. Y la mayoría de navegadores se ha dado prisa en adaptarse.
Internet Engineering Task Force
No, no nos hemos pasado por alto eso de Internet Engineering Task Force sin explicarlo. El IETF o Grupo de Trabajo de Ingeniería de Internet es una organización internacional abierta gestionada y formada por voluntarios. Empezó como un grupo de trabajo del Gobierno de Estados Unidos, pero desde 1993 funciona bajo el paraguas de la organización Internet Society (ISOC).
Su función es la de elaborar estándares y protocolos para el buen funcionamiento de internet. Corregir vulnerabilidades, establecer las reglas de comunicación y optimizar procesos. Su trabajo está abierto a quien quiera participar, incluyendo, sobre todo, a ingenieros, investigadores y representantes de las operadoras.
La mayoría de protocolos se especifica a través de los llamados Request for Comments (RFC). Cada RFC incluye una serie de normas, actualizaciones y sugerencias elaborada por un grupo de expertos. Y el resto de la comunidad los valora. No pueden ser cambiados ni borrados. De hecho, la web almacena más de 9.000 RFCs. Más de media historia de internet. Y entre ellos está la evolución del TLS hasta llegar a su actualización 1.3.
Qué es el TLS 1.3 y por qué es importante
Transport Layer Secutirty (TLS) es un protocolo criptográfico para la seguridad de la capa de transporte. Es decir, se encarga de proporcionar comunicaciones seguras en internet. El primer protocolo de este tipo se lanzó en 1995. Era la versión 3.0 del conocido SSL (Socket Security Layer). La 1.0 y la 2.0 no llegaron a ver la luz. El IEFT tardó solo cuatro años en actualizarlo, lanzando el primer TLS en 1999. Aun así, hoy, este tipo de certificados de seguridad se sigue conociendo como SSL, aunque en la práctica ya no se usen.
La versión 1.1 del TLS se lanzó en 2006 y la 1.2 dos años más tarde. Durante la última década ha sido el estándar de seguridad más usado para el transporte de datos en internet. Ahora, el Grupo de Trabajo de Ingeniería de Internet ha publicado una nueva actualización tras años de trabajos (se han publicado casi 30 versiones hasta dar con la final). Su objetivo es sentar las bases de un internet más seguro y eficiente para los próximos 20 años.
Qué cambia con TLS 1.3
“Durante el desarrollo de TLS 1.3, se consultó con la comunidad de investigación en criptografía para analizar, mejorar y validar la seguridad de TLS 1.3. Esto incluyó varios talleres donde los investigadores pudieron presentar sus hallazgos […] y produjo 15 papers altamente citados en importantes conferencias académicas”, señalan desde IETF. Tras este trabajo, el nuevo estándar incorpora mejoras importantes en tres áreas: privacidad, seguridad y rendimiento.
- Privacidad. El TLS 1.3 encripta la mayor parte del proceso de establecimiento de comunicación (que se conoce como handshake en inglés). Según IETF, esta mejora respecto a TLS 1.2 ayuda a proteger las identidades de los participantes e impide el análisis del tráfico.
- Seguridad. Uno de los grandes problemas del TLS 1.2 era la existencia de algoritmos y protocolos obsoletos. Vulnerabilidades como Logjam y Sweet32 que han dado pie a ataques reales. La actualización 1.3 solo trabaja con algoritmos sin vulnerabilidades, al menos, conocidas.
- Rendimiento. Para el proceso de handshake, el cliente y el servidor intercambian llaves criptográficas y establecen la comunicación. Este proceso de ida y vuelta se conoce como roundtrip. El TLS 1.3 permite que la mayoría de comunicaciones se establezca en un único roundtrip, lo que reduciría mucho los tiempos de la comunicación.
Qué navegadores lo soportan
Los últimos flecos de la definición de TLS 1.3 se cerraron el pasado mes de marzo. La versión definitiva se publicó el día 3 de agosto. Poco después, Mozilla anunciaba que Firefox ya incorporaba, desde su versión 61, uno de los últimos borradores de TLS 1.3. La versión definitiva se soportará con Firefox 63, cuyo lanzamiento está previsto para el mes de octubre. Según sus propios datos, el 5% de las conexiones que se establece en Firefox ya es TLS 1.3.
Algo parecido sucede con Chrome, que también incluía uno de los últimos borradores del protocolo de seguridad en sus versiones anteriores. Chrome 70, en beta desde el pasado 13 de septiembre, ya soporta la versión final de TLS 1.3. Además, Google anunció el 13 de agosto que pasaba a implementar el estándar en todos sus servidores (al igual que Facebook y Cloudfare). La versión definitiva del protocolo está disponible tanto en la última versión de Opera (54) como en iOS 11 (y la recientemente lanzada iOS 12) y en MacOS 10.13.
Por el contrario, Microsoft no ha implementado ninguno de los borradores previos de TLS 1.3. Como han esperado a que se publicase la versión final para ponerse al día, ni Windows ni el navegador Edge soportan el nuevo protocolo de seguridad. Sin embargo, se espera que lo hagan más pronto que tarde. En los próximos meses, se convertirá en el protocolo más utilizado. Que para eso es un estándar.
En Nobbot | ¿Por qué conviene instalar un sistema de seguridad inteligente en casa?
Imágenes | Unsplash/Kevin Ku, Unsplash/Kaur Kristjan, ISOC