Seguridad en Internet - ¿Está al día?
Muchas aplicaciones populares de Internet, como el correo electrónico y los navegadores web, utilizan el protocolo de seguridad de la capa de transporte (TLS) para proteger el tráfico contra escuchas y contra la manipulación de datos en tránsito entre clientes y servidores. Con el tiempo, se han identificado fallos en las primeras versiones de TLS que han dado lugar a mejoras sustanciales del protocolo.
Los documentos que definen la versión 1. 0 y la versión 1.1 de la norma de seguridad de la capa de transporte han recibido el estatus de históricos por parte del Grupo Director de Ingeniería de Internet (IESG). El Grupo de Trabajo de Ingeniería de Internet (IETF ) ha publicado un nuevo documento de Buenas Prácticas Actuales para dejar oficialmente obsoletos TLS 1.0 y TLS 1.1. Como explica dicho documento
Estas versiones carecen de soporte para los algoritmos y mecanismos criptográficos actuales y recomendados, y varios perfiles gubernamentales e industriales de aplicaciones que utilizan TLS ordenan ahora evitar estas versiones antiguas de TLS. La versión 1.2 de TLS se convirtió en la versión recomendada para los protocolos del IETF en 2008 (siendo posteriormente obsoleta por la versión 1.3 de TLS en 2018), lo que proporciona tiempo suficiente para la transición lejos de las versiones antiguas. La eliminación de la compatibilidad con versiones antiguas en las implementaciones reduce la superficie de ataque, disminuye la posibilidad de errores de configuración y agiliza el mantenimiento de bibliotecas y productos.
RFC 8996 Deprecating TLS1.0 and TLS1.1
También se han publicado recientemente recomendaciones relacionadas de las agencias de seguridad nacional (h/t Bulletproof TLS Newsletter):
- La NSA publicó documentación desaconsejando el uso de las antiguas versiones 1.0 y 1.1 de TLS y publicó herramientas de acompañamiento y ejemplos de configuración.
- El Centro Nacional de Ciberseguridad holandés(NCSC) publicó un documento con directrices de seguridad para TLS, en el que recomienda especialmente el uso de TLS 1.3. La seguridad de TLS 1.2 fue rebajada de "Buena" a "Suficiente" por el NCSC.
La última versión de TLS, TLS 1.3, proporciona una mayor seguridad y menos vías para que los atacantes encuentren nuevos fallos. También se ha demostrado que TLS 1.3 mejora el rendimiento, ya que las conexiones seguras tardan menos en establecerse. Esto ayuda a demostrar que se pueden realizar optimizaciones sin comprometer la seguridad. Mejorar la seguridad de las aplicaciones de Internet de todo tipo es imperativo para una Internet sana y en crecimiento. Siga la adopción de TLS1.3 en nuestra página Pulse Enabling Technologies.
Foto de Parrish Freeman en Unsplash