Muchas aplicaciones populares de Internet, como el correo electrónico y los navegadores web, utilizan la seguridad de la capa de transporte ( TLS) para proteger el tráfico contra escuchas y la manipulación de datos en tránsito entre clientes y servidores. Con el tiempo, se han detectado fallos en las primeras versiones de TLS que han dado lugar a mejoras sustanciales del protocolo.
Los documentos que definen las versiones 1.0 y 1.1 de la norma de Seguridad de la Capa de Transporte han recibido el estatus de Históricos por parte del Grupo Director de Ingeniería de Internet (IESG). El Grupo de Tareas de Ingeniería de Internet (IETF) ha publicado una nueva práctica recomendada actual para dejar de utilizar formalmente TLS 1.0 y TLS 1.1. Como explica ese documento,
Estas versiones carecen de soporte para los algoritmos y mecanismos criptográficos actuales y recomendados, y varios perfiles gubernamentales e industriales de aplicaciones que utilizan TLS exigen ahora evitar estas versiones antiguas de TLS. La versión 1.2 de TLS se convirtió en la versión recomendada para los protocolos del IETF en 2008 (posteriormente quedó obsoleta por la versión 1.3 de TLS en 2018), lo que dio tiempo suficiente para abandonar las versiones anteriores. La eliminación de la compatibilidad con versiones anteriores de las implementaciones reduce la superficie de ataque, disminuye la posibilidad de que se produzcan errores de configuración y agiliza el mantenimiento de las bibliotecas y los productos.
RFC 8996 Anulación de TLS1.0 y TLS1.1
También se han publicado recientemente recomendaciones relacionadas de agencias de seguridad nacionales (h/t Bulletproof TLS Newsletter):
- La NSA publicó documentación desaconsejando el uso de las antiguas versiones 1.0 y 1.1 de TLS y publicó herramientas y ejemplos de configuración complementarios.
- El Centro Nacional de Ciberseguridad holandés(NCSC) publicó un documento con directrices de seguridad para TLS, en el que recomienda especialmente el uso de TLS 1.3. El NCSC ha rebajado la seguridad de TLS 1.2 de “Buena” a “Suficiente”.
La última versión de TLS, TLS 1.3, ofrece mayor seguridad y menos vías para que los atacantes encuentren nuevos fallos. También se ha demostrado que TLS 1.3 mejora el rendimiento, ya que las conexiones seguras tardan menos en establecerse. Esto ayuda a demostrar que se pueden hacer optimizaciones sin comprometer la seguridad. Mejorar la seguridad de las aplicaciones de Internet de todo tipo es imperativo para una Internet sana y en crecimiento. Siga la adopción de TLS1.3 en nuestra página Pulse Enabling Technologies.
Foto de Parrish Freeman en Unsplash