Cuando en su barra de navegación la URL comienza con HTTPS en lugar de HTTP, significa que el navegador está usando un esquema seguro para proteger la información que está siendo transferida. Este esquema HTTPS es el que toda transacción comercial en Internet debe de usar. A este esquema se le conoce como Capa de Conexión Segura (Secure Sockets Layer o SSL).

En enero de 1999, UnDíaComoHoy, el protocolo SSL 3.0 evolucionó al protocolo de Seguridad de la Capa de Transporte (Transport Layer Security o TLS). Tanto SSL como TLS son protocolos criptográficos que proporcionan comunicaciones seguras por un red, comúnmente por Internet.

Pero vamos por partes: el protocolo SSL fue desarrollado originalmente por Netscape. La versión 1.0 nunca se entregó públicamente; la versión 2.0 se presentó en febrero de 1995 pero “contenía una cantidad de fallas de seguridad que al final llevaron al diseño de la versión SSL 3.0”.

El borrador de 1996 de SSL 3.0 fue publicado por la Fuerza de Tareas de Ingeniería de Internet (IETF) como el histórico RFC 6101. Sin embargo, continúa reportando fallas, pues apenas en octubre del 2014 se generó una nueva vulnerabilidad sobre el protocolo SSL en su versión 3.0, llamada Vulnerabilidad de Poodle. No obstante, las versiones más nuevas de SSL/TLS están basadas en SSL 3.0.

Por su parte, el protocolo TLS 1.0 fue definido en el RFC 2246 en enero de 1999 y es una actualización de SSL versión 3.0. Como argumenta el RFC, “las diferencias entre este protocolo y SSL 3.0 no son dramáticas, pero son significativas al impedir la interoperabilidad entre TLS 1.0 y SSL 3.0”. TLS 1.0 incluye una forma en la cual la implementación puede conectarse en SSL 3.0, debilitando la seguridad.

Las versiones posteriores de TLS (v1.1 y v1.2) son significativamente más seguras, ya que corrigen muchas vulnerabilidades presentes en la versión 3.0 de SSL y TLS 1.0.

-José Luis Becerra, CIO México