Gracias al trabajo de proyectos como Chrome o Firefox, cada vez es más común encontrarse páginas seguras; las reconoces porque usan HTTPS, aunque Chrome incluso ha dejado de avisarnos de esto, ya que es tan común.
Sin embargo, posiblemente no sepas mucho más que eso. HTTPS es seguro, HTTP no lo es. En realidad, hay más detalles y diferencias; y no todas las páginas web basadas en HTTPS son igual de seguras. Y con el lanzamiento de TLS 1.3, esta diferencia será más que notable.
HTTPS es un protocolo basado en HTTP, pero con una capa adicional de seguridad (de ahí la S); esta capa se llama TLS, y es la encargada de cifrar y certificar la conexión. Por lo tanto, es donde se encuentra el meollo del asunto en cuestión de seguridad en la web.
Nuevo TLS 1.3, ya soportado por Chrome y Firefox
La cuestión es que, pese a eso, llevamos desde 2008 usando la misma versión, TLS 1.2; es comprensible, teniendo en cuenta que hasta no hace tanto la mayoría de la web ni siquiera usaba ninguna versión de TLS. Ahora, la Internet Engineering Task Force (IETF) por fin ha completado la nueva versión de este protocolo de seguridad.
TLS 1.3 nace para hacer Internet más segura, y sorprendentemente, también más rápida. Es una versión adaptada a todo lo que ha ocurrido y se ha aprendido en los últimos diez años. Entre esto último, se ha aprendido mucho de Heartbleed, el fallo de seguridad que afectó a servidores de todo el mundo; algunos de los algoritmos de TLS 1.2 también han conseguido
ser vulnerados. Muchas voces apuntan que TLS 1.2 usaba un planteamiento obsoleto ya cuando salió.
Por todo esto, TLS 1.3 apuesta por adoptar una visión más moderna de protección criptográfica en la Web. Permite usar métodos de cifrado más modernos, y cifrar más partes que hasta ahora se comunicaban sin cifrar. Incluye protecciones contra ataques XSS, que inyectan códigos de terceros en las webs que visitamos.
Para diseñarlo, la IETF ha recibido la colaboración de voluntarios, y el proceso de diseño ha sido abierto; esto ha dado lugar a muchos debates, y el resultado ha sido TLS 1.3.
Una Web más rápida además de segura
También llama la atención que TLS 1.3 no se centra sólo en la seguridad; también hay mejoras en la velocidad. En su momento se habló mucho de que algunas webs no querían dar el salto a HTTPS por el aumento de requisitos para los servidores.
Con TLS 1.3, no solo se elimina mucho código innecesario, sino que también se han optimizado algunos procesos; como el de “handshake”, el proceso de comunicación entre nuestro navegador y el servidor, que ocurre antes siquiera de que veamos la página web que queremos.
Aunque TLS 1.3 acaba de ser terminado, ya ha sido adoptado por algunos navegadores y webs, basándose en los borradores publicados hasta ahora. Firefox ya es compatible con TLS 1.3 sin necesidad de hacer nada; y Chrome lo soportaba desde la versión 56. Páginas como Facebook o Google ya han adoptado el nuevo estándar, además de servicios como Cloudflare.
Por supuesto, esto es sólo el principio. El proceso de adopción de TLS 1.3 será largo, pero supondrá una gran mejora para todos los internautas.