Los sistemas de cifrado SSL (Secure Sockets Layer) y TLS (Transport Layer Security) añaden una capa en la que la información entre dos puntos va cifrada. Esto hace que si alguien intercepta las comunicaciones tenga más difícil saber sus contenidos.
En Europa, por defecto, debería ser obligatorio en todo sitio web debido al RGPD.
Existen muchas versiones de estos sistemas:
- SSL 1.0 nunca llegó a ver la luz.
- SSL 2.0 lanzado en 1995 y válido hasta 2014 que quedó obsoleto.
- SSL 3.0 lanzado en 1996 y válido hasta 2015 tras la aparición de POODLE (un fallo de seguridad muy grande que afectaba a todas las versiones de SSL).
- TLS 1.0 (RFC 2246) se consideraba una evolución de SSL 3.0 para ser compatibles. En junio de 2018 se recomendó subir a TLS 1.1.
- TLS 1.1 (RFC 4346) incluía, principalmente, mejoras sobre los ataques Cipher Block Chaining (CBC). Apple, Google, Microsoft y Mozilla dejarán de darle soporte en marzo de 2020.
- TLS 1.2 (RFC 5216) lanzado en 2008 incluye unas cuantas mejoras y posteriormente los TLS dejas de ser compatible con SSL (RFC 6176).
- TLS 1.3 (RFC 8446) lanzado en agosto de 2018 y es la versión que incluye más cambios de todas las versiones en cuanto a seguridad.
Hoy en día, gracias al lanzamiento de OpenSSL 1.1.1 que da soporte a TLS 1.3, todos los sitios web deberían intentar usar esta versión del sistema. Si no se usa, al menos usar la TLS 1.2.
Si quieres analizar la versión y seguridad de tu sitio según sus certificados, puedes usar la herramienta de SSL Labs.