{"id":770,"date":"2020-08-13T08:09:08","date_gmt":"2020-08-13T08:09:08","guid":{"rendered":"https:\/\/www.mainmind.com\/blog\/?p=770"},"modified":"2020-08-13T08:13:56","modified_gmt":"2020-08-13T08:13:56","slug":"seguridad-y-privacidad-tls-1-3","status":"publish","type":"post","link":"https:\/\/www.mainmind.com\/blog\/seguridad-y-privacidad-tls-1-3\/","title":{"rendered":"Seguridad y privacidad: TLS 1.3"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">La guerra entre los navegadores m\u00e1s populares a d\u00eda de hoy (Chrome, Firefox, Edge &#8211; <em>El artista anteriormente conocido como Internet Explorer<\/em>, Opera, Safari, Konqueror&#8230; tiene sus precuelas a\u00f1os atr\u00e1s. Una de ellas tiene nombre propio: Netscape Navigator.<\/p>\n\n\n\n<div class=\"wp-block-media-text alignwide has-media-on-the-right is-stacked-on-mobile\" style=\"grid-template-columns:auto 15%\"><figure class=\"wp-block-media-text__media\"><img loading=\"lazy\" decoding=\"async\" width=\"200\" height=\"200\" src=\"https:\/\/www.mainmind.com\/blog\/wp-content\/uploads\/2020\/netscape_navigator_ani.gif\" alt=\"\" class=\"wp-image-771\"\/><\/figure><div class=\"wp-block-media-text__content\">\n<p class=\"has-large-font-size wp-block-paragraph\">Si lo conoces, seguramente te toc\u00f3 navegar por las primeras webs con m\u00f3dem anal\u00f3gico y su sonido caracter\u00edstico.<\/p>\n<\/div><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">Desde 1994, este navegador ya desaparecido, fue mejorando las <a rel=\"noreferrer noopener\" href=\"https:\/\/tools.ietf.org\/html\/rfc6101\" data-type=\"URL\" data-id=\"https:\/\/tools.ietf.org\/html\/rfc6101\" target=\"_blank\">especificaciones<\/a> necesarias para implementar \u00ab<em>el candadito<\/em>\u00bb del navegador. No fue hasta su versi\u00f3n 3.0 y un par de vulnerabilidades despu\u00e9s que har\u00eda p\u00fablica y operativa pero sent\u00f3 las bases del intercambio seguro de datos entre dos partes.<\/p>\n\n\n\n<!--more-->\n\n\n\n<p class=\"wp-block-paragraph\">Como todo en seguridad inform\u00e1tica, es relativa. Cuando indicamos que un \u00abintercambio de datos es seguro\u00bb, cabe detallar que es seguro en este momento o por los recursos necesarios para no serlo. Por ejemplo, si son necesarios la capacidad de 100 ordenadores y 10 a\u00f1os para interceptar\/descifrar\/vulnerar una comunicaci\u00f3n entre dos partes, decimos que es \u00abseguro\u00bb. La inversi\u00f3n econ\u00f3mica y de tiempo necesaria para hacerla vulnerable normalmente no compensa el esfuerzo necesario para realizarla.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Entramos en el juego continuo del gato y el rat\u00f3n, la aparici\u00f3n de SSL (secure sockets layer \/ capa de puertos seguros) deriv\u00f3 en el desarrollo de TLS (transport layer security \/ seguridad de la capa de transporte), el conjunto de ambos facilita que dos partes negocien entre ellas que claves y de que tipo se van a utilizar para cifrar los datos. Un s\u00edmil sencillo, si dos personas quieren comunicarse con walki talkies entre ellas, acuerdan que para iniciar la conversaci\u00f3n dir\u00e1n \u00abhola charlie\u00bb y para acabar la frase \u00abcambio\u00bb o \u00abcambio y corto\u00bb.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Con el paso de los a\u00f1os los sistemas de cifrado de seguridad se mejoran y encuentran fallos, por lo que los diferentes algoritmos han sido sustituidos por otros m\u00e1s seguros: DES, 3DES, RC4&#8230; en las diferentes versiones del protocolo TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3 <\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"531\" src=\"https:\/\/www.mainmind.com\/blog\/wp-content\/uploads\/2020\/ssl_tls_handshake-1024x531.jpg\" alt=\"\" class=\"wp-image-772\" srcset=\"https:\/\/www.mainmind.com\/blog\/wp-content\/uploads\/2020\/ssl_tls_handshake-1024x531.jpg 1024w, https:\/\/www.mainmind.com\/blog\/wp-content\/uploads\/2020\/ssl_tls_handshake-300x156.jpg 300w, https:\/\/www.mainmind.com\/blog\/wp-content\/uploads\/2020\/ssl_tls_handshake-768x398.jpg 768w, https:\/\/www.mainmind.com\/blog\/wp-content\/uploads\/2020\/ssl_tls_handshake.jpg 1236w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">Ahora que hemos iniciado la comunicaci\u00f3n y nos hemos puesto de acuerdo en que cifrado\/configuraci\u00f3n\/comprobaci\u00f3n utilizaremos, necesitamos que la parte que inici\u00f3 la conversaci\u00f3n verifique la identidad de quien dice ser la otra parte. Para ello se comprueba el certificado del servidor con las principales Autoridades de Certificaci\u00f3n (AC).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">El cifrado asim\u00e9trico, algoritmos de comprobaci\u00f3n y claves proporcionan seguridad no solo a la navegaci\u00f3n web, tambi\u00e9n las comunicaciones de correo electr\u00f3nico, VozIP, mensajer\u00eda, DNS over TLS (DoT), DNS over HTTPS (DoH)&#8230;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En la implentaci\u00f3n real y masiva de este tipo de seguridad apareci\u00f3 un problema pr\u00e1ctico, la necesidad de disponer de 1 direcci\u00f3n IP por cada dominio\/certificado (o un peque\u00f1o grupo de dominios). Simplificando nuevamente, si llamamos al timbre de un bloque de pisos, necesitar\u00edamos un certificado y direcci\u00f3n completa de cada vivienda en lugar de disponer de uno com\u00fan para toda la comunidad que nos identificara por el piso y puerta posteriormente. En 2018-2019 apareci\u00f3 SNI (Server Name Indication \/ indicador del nombre del servidor) como extensi\u00f3n del protocolo TLS para permitir en un servidor m\u00faltiples certificados en una misma direcci\u00f3n IP y puerto, en el inicio de la comunicaci\u00f3n se a\u00f1ade el nombre del dominio completo al que se accede para verificarlo.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Hasta aqu\u00ed todo correcto y \u00abseguro\u00bb. Pero&#8230; \u00bfy si utilizamos esta nueva informaci\u00f3n para registrar todo el destino del tr\u00e1fico de una persona? Es decir, si accede a una web segura con TLS 1.3 y SNI en el mensaje, podemos registrar que sitios web navega. Para la mayor\u00eda de personas esto no resultar\u00e1 un problema, aunque debamos tener en cuenta que la informaci\u00f3n que generamos deber\u00edamos tenerla bajo control siempre.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Si saltamos de continente y nos situamos en China (aunque tal como vamos, en Espa\u00f1a puede acabar pasando lo mismo), resulta que controlar que webs se visualizan y quien lo hace es una informaci\u00f3n que puede ser utilizada con otros fines menos tecnol\u00f3gicos&#8230; <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La soluci\u00f3n t\u00e9cnica ha pasado por encriptar el nombre del dominio que se env\u00eda en el mensaje inicial (Encrypted SNI \/ ESNI) y la respuesta del llamado Gran Firewall Chino (GFW) ha sido <a rel=\"noreferrer noopener\" href=\"https:\/\/geneva.cs.umd.edu\/posts\/china-censors-esni\/esni\/\" data-type=\"URL\" data-id=\"https:\/\/geneva.cs.umd.edu\/posts\/china-censors-esni\/esni\/\" target=\"_blank\">bloquear toda comunicaci\u00f3n mediante TLS 1.0 y ESNI<\/a>, continuar\u00e1&#8230;<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"700\" height=\"350\" src=\"https:\/\/www.mainmind.com\/blog\/wp-content\/uploads\/gran_firewall_chino.jpg\" alt=\"\" class=\"wp-image-775\" srcset=\"https:\/\/www.mainmind.com\/blog\/wp-content\/uploads\/gran_firewall_chino.jpg 700w, https:\/\/www.mainmind.com\/blog\/wp-content\/uploads\/gran_firewall_chino-300x150.jpg 300w\" sizes=\"auto, (max-width: 700px) 100vw, 700px\" \/><\/figure><\/div>\n","protected":false},"excerpt":{"rendered":"<p>La guerra entre los navegadores m\u00e1s populares a d\u00eda de hoy (Chrome, Firefox, Edge &#8211; El artista anteriormente conocido como Internet Explorer, Opera, Safari, Konqueror&#8230; tiene sus precuelas a\u00f1os atr\u00e1s. Una de ellas tiene nombre propio: Netscape Navigator. Si lo conoces, seguramente te toc\u00f3 navegar por las primeras webs con m\u00f3dem anal\u00f3gico y su sonido [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":775,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[19],"tags":[616,450,619,618,620,621,615,309,617,44,614,95],"class_list":["post-770","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad","tag-3des","tag-crl","tag-dns-over-https","tag-dns-over-tls","tag-dnssec","tag-encrypted-sni","tag-perfect-forward-secrecy","tag-pki","tag-rc2","tag-ssl","tag-tls-1-3","tag-x-509"],"_links":{"self":[{"href":"https:\/\/www.mainmind.com\/blog\/wp-json\/wp\/v2\/posts\/770","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.mainmind.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mainmind.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mainmind.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mainmind.com\/blog\/wp-json\/wp\/v2\/comments?post=770"}],"version-history":[{"count":0,"href":"https:\/\/www.mainmind.com\/blog\/wp-json\/wp\/v2\/posts\/770\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.mainmind.com\/blog\/wp-json\/wp\/v2\/media\/775"}],"wp:attachment":[{"href":"https:\/\/www.mainmind.com\/blog\/wp-json\/wp\/v2\/media?parent=770"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mainmind.com\/blog\/wp-json\/wp\/v2\/categories?post=770"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mainmind.com\/blog\/wp-json\/wp\/v2\/tags?post=770"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}