Llega TLS 1.3: más seguro y más rápido

El sucesor de TLS 1.2 llega a su versión final y comenzará a convertirse en el estándar


Fernando Ortega @Fernando,

The Internet Engineering Task Force (IETF), el organismo encargado de aprobar estándares y protocolos en internet, ha dado el visto bueno a la versión final del esperado TLS 1.3, aunque no sin una cierta polémica ya que las entidades bancarias habían solicitado que el protocolo tuviera una puerta trasera para que pudieran controlar los contenidos de sus intranets, algo que obviamente es absurdo ya que hubiera comprometido un protocolo que precisamente busca la máxima seguridad

Las novedades introducidas

TLS 1.3 elimina las siguientes características obsoletas:

  • Static RSA handshake
  • CBC MtE modes
  • RC4
  • SHA1, MD5
  • Compression
  • Renegotiation

TLS 1.3 añade nuevas características:

  • Full handshake signature
  • Downgrade protection
  • Abbreviated resumption with optional (EC)DHE
  • Curve 25519 and 448

Mayor seguridad

El protocolo evoluciona y para mejorar la seguridad elimina algoritmos que a día de hoy se consideran débiles, como MD5 y SHA-224. A cambio, introduce algoritmos mucho más potentes como ChaCha20, Poly1305, Ed25519, x25519, y x448.

Mayor velocidad

Otra novedad que sin duda celebrarán todos los usuarios es que con esta nueva versión de TLS se implementan nuevas características que mejorar la velocidad de carga. Entre las principales novedades están la mejora de los tiempos al establecer la conexión inicial entre el cliente y el servidor ya que intercambian información de una forma mucho más ágil

Pero no sólo mejora en la conexión inicial, sino que además en las siguientes conexiones se necesitan realizar menos comprobaciones y se aumenta la velocidad gracias a características como TLS False Start and Zero Round Trip Time (0-RTT).

TLS 1.3 se convierte en el nuevo estándar

La migración no será inmediata, pero se prevee que en los próximos meses esta nueva versión se convierta en la versión estándar. Actualmente los navegadores principales ya soportan las versiones preliminares del protocolo, y tras este anuncio comenzarán a adaptar el soporte a esta versión definitiva.

Donde requerirá algo más de tiempo la adaptación, como es lógico, será en el lado de servidor, ya que habrá que ir actualizando los servicios que utilizan SSL. El 20 de marzo fue lanzado OpenSSL 1.1.1 que ya soporta el protocolo, y habrá que ir activándolo en los distintos servicios que ya están introduciendo soporte: Apache, Nginx, Postfix, etc...