En un artículo anterior desmontamos la trampa del candadito: que el candado del navegador significa "conexión cifrada", no "sitio confiable". Ese era el nivel conceptual. Ahora vamos por dentro, para quien quiere entender cómo funciona SSL/TLS de verdad: qué significan los "bits" de una llave, por qué se usan dos tipos de cifrado distintos, y cómo se construye la cadena de confianza que hace que todo el sistema se sostenga. Sin humo y sin diplomas: con peras y manzanas, pero de verdad.
Primero, un apunte de nombres: SSL es el protocolo original, ya obsoleto; TLS es su sucesor moderno y es lo que realmente se usa hoy. Por costumbre seguimos diciendo "certificado SSL", pero lo que protege tu conexión es TLS. Usaremos los términos como se usan en la calle.
Los dos cifrados que TLS combina
Aquí está el corazón, y es más elegante de lo que parece. Existen dos grandes familias de cifrado:
Cifrado simétrico. Una sola llave sirve para cerrar y abrir, como la de tu casa. Es rapidísimo, ideal para cifrar grandes volúmenes de datos. Su problema: ambos lados necesitan tener la misma llave, y ¿cómo se la pasan sin que alguien la intercepte en el camino? El ejemplo más conocido es AES.
Cifrado asimétrico. Usa un par de llaves matemáticamente ligadas: una pública (que repartes a todo el mundo) y una privada (que guardas como oro). Lo que cifra una, solo lo descifra la otra. Esto resuelve el problema de "cómo nos pasamos la llave", pero es lento: no sirve para cifrar todo el tráfico. El ejemplo clásico es RSA.
El truco de TLS es usar los dos. Al inicio, en el "apretón de manos" (handshake), usa el cifrado asimétrico —lento pero seguro— para dos cosas: verificar la identidad del servidor (con su certificado) y acordar en secreto una llave compartida que nadie más conoce. Una vez que ambos lados tienen esa llave compartida, cambian al cifrado simétrico —rápido— para cifrar toda la conversación real. Lo mejor de los dos mundos: la seguridad del asimétrico para arrancar, la velocidad del simétrico para correr.
Qué significan los "bits" (y por qué confunden)
Cuando oyes "llave de 2048 bits" o "cifrado de 256 bits", son cosas distintas y compararlas directo es un error clásico. El número de bits es, a grandes rasgos, el tamaño de la llave, y más bits significan más combinaciones posibles y por tanto más difícil de romper por fuerza bruta. Pero:
- En simétrico (AES), 256 bits es un nivel de seguridad altísimo. AES-128 ya es robusto; AES-256, más aún.
- En asimétrico (RSA), se habla de 2048 o 4096 bits, números mucho mayores, porque el tipo de matemática es distinto: un RSA de 2048 bits no es "más débil" que un AES de 256 por tener... espera, tiene más bits. Justo ahí está la confusión: no son comparables. Un RSA-2048 ofrece, a groso modo, una seguridad equiparable a un simétrico de ~112 bits. Las matemáticas detrás son diferentes, así que los números no se leen en la misma escala.
- ECC (criptografía de curva elíptica) logra la misma seguridad que RSA con llaves mucho más pequeñas (una ECC de 256 bits ≈ un RSA de 3072 bits), por eso es cada vez más popular: más eficiente.
La lección práctica: no te dejes impresionar por "4096 bits" como si más número fuera siempre mejor. Lo que importa es usar algoritmos modernos y tamaños vigentes; los estándares actuales (RSA 2048+ o ECC) son más que suficientes para la enorme mayoría de los sitios.
La confianza: ¿por qué tu navegador cree en un certificado?
El cifrado protege la conversación, pero falta una pieza: ¿cómo sabe tu navegador que el servidor con el que habla es de verdad quien dice ser, y no un impostor? Ahí entra la cadena de confianza y las autoridades de certificación (CA). Es lo que convierte al cifrado en confianza, y merece su propio artículo:
- → Autoridades de certificación y la cadena de confianza
- → Wildcards y SAN: un certificado para muchos nombres
- → Let's Encrypt, ACME y AutoSSL: certificados gratis y automáticos
- → TLS para correo: STARTTLS, puertos y por qué cifrar el correo
La idea que se queda
SSL/TLS no es una caja negra ni un candado mágico: es una combinación inteligente de dos tipos de cifrado, respaldada por un sistema de confianza en cadena. Entender que el asimétrico arranca y el simétrico corre, que los "bits" no se comparan entre familias, y que la confianza se hereda de una autoridad, te da algo valioso: la capacidad de tomar decisiones informadas sobre certificados en lugar de comprar el más caro "por si acaso". Montar y renovar todo esto sin sobresaltos es parte de un hosting bien administrado.