Los cambios en Debian marcan el comienzo del fin de TLS 1.0 y 1.1

¿Usas Internet? Claro que sí. Si estás leyendo esto, ya sea en tu ordenador o en tu móvil, estás conectado a Internet en este momento. TLS (Transport Layer Security), el sucesor de SSL (Secure Sockets Layer), cifra muchos de los protocolos de Internet que empleamos a diario. Cada vez que envías información confidencial como credenciales de autenticación o datos financieros, deberías asegurarte a que aparece HTTPS en la barra de direcciones. De hecho cada vez más webs utilizan el HTTPS, de manera que, con un poco de suerte, en un futuro cercano, toda la web se basará en el puerto 443, el que usa HTTPS. TLS también se utiliza en otros servicios como FTP o VPN.

Aunque TLS cifra el tráfico de Internet para mejorar la seguridad, dista mucho de ser perfecto. ¿Recordáis Heartbleed en 2014? Un simple error de sintaxis hizo que no sirviera para nada el cifrado TLS en la mayoría de las versiones de OpenSSL 1.0.1.

Ahora ha llegado el momento de asegurarse que todo el software que usemos sea compatible con TLS 1.2. Este protocolo fue definido por primera vez en agosto de 2008, así que es de esperar que los desarrolladores estén al día, ya que TLS 1.2 soluciona varios problemas de cifrado que afectan a TLS 1.0 y 1.1.

Kurt Roecks, un desarrollador de Debian, ha dejado de dar soporte a TLS 1.0 y 1.1 siendo compatible únicamente con TLS 1.2, en la implementación de OpenSSL de la versión “inestable” de Debian. Es posible que esto cause algunos problemas ya que no todos los servidores son compatibles al 100% con TLS 1.2. De todas maneras esperan que cuando salga Buster (Debian Linux 10) esté todo solucionado y se pueda abandonar definitivamente las versiones obsoletas de TLS.

El cambio realizado por Roeck solo afectará a Debian Linux 10 y las distribuciones de Linux que lo contengan, como las futuras versiones de Ubuntu y Linux Mint. Pero considerando los problemas de seguridad de TLS 1.0 y 1.1 deberemos chequear que todo el software que empleemos sea compatible con TLS 1.2 independientemente del sistema operativo y navegador utilizado.

Qualys SSL Labs tiene una lista de los navegadores, versiones de Android, versiones de OpenSSL y Java que soportan o no TLS 1.2. Deberías chequear si usas Android 4.3 o anteriores, Internet Explorer 10, Firefox 26, o Chrome 29, no tienes suerte, actualiza tu software ya.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: