El documento habla sobre los protocolos SSL y TLS, los cuales proveen privacidad e integridad en la comunicación a través de redes al cifrar la información transmitida para que solo los emisores y receptores legítimos tengan acceso a la misma. Explica que SSL es el predecesor de TLS y que ambos operan en la capa de transporte utilizando criptografía simétrica y asimétrica para generar claves de sesión que permitan comunicaciones cifradas. También detalla los pasos del funcionamiento del protocolo HTTPS el cual combina SSL/

1. TALLER DE SEGURIDAD WEB
UNIDAD II: Protocolos SSL y TLS
Integrantes del Equipo:
Gildardo Jonás Damián Santiago
Luis Daniel Bautista Zamora
Moisés Jiménez Chávez
Rogelio Valdivia Añorve
M.C Simon Lopez Cruz

2. 2.1 Seguridad en la capa de transporte
El nivel de transporte o capa de transporte es el cuarto nivel del modelo OSI,1 y está encargado de la
transferencia libre de errores de los datos entre el emisor y el receptor, aunque no estén directamente
conectados, así como de mantener el flujo de la red. Es la base de toda la jerarquía de protocolo. La tarea de
esta capa es proporcionar un transporte de datos confiable y económico de la máquina de origen a la máquina
destino, independientemente de las de redes físicas en uno.
Sin la capa transporte, el concepto total de los protocolos en capas tendría poco sentido.
Capa de transporte:

3. El protocolo SSL, "Secure Socket Layer" (en español, capa de puertos seguros), es
el predecesor del protocolo TLS "Transport Layer Security" (Seguridad de la Capa
de Transporte, en español). Se trata de protocolos criptográficos que proporcionan
privacidad e integridad en la comunicación entre dos puntos en una red de
comunicación. Esto garantiza que la información transmitida por dicha red no
pueda ser interceptada ni modificada por elementos no autorizados, garantizando de
esta forma que sólo los emisores y los receptores legítimos sean los que tengan
acceso a la comunicación de manera íntegra.
2.2 Protocolo ssl

4. La primera versión de SSL (SSLv2) fue introducida por Netscape en su navegador con
la intención (fallida) de crear un monopolio de certificación.
Microsoft, de acuerdo con su práctica habitual, introdujo algunas “mejoras” y creó un
producto paralelo e incompatible conocido por PCT (Private Communications
Technology).

5. Netscape creó en consecuencia una vasta mejora del protocolo, bajo el nombre de SSLv3.
La IETF, en vista del daño que para la industria representaría la existencia de tres
estándares similares pero incompatibles, introdujo un cuarto protocolo similar pero
incompatible denominado TLS (Transport Layer Security) [3]
La versión del protocolo más ampliamente desarrollada y extendida es SSL versión 3.

6. El objetivo de SSL consiste en construir, sobre el servicio de stream fiable de TCP, un
stream fiable cifrado con protección de integridad y con autenticación (posiblemente mutua)
entre cliente y servidor.
Para esto, el stream se divide en registros (records) dotados de cabecera y protección
criptográfica.
En el protocolo básico, Alicia (el cliente) inicia contacto con Bernardo (el servidor). Éste le
envía su certificado. Alicia lo verifica y extrae de él la clave pública de Bernardo. Alicia
genera un número aleatorio secreto S y se lo envía a Bernardo cifrado con su clave pública,
EB(S).
A partir de aquí se generan seis claves de sesión que permiten que el resto de la
comunicación sea cifrada y protegida en su integridad.

7. ¿Cómo funciona el Protocolo SSL?
En el protocolo SSL se utiliza tanto criptografía asimétrica como simétrica. La
primera se utiliza para realizar el intercambio de las claves, que a su vez serán usadas
para cifrar la comunicación mediante un algoritmo simétrico.
En el caso de los sitios web, para el funcionamiento de este protocolo, lo que se
necesita utilizar es un certificado SSL. El servidor web tendrá instalado uno y cuando
un cliente intente acceder a él, le remitirá el mismo con la clave pública del servidor,
para enviar de esta forma la clave que se usará para realizar la conexión de manera
segura mediante un cifrado simétrico.

8. Mediante un ejemplo concreto, vamos e explicar cómo funciona el protocolo SSL/TLS
combinado con HTTP, para dar lugar a la versión segura de HTTP o HTTPS. Para ello,
vamos a pasar a detallar paso a paso, lo que sucede cuando un cliente accede a un sitio
web de un servidor con un certificado SSL a través del protocolo HTTPS:
*Un usuario realiza una petición HTTP segura a través de un navegador a un sitio
web (HTTPS://www.redalia.es/)

9. *El servidor donde está alojado el sitio web, envía (si lo tiene) el certificado que
incluye la clave pública del servidor. En caso de no tener certificado SSL, se producirá
un error.
*El navegador comprueba que la entidad emisora del certificado o CA sea de
confianza. En caso contrario, pedirá al usuario que acepte el certificado bajo su
responsabilidad.
*Llegados a este punto, el navegador generará una clave simétrica, que será
cifrada mediante la clave pública del servidor para ser enviada de manera segura
al mismo.

10. *De esta forma, la comunicación ya se ha establecido de manera segura, y será
cifrada en ambos sentidos mediante la clave generada en el punto anterior.