¿Cuando ocurre la negociación (SSL handshake) servidor-cliente?

Cuando un internauta ingresa en una página web para registrarse, loguearse o realizar alguna transacción que implique intercambio de información privada y la página cuenta con SSL o protocolo https, se ejecuta un proceso llamado popularmente Handshake, o, en español, “apretón de manos”; aludiendo a cuando en negocios hacemos este gesto de cordialidad, para establecer una relación de confianza.

Una vez que se haya establecido una comunicación segura, se mantiene así mientras se estén transmitiendo datos, y cuando la conexión termina, se termina el SSL.

¿Cómo es todo el proceso del handshake SSL?

Antes de que se active el protocolo SSL, deebe hacerse una solicitud. Normalmente esto implica que el cliente está en una página web interactuando con ella. Una vez que el usuario realiza la solicitud (loguearse en una página, por ejemplo) el cliente y el servidor comienzan a negociar la conexión SSL, es decir, se da el SSL handshake.

Durante el handshake se logran varios objetivos. Por un lado se cumple con la autenticación del servidor y opcionalmente del cliente, se definen qué algoritmos de criptografía se emplearán y se genera una llave secreta que se utilizará durante el intercambio de los siguientes mensajes mientras dure la comunicación SSL.

Los pasos mucho más detallados son los siguientes:

Saludo del servidor: El servidor responde enviando al cliente un identificador digital que incluye una llave pública, un conjunto de algoritmos criptográficos y de compresión y otro número aleatorio. El algoritmo a utilizar dependerá de qué tanta robustez soportan tanto el cliente como el servidor.

Aprobación del cliente: El cliente debe verificar la veracidad del identificador digital o certificado enviado por el servidor. Se hace desencriptando el certificado empleando la llave pública del emisor y definiendo si proviene de alguna entidad certificadora realmente de confianza. A continuación se realizan una serie de verificaciones: certificado, fecha, URL del servidor, etc. Lo siguiente es que el cliente genera una llave aleatoria que se encripta usando la llave pública del servidor y el algoritmo criptográfico y de compresión seleccionado con anterioridad. Esta llave va a funcionar en caso de que el handshake sea exitoso y se usará a lo largo de la interacción.

Verificación: A estas alturas, ya ambas partes conocen la llave, el cliente porque la generó, y el servidor porque la recibió usando su llave pública. Se realiza entonces la última verificación para comprobar si efectivamente la información transmitida no ha sido violada. Si ambas partes confirman la validez de las transacciones anteriores, el handshake se completa.

Ya tanto el cliente como el servidor están listos para intercambiar información de forma segura, usando la llave secreta acordada y los algoritmos criptográficos de compresión.

Para que ningún navegador considere tu dominio web inseguro, el certificado SSL es sumamente importante. Y considerar el grado de seguridad que te brinda, también. Por eso al adquirirlo debes leer con mucho detenimiento cuáles son sus especificaciones, y verificar qué tipo de certificado SSL te conviene más según, también, el tipo de negocio que manejas.

Si algo todavía no te queda muy claro, ¡tranquilo! En HostDime tienes todo mayo para aprender más sobre certificados SSL,¡atento a nuestras próximas publicaciones! Y comenta en nuestras Redes Sociales qué otro tema te parece interesante conocer.

María Fernanda Toro

Licenciada en Letras, apasionada por la redacción creativa y el Marketing Digital. Convencida de que decirlo no basta, debe ser en el lugar indicado, con las palabras correctas y mucha creatividad.

Post Views: 2.499

Posted By

María Fernanda Toro

Licenciada en Letras, apasionada por la redacción creativa y el Marketing Digital. Convencida de que decirlo no basta, debe ser en el lugar indicado, con las palabras correctas y mucha creatividad.