imagen TLS1.0 antiguo

El COVID-19 obliga a mantener TLS 1.0 en nuestros navegadores WEB.

Debida a la situación actual de alarma en la que nos encontramos derivada por la pandemia ocasionada por el COVID-19, nos podemos encontrar con circunstancias o con historias tan insólitas como la que se va a contar a continuación.

Esta trata de como el virus ha podido detener los planes de las grandes empresas del sector tecnológico impidiendo a los principales proveedores de navegación web su afán de actualizar los protocolos de seguridad de la capa de transporte TLS 1.0 y 1.1, que actualmente se encuentran obsoletos, provocando que sean inseguros.

Tenemos que saber que TLS es un protocolo de proporciona seguridad en las comunicaciones informáticas, especialmente en Internet, cifrando la comunicación, garantizando la confidencialidad e integridad de los datos que navegan por la red, (podemos identificar una conexión segura en Internet si la web tiene HTTPS), este protocolo también es usado por los clientes de correo electrónico, y en aplicaciones de mensajería instantánea, como WhatsApp.

Actualmente este protocolo cuenta con varias versiones en uso siendo TLS 1.2 y la reciente 1.3 siendo ahora altamente compatibles, las versiones 1.0 y 1.1 son tan antiguas que han acumulado numerosas vulnerabilidades que las vuelven inseguras, ocasionando ataques como las que sufrieron las empresas BEAST en 2011, Luchy Thirtenn en 2013 y POODLE SSL en 2014, entre otros.

Todo esto generó una preocupación en el sector por lo que en 2018 se pusieron de acuerdo las grandes compañías tecnológicas para subsanar dicho problema, por lo que nos encontramos con que Google, Microsoft, Apple y Mozilla, anunciaron que trabajarían de forma conjunta para deshabilitar el soporte a TLS 1.0 y TLS 1.1 en Chrome, Edge, Safari y Firefox a lo largo del año 2020.

Uno se puede preguntar: ¿Qué tiene que ver todo lo anteriormente expuesto con el COVID-19?

Cuando realizamos esta pregunta empresas como Microsoft alega a las “circunstancias globales actuales”, Mozilla por su parte, fue más comunicativo:

<<Revertimos el cambio por un periodo de tiempo indeterminado para permitir el acceso a sitios críticos del gobierno que comparten información del COVID19.>>

Es decir, lo que se está indicando es que, si se cambia de protocolo, webs que no se han adaptado, se encontrarían con la situación de que el número de visitas que recibirían sería mucho menor produciendo el cierre de muchas de ellas, incluyendo todas aquellas que realizan una labor fundamental a día de hoy que es la de informar y aconsejar sobre el COVID-19, estas acabarían desapareciendo, porque a la hora de entrar los usuarios se encontrarían con una advertencia de seguridad, indicando que el sitio no es seguro.

Irónicamente, este es el problema que obstaculiza la eliminación gradual de las versiones antiguas e inseguras del protocolo TLS, el hecho molesto de que existe una cantidad significativa de sitios web que deberían de haber desterrado estas versiones y no lo han hecho, forzando el actual retraso y futuras demoras en caso de que la circunstancia actual se mantenga prolongada en el tiempo.