¿Es HTTPS lo mismo que SSL? ¿Y cuál es la diferencia entre SSL y TLS?
Respuesta breve
HTTPS no es un protocolo propio: es HTTP normal corriendo dentro de un túnel TLS cifrado. SSL es el nombre antiguo: SSL 2.0/3.0 son los predecesores obsoletos e inseguros de TLS, que los reemplazó (de TLS 1.0 a 1.3). Cuando la gente dice «certificado SSL» o «SSL», casi siempre se refiere en realidad a TLS.
Esta pregunta apila dos trampas: confundir HTTPS con SSL, y equivocar el linaje SSL/TLS. Una terminología descuidada aquí señala conocimiento superficial, aunque el candidato «sepa» de cifrado.
HTTPS no es algo propio
HTTPS es sencillamente HTTP montado sobre TLS. El protocolo de aplicación (HTTP) no cambia; simplemente corre dentro de un túnel cifrado y autenticado que TLS establece primero. TLS aporta confidencialidad, integridad y autenticación del servidor; HTTP fluye después a través de él. Así que «¿es HTTPS lo mismo que SSL?» es un desajuste de categoría: uno es un protocolo de aplicación sobre un transporte seguro, el otro es (un nombre antiguo de) ese transporte seguro.
SSL frente a TLS: cuál vino primero
SSL (Secure Sockets Layer) vino primero: SSL 2.0 y 3.0. Ambos están ahora obsoletos y rotos (POODLE mató a SSL 3.0). TLS (Transport Layer Security) es el estándar sucesor: TLS 1.0, 1.1 (ambos obsoletos), 1.2 y 1.3 (actual). El distractor que dice «SSL es el actual, TLS es el antiguo» es exactamente la inversión que los entrevistadores escuchan.
Por qué persiste el nombre
Costumbre y marketing. «Certificado SSL» se quedó aunque todo certificado moderno se usa con TLS. El protocolo en el cable hoy es TLS; «SSL» es jerga abreviada.
Qué buscan los entrevistadores
Un claro «HTTPS = HTTP sobre TLS», la cronología correcta (SSL y luego TLS), y la conciencia de que «SSL» en uso coloquial significa TLS. Acertar el orden es la verdadera señal.
Posibles preguntas de seguimiento
- ¿Qué versiones de SSL/TLS se consideran inseguras hoy y por qué?
- Si HTTPS es «HTTP sobre TLS», ¿qué añade realmente TLS a HTTP?
- ¿Por qué seguimos diciendo «certificado SSL» cuando nos referimos a TLS?