TLS Transport Layer Security — el cifrado bajo HTTPS
El protocolo que autentica servidores y cifra la comunicación bajo la mayor parte de la Internet moderna.
El protocolo criptográfico que autentica servidores y cifra el canal entre cliente y servidor bajo HTTPS, SMTP, IMAP, MQTT y la mayoría de los protocolos de aplicación modernos. El sucesor de SSL —TLS 1.0 reemplazó a SSL 3.0 en 1999; la versión actual es TLS 1.3 (RFC 8446, 2018)—. La autenticación se basa en una cadena de certificados X.509 anclados en una autoridad de certificación de confianza pública.
TLS es el estándar en todo lo que publicamos.
Todas las superficies operadas por NordBastion — el sitio de marketing, el panel de clientes, la API JSON, los endpoints de agentes, la página de estado, el registro .well-known — responden sobre TLS 1.2 o TLS 1.3 con una suite de cifrado moderna, con HSTS precargado y HTTP en el puerto 80 redirigido incondicionalmente a HTTPS. No existe ninguna ruta en texto claro hacia ninguno de nuestros servicios, y no la ha habido desde el lanzamiento.
Para las cargas de trabajo de los clientes, TLS está en tus manos: el VPS te proporciona un servidor Linux y tú aportas la maquinaria de certificados que se adapte a la aplicación — Let's Encrypt para casi todo, un certificado EV de pago si tu auditor de cumplimiento lo exige, una CA privada para servicios internos. Los enlaces de 1 Gbps y el soporte moderno de AES-NI / VAES en las CPU subyacentes significan que el coste de terminación de TLS es esencialmente insignificante incluso a velocidad de línea sostenida.
Dos puntos adyacentes que merece la pena señalar. Primero, TLS no es cifrado de extremo a extremo: un enlace TLS entre un cliente de chat y un servidor de chat protege el cable, pero el operador del servidor todavía puede leer el mensaje. La entrada del glosario de E2EE traza esa línea con precisión. Segundo, TLS autentica servidores por certificado; no autentica a la persona que configuró el servidor. PGP ocupa ese segundo papel para la identidad de grado de huella dactilar.
Las páginas que hacen referencia a este término.
Las preguntas que la gente realmente hace.
¿Cuál es la diferencia entre SSL y TLS?
TLS es el nombre moderno de lo que comenzó como SSL. Los protocolos SSL 2.0 y SSL 3.0 de la época de Netscape fueron renombrados y rediseñados como TLS 1.0 en 1999, y posteriormente como TLS 1.1, 1.2 y 1.3. Los términos «certificado SSL», «SSL/TLS» y similares persisten en el lenguaje de marketing, pero cualquier despliegue moderno saludable utiliza TLS 1.2 o TLS 1.3 en su interior. SSL 2.0 y SSL 3.0 están formalmente obsoletos y no deben habilitarse en ningún lugar.
¿Cómo obtengo un certificado TLS para un dominio en mi VPS?
La respuesta sencilla es Let's Encrypt: una autoridad de certificación gratuita y automatizada que emite certificados con validación de dominio de 90 días mediante el protocolo ACME. El cliente Certbot (o cualquiera de caddy, traefik, nginx-acme, acme.sh) gestiona la emisión, renovación y configuración del servidor web con un solo comando. No gestionamos una CA con la marca NordBastion —Let's Encrypt es la respuesta correcta y apuntamos a ella sin modificaciones—.
¿Es TLS lo mismo que el cifrado de extremo a extremo?
No. TLS protege el enlace entre el cliente y el servidor. Si el servidor es un backend de chat o un proveedor de correo, el operador de ese servidor puede seguir leyendo el mensaje: el cifrado TLS termina en su puerta de enlace. El cifrado de extremo a extremo es una propiedad distinta en la que solo los extremos que se comunican tienen las claves; los servidores intermedios solo ven texto cifrado. La entrada del glosario dedicada al cifrado de extremo a extremo cubre la distinción en profundidad.
¿La API de NordBastion requiere TLS?
Sí —cada endpoint en api.nordbastion.com requiere TLS 1.2 o TLS 1.3 con cifrados modernos; las solicitudes HTTP en el puerto 80 redirigen a HTTPS sin excepción—. Lo mismo aplica al sitio de marketing, el panel de clientes, la página de estado y las superficies .well-known.