La seguridad en Internet es fundamental. Por este motivo se trata de proteger a usuarios y servidores de ataques maliciosos tanto con estándares como con certificados y protocolos como el protocolo Transport Layer Security (TLS). No obstante, este contiene algunos problemas, de ahí que se haya creado una extensión conocida como Server Name Indication (SNI), en castellano, indicador del nombre del servidor.
Para poder entender los motivos que impulsaron el desarrollo de SNI, hay que comprender primero el funcionamiento de TLS. El sucesor del protocolo Secure Sockets Layer (SSL) se conoce como protocolo de mutuo acuerdo TLS (handshake TLS). Aquí, tanto el cliente como el servidor, que en la práctica se suelen corresponder con el navegador y la página web, intercambian información incluso antes de que empiecen a transferirse los datos. En esta presentación virtual, el servidor se identifica ante al cliente enviando el certificado de seguridad correspondiente. Una vez que este lo ha verificado, ambas partes inician la comunicación e intercambian datos. Por el contrario, si la verificación falla, no tiene lugar la transferencia de datos.
Pero ¿qué sucede cuando varias páginas web se alojan en una misma dirección IP como en el caso del hosting virtual? Dado que IPv6 no se ha impuesto todavía, se trabaja en un espacio de direcciones IP muy limitado y, en consecuencia, cada dominio no puede reclamar una dirección IP propia. Entonces ¿a quién dirige “su saludo” el cliente, esto es, el primer paso requerido en un protocolo de mutuo acuerdo TLS? Existe una probabilidad muy alta de que responda la web equivocada, no envíe un certificado correcto con el nombre de host adecuado y no se establezca la conexión. Por eso, es importante que el cliente comunique al servidor con qué dominio (host) quiere iniciar una conexión, actividad adjudicada al Server Name Indication.
Si al comparar el certificado aparece alguna discrepancia (por ejemplo, el nombre de la página web solicitada no coincide en absoluto con el nombre del certificado), el cliente interrumpe la comunicación. El motivo se debe a que tal tipo de incongruencia puede traer consigo un gran riesgo para la seguridad en forma de ataque man in the middle.
No suele haber ningún problema cuando se da el caso de que en una conexión insegura se alojen varias webs en una misma dirección IP. En HTTP está estipulado que se indique en el encabezado el nombre del host cuando se solicita una página web. No obstante, en TLS el acuerdo tiene lugar incluso antes de que el navegador pueda enviar estos datos. El Server Name Indication se encarga de transmitir el nombre del host antes de que servidor y cliente intercambien el certificado.
SNI es una extensión del protocolo de cifrado TLS que a su vez forma parte de la pila de protocolos TCP/IP y se encarga de ampliar el protocolo Transmission Control Protocol (TCP) con un cifrado. HTTP pasa a ser HTTPS a través de una capa adicional. Si se ha ampliado TLS con el Server Name Indication, el protocolo de seguridad proporciona un campo adicional para el acuerdo mutuo. En el campo ClientHelloExtension se encuentra el campo opcional ServerName, donde el cliente introduce el nombre del host al que se quiere dirigir (lo que el navegador asume automáticamente), asegurándose de que responde el host adecuado.
Como usuarios de Internet habituales no tendríamos por qué siquiera conocer los procesos en torno a SNI. La mayoría de los usuarios no tienen que instalar ni configurar nada y basta con usar un sistema operativo y un navegador actualizados: Firefox, Chrome, Edge, Opera y Safari son compatibles por defecto con la extensión. No obstante, Server Name Indication no está disponible para los usuarios que siguen utilizando Windows XP u otras versiones de Windows antiguas junto a Internet Explorer. Si se usa un sistema operativo que no puede seguir siendo actualizado, se puede utilizar un navegador que sí soporte el indicador del nombre del servidor. También la mayoría de los navegadores de los dispositivos móviles utilizan SNI.
La situación cambia cuando se trata de administrar un servidor web, ya que entonces hay que tomar una serie de medidas en función del servidor que se utiliza. Desde ISS 8, Microsoft ha integrado por defecto una opción para el Server Name Indication en su software. No obstante, no ocurre igual en el servidor HTTP de Apache, que permite integrar SNI a través de Open SSL (mod_ssl). Básicamente solo es necesario ejecutar el módulo con las extensiones TLS, que vienen por defecto a partir de la versión 0.9.8k. Para poder ver las instrucciones detalladas sobre la instalación en Apache de SNI basta con acceder a Apache HTTP Server Wiki.
También Nginx soporta SNI a partir de la versión 0.5.23, funcionando en principio como Apache. Para comprobar si la versión del operador es compatible con Server Name Indication, basta con introducir el comando nginx –V. Si se obtiene una respuesta positiva, entonces el webmaster ha de atribuir un nombre a cada host virtual y asignar el certificado correcto. La documentación oficial de Nginx ofrece más información al respecto.
Si tu página web todavía no está cifrada puedes acceder a la Guía Digital de IONOS para ver cómo cambiar la web a HTTPS.
El Server Name Indication no solo trae ventajas consigo. Por una parte, hay que tener en cuenta que no todos los navegadores son compatibles, aunque esto solo afecta a una cantidad muy reducida de usuarios. Por otra parte, no hay que olvidar que SNI no es un modelo perfecto, sino una solución transitoria, ya que transfiere los datos sin cifrar. Aunque solo se trate del nombre del host, esta información no debería ser accesible a terceros si se llevara a cabo un cifrado completo.
Claro está que la seguridad será mayor si no hay que recurrir a SNI y cada página obtiene una dirección IP. No obstante, como ya se ha indicado, esto no es posible, pues las direcciones IP disponibles son muy limitadas, al menos hasta que IPv6 se implemente a nivel mundial. Hasta entonces, hay que encontrar soluciones alternativas: una de las posibilidades es el Server Name Indication, aunque no la única. El certificado Subject Alternative Name (SAN) permite introducir varios dominios o nombres de host. Esto significaría que al servidor no le importa a qué dominio quiere responder el cliente, pues el certificado vale para todos los dominios del servidor. Sin embargo, en comparación, estos certificados tienen un coste superior, lo que explicaría por qué muchos gestores de páginas web no están preparados para implementarlos. Antes que no utilizar nada, SNI se presenta como una buena solución provisional.
La seguridad en Internet es primordial, tanto en el ámbito privado, como en el profesional. Cuando se administra una página web, es pertinente tomar medidas para que los usuarios se sientan tan seguros como sea posible y se pueda garantizar una transferencia de datos libre de riesgos. Al migrar a HTTPS, sientas las bases de una mayor seguridad y confianza por parte de tu clientela.
IPv6 es la nueva versión del Protocolo de Internet y está destinada a superar los problemas centrales de la anterior normativa, el IPv4. Dichas dificultades incluyen el agotamiento de direcciones IPv4 y el incumplimiento del principio de punto a punto por la estricta separación entre IP públicas y privadas. En esta guía te ofrecemos una visión general de las funciones de IPv6, así como de la...
Un ataque man-in-the-middle es un ataque de espionaje cuyo objetivo es interceptar, registrar y manipular datos sensibles de usuarios de Internet. Para realizarlos, los hackers recurren a métodos que les permiten colocarse estratégicamente y de forma inadvertida entre dos ordenadores que se comunican entre sí. Obtén más información sobre los tipos de ataques y las medidas para luchar contra ellos....
El nombre único de un equipo en una red se denomina hostname (o nombre de host) y forma parte del nombre de dominio completo, que puede utilizarse, por ejemplo, para buscar y acceder a sitios web en Internet. En este artículo aprenderás cómo puede ser un nombre de host y te mostraremos diferentes formas de determinarlo o cambiarlo en función de una dirección IP.
Los túneles SSH se utilizan para transferencias de datos seguras y para acceder a páginas web a las que de otro modo no se tendría acceso. En cuanto a los túneles SSH inversos, estos hacen posible el reenvío de puertos con direcciones IP privadas. Sigue leyendo para saber qué son, para qué se utilizan y también para descubrir cómo crear un túnel SSH.
Ofrece un servicio fiable y de alto rendimiento a tus clientes con un pack hosting de IONOS.
Ver planes
