Toda transacción segura por internet debe de cumplir con cuatro aspectos: autenticidad, integridad, confidencialidad y no repudio. SSL es un sistema de protocolos de propósito general diseñado para establecer comunicaciones seguras, propuesto en 1994 por la empresa Netscape Communications Corporation, y está basado en la implementación conjunta de algoritmos simétricos y asimétricos, certificados digitales y firmas digitales para así conseguir un medio seguro de comunicación a través de internet. Permite autentificación y confidencialidad en las transacciones de internet siendo usado principalmente para actividades como son el intercambio de números de tarjetas de crédito o contraseñas que permiten el acceso a sistemas privados. Hoy constituye la solución de seguridad implantada en la mayoría de los servidores web que ofrecen servicios de comercio electrónico y es el estándar de comunicación segura en los navegadores web más importantes. La identidad de servidor web seguro se consigue mediante el certificado digital correspondiente, del que se comprueba su validez antes de iniciar el intercambio de datos sensibles (autentificación), mientras que la seguridad de integridad de datos intercambiados se encarga la firma digital mediante funciones hash y la comprobación de resúmenes de todos los datos enviados y recibidos.
¿Cómo podemos saber si una conexión se está efectuando mediante SSL?. Generalmente los navegadores disponen de un icono que lo indica, es un pequeño candado de color amarillo en la parte inferior derecha de la ventana que podemos ver en la Figura:

Si el candado esta cerrado nos encontramos ante una conexión segura. Al hacer doble clic sobre el candado cerrado nos aparece el
certificado digital del servidor web seguro:

Además, las páginas que proceden de un servidor SSL vienen implementadas mediante protocolo HTTP seguro, haciendo referencia a ello en la URL, que emperezará siempre por https.
SSL viene implementado por defecto en los navegadores, lo que permite que cualquier usuario puede realizar compras por internet de forma segura sin tener que conocer el sistema a fondo ni preocuparse por instalar programas adicionales. La implementación en la parte del vendedor es mas complicada, ya que tiene que disponer obligatoriamente de un
certificado digital y lo debe solicitar a la Autoridad Certificadora oportuna. Una vez que el servidor dispone de certificado, el usuario puede realizar su compra. A partir de ese momento el vendedor adquiere el PIN de la tarjeta crédito del cliente, la fecha de caducidad y sus datos personales, por lo que deberá de tener algún sistema que le permita el envío de estos datos a una entidad financiera capaz de realizar la transferencia bancaria necesaria para completar el pago. La comunicación entre el comerciante y el bancario se realiza mediante un protocolo seguro y privado, de forma similar a lo que ocurre cuando pagamos en un comercio real con nuestra tarjeta de crédito. Estos sistemas se conocen como pasarelas de pago. El sistema de pasarela más a avanzado se denomina TPV , Terminal de Punto de Venta, donde se conecta un Terminal especial al servidor web del vendedor y mediante un software basado en script
CGI (Common Gateway Interface) se realiza la comunicación segura entre ellos. EL TPV incluye los mecanismos se seguridad necesarios para que tanto el comerciante como el cliente puedan tener confianza en el entorno comercial sobre internet.
La tecnología basada en los protocolos SSL proporcionó grandes avances en la implantación de sistemas de comunicaciones seguras que han dado como resultado un crecimiento importante de transacciones efectuadas desde internet. Si lo visualizamos desde el punto de vista de las bases necesarias para considerar una comunicación segura por internet podemos sacar las siguientes conclusiones:
- Autenticidad: SSL requiere para su funcionamiento la identificación del servidor ante el cliente, pero normalmente no se produce una identificación en sentido contrario. No es obligado la presencia de certificado del usuario que se conecte al servidor. Al no disponer de un certificado de usuario cualquier persona que obtenga el número de mi tarjeta de crédito junto con otros datos personales podrá realizar compras en nuestro nombre. Esto nos lleva a estar más atentos a los resguardos de nuestras operaciones en los cajeros automáticos, a desconfiar cuando a la hora de pagar en una tienda, por ejemplo, desaparecen con nuestra tarjeta para cobrar el importe de nuestra compra, etc. Estos son unos de los fraudes más comunes.
- Confidencialidad: SSL proporciona a la hora de transmisión de datos una buena seguridad y muy difícilmente pueden ser capturados por terceros. Sin embargo, no proporciona ninguna seguridad una vez que la conexión finaliza. Esto es por ejemplo, cuando realizamos una compra por internet y nuestros datos han sido transmitidos mediante SSL satisfactoriamente, estos datos quedan en manos del comerciante, el cual los almacenará en una base de datos, medio de almacenamiento no controlado por nosotros. Nuestros datos pueden estar accesible a cualquier empleado del comercio o incluso a una persona externa a ellos, como por ejemplo, un hacker que logre entrar en su sistema.
- Integridad: Aquí ocurre algo parecido, mientras nuestros datos viajen por conexión segura podemos estar tranquilos ya que SSL impide cualquier intromisión. Sin embargo, una vez finalizada la conexión segura no podemos estar tranquilos. En este caso el ejemplo es el siguiente, podemos comprar por internet cualquier tipo de producto, el responsable de la tienda virtual decide cambiar los datos de nuestro pedido llegándonos a nuestro domicilio el pedido pero con un importe superior al inicial estando la transferencia bancaria realizada. Ante esta situación no podemos hacer nada puesto que no existe una factura de pedido válida.
- No Repudio: En este sentido, SSL falla, puesto que no hay establecido un método para dejar constancia de cuando de ha realizado la operación, cual ha sido y quienes han intervenido en ella. SSL no proporciona formas de emitir recibos válidos que identifiquen una transacción. Aquí podemos realizar un pedido por internet pero cuando llega a casa decimos que no hemos efectuado ese pedido y solicitamos la devolución del dinero. El comerciante no puede mediante SSL afirmar que nosotros hicimos tal pedido.
Se ha comprobado que SSL proporciona seguridad en la transacción cliente-servidor seguro, pero queda otra fase de la transacción, la que va desde el servidor hasta a la empresa emisora de la tarjeta de crédito, y sobre ésta no tiene ningún tipo de control. Toda la seguridad de la transacción recae en la confianza que el cliente tenga con el vendedor, pues en sus manos queda el ser honrado y no realizar ningún fraude con los datos obtenidos y en la posterior entrega del producto comprado. Por este motivo solo las empresas con una honradez demostrada podrán a priori ganarse la confianza de los potenciales clientes.
Para conseguir una seguridad plena se han desarrollado otros sistemas, como por ejemplo SET, que se comenta a continuación, pero
SSL a pesar de sus fallos, sigue siendo la más utilizada, y esto es debido a que su tecnología es rápida, fácil de implementar, barata y cómoda para el usuario, que no tiene que conocer como funciona tan sólo usarla. Y desde el punto de vista del comerciante
SSL es igualmente sencillo de implementar.