Secure Sockets Layer (SSL)

Las estructuras de seguridad de un sitio de e-commerce no varía con las de un sitio tradicional, pero si se implementa el protocolo SSL en la mayoría de los casos para tener un canal seguro en las transacciones.

 

Punto1: Usuario conectándose a Punto2 (un sitio de e-commerce como amazon.com) utilizando un navegador Internet Explorer compatible con el

protocolo SSL.

Punto2: El Punto2 como nombramos es un sitio de e-commerce tradicional (compra / venta) que establece conexiones seguras utilizando SSL para la transacciones, y también posee un Firewall para hacer filtrado de paquetes (Packet Filtering)

Punto3: Este punto es la autoridad que emite los Certificados de Autenticidad, en inglés Certificate
Authority (CA) que por seguridad y es recomendable que sea una tercera empresa el emisor del certificado no sea interno.

Flujo de datos

Los datos que circulan en un sentido y otro entre el cliente y el servidor se cifra mediante un algoritmo simétrico como DES o RC4. Un algoritmo de clave pública -generalmente RSA- se utiliza para el intercambio de las claves de cifrado y para las firmas digitales. 

El algoritmo utiliza la clave pública en el certificado digital del servidor. Con el certificado digital del servidor, el cliente también puede verificar la identidad del servidor. Las versiones 1 y 2 del protocolo SSL sólo proporcionan autenticación de servidor. La versión 3 agrega la autenticación del cliente, utilizando los certificados digitales de cliente y de servidor. 

Una conexión SSL siempre es iniciada por el cliente. Al principio de una sesión SSL, se realiza un protocolo de enlace SSL. Este protocolo de enlace produce los parámetros criptográficos de la sesión. Una visión general simplificada de cómo se procesa el protocolo de enlace SSL. En este ejemplo se supone que se está estableciendo la conexión SSL entre un navegador web y un servidor web.