Qué es TLS

Transport Layer Security — TLS — es el protocolo que convierte conexiones de red en texto plano en conexiones cifradas. Es la S en HTTPS. También es lo que envuelve los canales de control de OpenVPN, lo que VLESS Reality imita exactamente, y lo que cada cliente de email seguro usa para hablarle a los servidores de correo.

La versión moderna actual es TLS 1.3, lanzada en 2018. TLS 1.2 todavía existe en la naturaleza por compatibilidad pero está siendo eliminado gradualmente. TLS 1.0 y 1.1 fueron deprecados; si un sistema los requiere, trátalo como roto.

Qué hace TLS

Tres cosas, en orden:

1. Autenticación. Verificar que realmente le estás hablando a quien crees. Hecho vía certificados firmados por autoridades confiables.
2. Intercambio de claves. Acordar un secreto compartido sin nunca enviarlo en claro. TLS 1.3 usa Diffie-Hellman sobre curvas elípticas (típicamente X25519).
3. Cifrado. Usar ese secreto compartido para cifrar y autenticar cada byte que sigue. TLS moderno usa cifrados AEAD (AES-256-GCM o ChaCha20-Poly1305).

El handshake toma un round-trip en TLS 1.3, a veces cero (0-RTT) para sesiones reanudadas. Esa es una gran victoria sobre los dos round-trips de TLS 1.2.

Lo que TLS no oculta

El contenido de la conexión: cifrado. A quién le hablas: visible.

Específicamente:

• La IP destino. El enrutamiento la requiere.
• El dominio destino vía SNI. Enviado sin cifrar en el primer mensaje del handshake.
• Timing y tamaño del tráfico. Aun con el contenido cifrado, los patrones son visibles. Una solicitud de 100 bytes seguida de una respuesta de 5 MB se ve diferente de un stream de audio constante.

Por esto "HTTPS en todos lados" no equivale a privacidad completa. Tu ISP no puede leer lo que enviaste, pero saben a qué sitio se lo enviaste.

TLS 1.3 vs TLS 1.2

Los cambios más grandes en 1.3:

• Forward secrecy es obligatorio. Los cifrados antiguos de TLS 1.2 sin forward secrecy son removidos. Si una clave privada de servidor se filtra después, el tráfico grabado de sesiones pasadas no puede ser descifrado retroactivamente.
• Lista de cipher suites recortada. TLS 1.2 tiene docenas de cipher suites, muchas débiles. TLS 1.3 tiene cinco. Menos para mal-configurar, menos rutas de downgrade.
• Handshake más rápido. Un round-trip en lugar de dos. Visible en cada carga de página.
• Handshake cifrado. Más metadata del handshake está cifrada que en 1.2. Los servidores ya no filtran su certificado en claro durante la negociación.

TLS 1.3 es lo que cada sitio moderno debería estar corriendo. Herramientas como SSL Labs te permiten verificar la versión y configuración TLS de un sitio.

TLS en contexto VPN

OpenVPN envuelve un canal de control basado en TLS. El canal de control maneja la autenticación e intercambio de claves; el canal de datos usa las claves derivadas de ese handshake. Una config OpenVPN moderna usa TLS 1.3 + ECDSA + AES-256-GCM.

VLESS Reality no solo usa TLS — hace un handshake TLS 1.3 real hacia un sitio público real, luego carga datos VPN dentro de la sesión establecida. El TLS no es una envoltura; es camuflaje que usa certificados reales y servidores reales.

WireGuard no usa TLS en absoluto — tiene su propio protocolo con criptografía fija. Filosofía de diseño diferente.

Lee más sobre certificados de corta vida por cómo el lado del certificado afecta la seguridad VPN, o la vista general de seguridad por el panorama más amplio.

Prueba Fexyn gratis por 7 días — tres protocolos, TLS moderno donde aplica, criptografía fija donde no.