{"id":7125,"date":"2025-10-03T10:00:00","date_gmt":"2025-10-03T08:00:00","guid":{"rendered":"https:\/\/www.hostingtg.com\/blog\/?p=7125"},"modified":"2025-10-02T11:34:31","modified_gmt":"2025-10-02T09:34:31","slug":"ssh3","status":"publish","type":"post","link":"https:\/\/www.hostingtg.com\/blog\/ssh3\/","title":{"rendered":"SSH3: qu\u00e9 es, c\u00f3mo funciona y c\u00f3mo probarlo (QUIC + TLS 1.3, OAuth\/OIDC y UDP forwarding)"},"content":{"rendered":"\n

\u00bfQu\u00e9 es SSH3?<\/h2>\n\n\n\n

SSH3 es un replanteamiento moderno de Secure Shell que se apoya en la sem\u00e1ntica de HTTP<\/strong>, viaja sobre HTTP\/3 (QUIC) con TLS 1.3<\/strong> y se integra mejor con la infraestructura web actual (balanceadores, CDNs, WAFs y puertos \u201camigables\u201d como el 443). En vez de mantener el protocolo cl\u00e1sico sobre TCP, adopta QUIC para acelerar el establecimiento de sesi\u00f3n, mejorar la resiliencia ante p\u00e9rdidas y permitir caracter\u00edsticas que antes eran muy complejas (o directamente imposibles) como la migraci\u00f3n de conexi\u00f3n<\/strong> y el multipath<\/strong>.<\/p>\n\n\n\n

En mi caso, lo que m\u00e1s me llam\u00f3 la atenci\u00f3n fue el salto evolutivo<\/strong> respecto a SSH<\/a> \u201cde toda la vida\u201d: se nota que est\u00e1 pensado para el internet de hoy. Al apoyarse en TLS 1.3, hereda criptograf\u00eda moderna y un handshake m\u00e1s ligero<\/strong>, lo que se traduce en sesiones que abren m\u00e1s r\u00e1pido, especialmente en redes con latencia o jitter. Adem\u00e1s, el hecho de \u201chablar\u201d HTTP desde el minuto cero facilita convivir con proxies corporativos y pol\u00edticas que ya est\u00e1n preparadas para ese tr\u00e1fico.<\/p>\n\n\n\n

Otro cambio importante es la autenticaci\u00f3n<\/strong><\/a>: adem\u00e1s de claves y certificados, SSH3 contempla m\u00e9todos actuales como OAuth 2.0 y OpenID Connect<\/strong>, de modo que un equipo puede iniciar sesi\u00f3n con su identidad de Google\/Microsoft\/GitHub si as\u00ed lo decide la organizaci\u00f3n. Esto aporta elasticidad a entornos con SSO sin perder compatibilidad con pr\u00e1cticas conocidas de claves p\u00fablicas.<\/p>\n\n\n\n

Finalmente, la posibilidad de ocultar el servicio<\/strong> detr\u00e1s de rutas espec\u00edficas en 443 reduce el ruido de escaneos automatizados. No es seguridad m\u00e1gica, pero s\u00ed una capa pasiva<\/strong> que baja la exposici\u00f3n sin complicar la operaci\u00f3n diaria. Sumado al UDP forwarding<\/strong> nativo, queda claro que no estamos ante \u201cun SSH con esteroides\u201d, sino ante un redise\u00f1o con foco en las necesidades reales de hoy.<\/p>\n\n\n\n

Ventajas clave frente a SSHv2 (latencia, autenticaci\u00f3n, camuflaje, UDP)<\/h2>\n\n\n\n

Handshake m\u00e1s \u00e1gil (menos viajes y arranque m\u00e1s r\u00e1pido)<\/h3>\n\n\n\n

Con TLS 1.3 sobre QUIC, el establecimiento de sesi\u00f3n requiere menos idas y vueltas<\/strong> que el intercambio de claves cl\u00e1sico de SSHv2. Esto se nota cuando saltas de host en host o levantas t\u00faneles ef\u00edmeros: el prompt aparece antes<\/strong> y los primeros comandos responden m\u00e1s pronto. En mi experiencia, el \u201ctiempo hasta primer prompt\u201d baja de forma clara en redes no ideales, y la conexi\u00f3n aguanta mejor p\u00e9rdidas y cambios de red (por ejemplo, saltar del Wi-Fi al m\u00f3vil).<\/p>\n\n\n\n

Inicio de sesi\u00f3n moderno (OAuth 2.0 \/ OIDC) sin renunciar a lo cl\u00e1sico<\/h3>\n\n\n\n

SSH3 no te obliga a abandonar las claves<\/strong>; simplemente abre la puerta a OIDC\/OAuth<\/strong> para que puedas federar identidades<\/strong> y aplicar pol\u00edticas de tu proveedor SSO. \u00bfQuieres MFA centralizado, rotaci\u00f3n de credenciales y revocaci\u00f3n inmediata cuando alguien deja la empresa? Lo puedes alinear con el stack que ya usa tu equipo. Para entornos mixtos, esto es una bendici\u00f3n: mantienes claves donde convenga y usas OIDC donde suma control y trazabilidad.<\/p>\n\n\n\n

\u201cServidores invisibles\u201d y puerto 443<\/h3>\n\n\n\n

Exponer TCP\/22 es casi una invitaci\u00f3n a los bots de escaneo. SSH3 puede camuflarse detr\u00e1s de rutas discretas<\/strong> en HTTPS\/443<\/strong>, que es el puerto que todo firewall deja pasar. Esto reduce alertas ruidosas y ataques de diccionario oportunistas. Sigue sin ser un reemplazo de controles serios (listas de acceso, MFA, monitoreo), pero s\u00ed baja el ruido operacional<\/strong> y evita \u201ccazar miradas\u201d innecesarias.<\/p>\n\n\n\n

UDP forwarding y QUIC datagrams<\/h3>\n\n\n\n

El forwarding de UDP<\/strong> permite tunelar tr\u00e1fico que antes requer\u00eda inventos (DNS, QUIC, RTP\u2026). Para ciertos flujos en tiempo real o pruebas de observabilidad, poder mover UDP sin montar soluciones paralelas ahorra tiempo y fricci\u00f3n. Adem\u00e1s, QUIC simplifica mantener el t\u00fanel estable aunque cambie la IP del cliente o haya p\u00e9rdida temporal.<\/p>\n\n\n\n

Seguridad y confianza: X.509, riesgos y estado \u201cexperimental\u201d<\/h2>\n\n\n\n

X.509\/Let\u2019s Encrypt vs huella de host<\/h3>\n\n\n\n

Una fricci\u00f3n cl\u00e1sica de SSH es gestionar huellas de host<\/strong> (known_hosts) a escala: rotan m\u00e1quinas, cambia la huella, y toca reconciliar. Con SSH3 puedes apoyarte en certificados X.509<\/strong> emitidos por tu CA (o automatizados con ACME\/Let\u2019s Encrypt) y delegar la verificaci\u00f3n<\/strong> en un modelo que DevSecOps ya domina. Centralizas revocaci\u00f3n, defines expiraciones coherentes y reduces los \u201c\u00bfacepto esta huella?\u201d que tanto molestan en on-call.<\/p>\n\n\n\n

Limitaciones actuales y buenas pr\u00e1cticas<\/h3>\n\n\n\n

SSH3 est\u00e1 en fase experimental<\/strong>. \u00bfQu\u00e9 implica?<\/p>\n\n\n\n

    \n
  • No lo metas en producci\u00f3n cr\u00edtica<\/strong> todav\u00eda. \u00dasalo en laboratorio<\/strong> y entornos de prueba.<\/li>\n\n\n\n
  • Mant\u00e9n doble v\u00eda<\/strong>: sigue teniendo OpenSSH como \u201cplan B\u201d mientras maduras procesos.<\/li>\n\n\n\n
  • Aplica defensa en profundidad<\/strong>: listas de acceso, MFA, registro detallado, alertas, rotaci\u00f3n de credenciales y actualizaci\u00f3n frecuente.<\/li>\n\n\n\n
  • Documenta caminos de excepci\u00f3n<\/strong> (\u00bfqu\u00e9 ocurre si el IdP cae? \u00bfy si el proxy HTTP no pasa ciertos m\u00e9todos?).
    En mi caso, lo veo como un antes y despu\u00e9s<\/strong> conceptual, pero con prudencia operativa: la tecnolog\u00eda brilla, y el ecosistema (tooling, gu\u00edas, soporte) necesita tiempo.<\/li>\n<\/ul>\n\n\n\n

    Comparativa r\u00e1pida: SSH3 vs OpenSSH\/SSHv2<\/h2>\n\n\n\n
    Dimensi\u00f3n<\/th>SSH <\/a>(cl\u00e1sico)<\/th>SSH3 (nuevo enfoque)<\/th><\/tr><\/thead>
    Transporte<\/td>TCP<\/td>QUIC (HTTP\/3)<\/td><\/tr>
    Handshake<\/td>Intercambio de claves propio<\/td>TLS 1.3 (menos viajes)<\/td><\/tr>
    Autenticaci\u00f3n<\/td>Claves, PAM, certs SSH<\/td>Claves + OIDC\/OAuth<\/strong> + X.509<\/td><\/tr>
    Exposici\u00f3n<\/td>Puerto 22 (visible)<\/td>443 + rutas discretas<\/strong><\/td><\/tr>
    Resiliencia<\/td>Sensible a p\u00e9rdidas\/cambio IP<\/td>Migraci\u00f3n de conexi\u00f3n, multipath<\/strong><\/td><\/tr>
    T\u00faneles<\/td>TCP forwarding<\/td>TCP + UDP forwarding<\/strong><\/td><\/tr>
    Integraci\u00f3n con infra web<\/td>Limitada<\/td>Nativa (proxies\/WAF\/CDN)<\/strong><\/td><\/tr>
    Madurez<\/td>Muy estable, universal<\/td>Experimental, en evoluci\u00f3n<\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

    Cu\u00e1ndo te conviene (y cu\u00e1ndo no)<\/h3>\n\n\n\n
      \n
    • S\u00ed<\/strong>: redes de alta latencia, trabajo remoto m\u00f3vil, necesidad de SSO real<\/strong>, t\u00faneles UDP, pol\u00edticas corporativas enfocadas a 443\/HTTP.<\/li>\n\n\n\n
    • A\u00fan no<\/strong>: cargas cr\u00edticas con requisitos de cumplimiento estrictos, entornos con tooling 100% centrado en SSHv2, equipos que no pueden asumir cambios de flujo.<\/li>\n<\/ul>\n\n\n\n

      Gu\u00eda expr\u00e9s para probar SSH3 en laboratorio<\/h2>\n\n\n\n

      Requisitos y opciones de instalaci\u00f3n<\/h3>\n\n\n\n
        \n
      • Entorno<\/strong>: una VM o host Linux de pruebas, dominio opcional si vas a usar 443 p\u00fablico.<\/li>\n\n\n\n
      • Certificados<\/strong>: ideal contar con X.509<\/strong> (puede ser un cert emitido por tu CA o uno temporal).<\/li>\n\n\n\n
      • Identidad<\/strong>: decide si empiezas con claves<\/strong> o si pruebas OIDC<\/strong> con tu IdP (modo laboratorio).<\/li>\n<\/ul>\n\n\n\n

        Arranque del servidor (ruta \u201csecreta\u201d)<\/h3>\n\n\n\n
          \n
        1. Define una ruta<\/strong> HTTP\/3 (ej.: \/t3rm\/<token-corto><\/code>) para el endpoint.<\/li>\n\n\n\n
        2. Levanta el servicio escuchando en 443\/HTTP3<\/strong> (o detr\u00e1s de un reverse proxy que hable HTTP\/3).<\/li>\n\n\n\n
        3. Configura logs<\/strong> y rotaci\u00f3n; es vital ver intentos y fallos en este per\u00edodo.<\/li>\n<\/ol>\n\n\n\n

          Primer login (clave p\u00fablica u OIDC)<\/h3>\n\n\n\n
            \n
          • Claves<\/strong>: importa tu llave p\u00fablica como har\u00edas en SSH, con el formato que admita el servidor.<\/li>\n\n\n\n
          • OIDC<\/strong>: registra el cliente en tu IdP, a\u00f1ade scopes<\/strong> m\u00ednimos y prueba el flujo de autorizaci\u00f3n; confirma que el claim<\/strong> mapea a una identidad del sistema (usuario\/grupo).<\/li>\n<\/ul>\n\n\n\n

            Ejemplos de forwarding UDP\/TCP<\/h3>\n\n\n\n
              \n
            • TCP<\/strong>: redirige un servicio interno para validar latencia y estabilidad.<\/li>\n\n\n\n
            • UDP<\/strong>: prueba un flujo simple (p.ej., DNS) y valida que sigue vivo si cambias de Wi-Fi a 4G.<\/li>\n\n\n\n
            • Troubleshooting<\/strong>: si el t\u00fanel cae al cambiar de red, revisa soporte de migraci\u00f3n<\/strong> en cliente\/servidor y pol\u00edticas del proxy.<\/li>\n<\/ul>\n\n\n\n
              \n

              Consejo pr\u00e1ctico: documenta el ciclo de vida<\/strong> de credenciales (claves, tokens OIDC, certs X.509) y automatiza su renovaci\u00f3n. En mi experiencia, ah\u00ed se gana operatividad real.<\/p>\n<\/blockquote>\n\n\n\n

              Preguntas frecuentes (FAQs)<\/h2>\n\n\n\n

              \u00bfSe nota la mejora de latencia?<\/strong>
              S\u00ed, el establecimiento de sesi\u00f3n requiere menos viajes<\/strong> y se percibe un prompt m\u00e1s r\u00e1pido<\/strong>, sobre todo fuera de la LAN.<\/p>\n\n\n\n

              \u00bfPuedo iniciar sesi\u00f3n con Google\/Microsoft\/GitHub?<\/strong>
              S\u00ed, mediante OIDC\/OAuth<\/strong>. Puedes combinarlo con claves, aplicar MFA y heredar pol\u00edticas de tu IdP.<\/p>\n\n\n\n

              \u00bfEs \u201cinvisible\u201d a los esc\u00e1neres?<\/strong>
              Puede disimularse<\/strong> detr\u00e1s de rutas en HTTPS\/443<\/strong>, lo que reduce ruido de escaneo. No sustituye a controles s\u00f3lidos.<\/p>\n\n\n\n

              \u00bfQu\u00e9 tal el soporte para UDP?<\/strong>
              Incluye UDP forwarding<\/strong>, \u00fatil para pruebas de observabilidad o tr\u00e1fico en tiempo real que antes era engorroso tunelar.<\/p>\n\n\n\n

              \u00bfEst\u00e1 listo para producci\u00f3n?<\/strong>
              A d\u00eda de hoy lo tratar\u00eda como experimental<\/strong>. Ideal para laboratorio, pilotos controlados y feedback a los maintainers.<\/p>\n\n\n\n

              Sobre SSH3<\/h2>\n\n\n\n

              SSH3 no es un simple retoque: es un redise\u00f1o<\/strong> que alinea el acceso seguro con la pila web moderna<\/strong>. En mi caso, el combo HTTP + QUIC + TLS 1.3<\/strong> se tradujo en sesiones m\u00e1s \u00e1giles y robustas<\/strong>, y la autenticaci\u00f3n con OIDC\/OAuth<\/strong> abre un camino claro hacia SSO coherente. \u00bfLa letra peque\u00f1a? A\u00fan le falta madurez de ecosistema. Si lo pruebas con cabeza \u2014laboratorio, controles de seguridad y documentaci\u00f3n\u2014 ver\u00e1s por qu\u00e9 muchos ya lo consideran un antes y despu\u00e9s<\/strong> en administraci\u00f3n remota.<\/p>\n\n\n\n

              Opini\u00f3n Personal<\/strong><\/p>\n\n\n\n

              Mi opini\u00f3n sobre SSH3<\/strong> es clara: no es \u201cotro SSH\u201d, es un cambio de paradigma. Que adopte HTTP\/3 (QUIC) con TLS 1.3<\/strong> no solo acelera el arranque; lo vuelve m\u00e1s resiliente cuando la red es imperfecta. En mis pruebas, el \u201ctiempo hasta ver el prompt\u201d cae y las sesiones aguantan mejor cambios de Wi-Fi a datos m\u00f3viles. Eso, para equipos remotos y on-call, se siente como aire fresco.<\/p>\n\n\n\n

              Otro punto que me gana es la autenticaci\u00f3n moderna<\/strong>. Poder integrar OAuth 2.0 \/ OpenID Connect<\/strong> sin renunciar a las claves de siempre acerca el acceso por consola al mundo del SSO corporativo: menos credenciales sueltas, m\u00e1s trazabilidad y un control que ya existe en la casa. Sumemos la posibilidad de \u201ccamuflar<\/strong>\u201d el servicio tras rutas discretas en 443 y el UDP forwarding<\/strong> nativo: es justo el tipo de evoluci\u00f3n que esper\u00e1bamos desde hace a\u00f1os.<\/p>\n\n\n\n

              \u00bfLa letra peque\u00f1a? Est\u00e1 verde para producci\u00f3n<\/strong>. Y me parece bien decirlo: ahora mismo es terreno ideal para laboratorio, pilotos bien acotados y feedback a los maintainers. Si buscas estabilidad absoluta, OpenSSH sigue siendo tu red de seguridad. Pero si quieres vislumbrar el futuro del acceso seguro, SSH3 marca un antes y un despu\u00e9s<\/strong>.<\/p>\n\n\n\n

              Ahora te leo: \u00bflo ves listo para tus casos? \u00bfQu\u00e9 te entusiasma o qu\u00e9 te frena\u2014SSO, QUIC, UDP, \u201cinvisibilidad\u201d? D\u00e9jame tus comentarios<\/strong> y armamos debate con ejemplos reales.<\/p>\n","protected":false},"excerpt":{"rendered":"

              \u00bfQu\u00e9 es SSH3? SSH3 es un replanteamiento moderno de Secure Shell que se apoya en la sem\u00e1ntica de HTTP, viaja sobre HTTP\/3 (QUIC) con TLS 1.3 y se integra mejor con la infraestructura web actual (balanceadores, CDNs, WAFs y puertos \u201camigables\u201d como el 443). En vez de mantener el protocolo cl\u00e1sico sobre TCP, adopta QUIC […]<\/p>\n","protected":false},"author":1,"featured_media":7127,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_aifi_custom_prompt":"","site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1],"tags":[236,1125],"class_list":["post-7125","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","tag-seguridad","tag-ssh3"],"_links":{"self":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/7125","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/comments?post=7125"}],"version-history":[{"count":2,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/7125\/revisions"}],"predecessor-version":[{"id":7128,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/7125\/revisions\/7128"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/media\/7127"}],"wp:attachment":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/media?parent=7125"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/categories?post=7125"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/tags?post=7125"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}