La capa de sockets seguros, comúnmente conocida como SSL, es un estándar de seguridad para cifrar la comunicación entre un servidor web y el navegador web del cliente. Aunque el término todavía se usa en el lenguaje común, el protocolo SSL de hecho ha sido reemplazado por el protocolo TLS, que significa Transport Layer Security.
Cualquier sitio web con una dirección web HTTPS utiliza el protocolo SSL / TLS. Siempre que el navegador web ve un certificado SSL válido, muestra un icono de candado verde junto a la dirección. Esta es una señal visual para el usuario de escritorio de que toda la comunicación entre su navegador y el servidor web se realiza a través de un canal cifrado.
¿Por qué utilizar certificados SSL?
Cualquier información que se envía a través de Internet pasa a través de varias computadoras intermediarias antes de llegar al servidor web de destino. Esto significa que cualquiera de estas computadoras intermediarias puede acceder a los datos transmitidos, que podrían incluir información como nombres de usuario y contraseñas, y otra información confidencial. Los certificados SSL mitigan este riesgo al garantizar que toda la información enviada a través de Internet esté encriptada de tal manera que solo el destinatario previsto pueda acceder a ella.
De hecho, ciertos sitios web, como los portales bancarios y de pago, están obligados por ley a seguir ciertos pasos antes de que puedan solicitar a los usuarios información confidencial. Uno de estos requisitos es utilizar certificados SSL debidamente validados.
Incluso si no solicita a los usuarios información confidencial, vale la pena utilizar un certificado SSL. En 2014, Google anunció que en su intento por hacer que la web sea más segura, el motor de búsqueda había comenzado a usar HTTPS como señal de clasificación. Esto significa que los sitios que utilizan un certificado SSL válido se consideran mejores y se clasifican más alto en los resultados de búsqueda, lo que hace que un certificado SSL sea una herramienta de SEO básica pero esencial.
¿Qué contiene un certificado SSL?
Técnicamente hablando, un certificado SSL es un archivo de datos en el servidor web que contiene varios datos. El aspecto más importante del certificado es la clave pública del sitio web.
Esto va acompañado del nombre de dominio para el que se emitió el certificado y detalles sobre la persona o la organización a la que se emitió. El certificado también contiene detalles sobre la autoridad que lo emitió junto con su firma digital. Otros detalles importantes incluyen la fecha de emisión del certificado, la duración de su validez y la fecha de vencimiento del certificado.
La clave pública (y su clave privada correspondiente) son esencialmente largas cadenas de caracteres que ayudan a cifrar y descifrar los datos que se transmiten. Es importante tener en cuenta que los datos cifrados con la clave pública solo se pueden descifrar con la clave privada.
Cuando un navegador web intenta comunicarse con el servidor, solicitará el certificado para verificar la identidad del servidor y luego obtendrá su clave pública. Luego lo usa para crear un canal encriptado entre él y el servidor web. Todos los datos transmitidos a través de este canal solo pueden ser descifrados por el servidor web que tiene la clave privada.
¿Quién emite SSL?
Los certificados SSL son emitidos por una autoridad certificadora (CA) de confianza. Los navegadores web, los sistemas operativos y, en la actualidad, incluso los dispositivos móviles mantienen una lista de certificados raíz de CA de confianza.
Un certificado raíz es muy valioso ya que los navegadores web confiarán automáticamente en cualquier certificado SSL firmado con su clave privada. Por el contrario, si la CA no es de confianza, el navegador presentará mensajes de error que no son de confianza al usuario final.
Empresas como DigiCert, IdenTrust, GlobalSign y Let’s Encrypt se conocen como autoridades de certificación de confianza. Los navegadores web y los desarrolladores de sistemas operativos como Microsoft, Mozilla, Google, Opera, etc., confían en estas CA y, por extensión, en cualquiera de los certificados SSL firmados por sus claves privadas.
Tipos de certificados SSL
Hay algunos tipos diferentes de certificados SSL que se pueden clasificar en tres categorías.
Los certificados de dominio validado (DV) son los certificados de nivel de entrada que cubren el cifrado básico y la verificación de la propiedad de los registros de registro de nombres de dominio. Este tipo de certificado es el más económico y se puede emitir en pocos minutos.
A continuación, están los certificados validados por la organización (OV) que, además del cifrado y la verificación básicos, también autentican detalles sobre el propietario, como su nombre y dirección. Teniendo en cuenta la verificación manual involucrada, tomará desde unas pocas horas hasta varios días obtener un certificado OV.
Finalmente, están los certificados de Extended Validation (EV) que son los más confiables ya que también verifican la existencia física y operativa del propietario del sitio web. Siguen un estricto conjunto de pautas para el proceso de verificación, que puede tardar varias semanas.
Además, todos los tipos de certificado SSL también tienen dos variaciones. Hay un solo certificado de dominio que asegura un nombre de dominio completamente calificado. Es más económico que un certificado comodín que protege varios subdominios.
¿Qué es un certificado SSL autofirmado?
Una vez más, técnicamente hablando, cualquiera puede crear su propio certificado SSL generando un emparejamiento de clave pública-privada. Estos certificados se denominan certificados autofirmados porque la firma digital utilizada no es de una CA de terceros, sino de la propia clave privada del sitio web.
Si bien son más convenientes y se pueden generar instantáneamente, dado que no existe verificación de terceros, los navegadores web no consideran que los certificados autofirmados sean confiables. Es por eso que, aunque la comunicación esté encriptada, los navegadores web seguirán marcando el sitio web como "no seguro". La mayoría de los navegadores web, como mínimo, se asegurarán de que comprenda que el sitio web utiliza un certificado autofirmado antes de mostrar el contenido del sitio web.
¿Cómo obtener certificados SSL?
Gracias a su papel en el ranking de los motores de búsqueda, es una buena idea que todos obtengan un certificado SSL.
El primer paso es determinar qué tipo de certificado necesita, dependiendo en gran medida de la cantidad de dominios y subdominios que necesita proteger. El proceso es mucho más crucial para las empresas de industrias reguladas como la banca, que necesitan asegurarse de que su certificado SSL cumpla con los requisitos definidos.
Hay varios proveedores de certificados SSL y, según el tipo de certificado y la reputación y la confianza de la autoridad certificadora emisora, los costos de los certificados SSL pueden oscilar entre unos pocos dólares y varios cientos de dólares por año.
Sin embargo, en estos días también puede obtener uno gratis, gracias a Let’s Encrypt CA. Fue fundada por EFF, Mozilla y la Universidad de Michigan, con Cisco y Akamai como patrocinadores fundadores.
Let's Encrypt es una CA sin fines de lucro que ha estado entregando certificados SSL sin cargo desde abril de 2016. Sus certificados son válidos por 90 días y se pueden renovar en cualquier momento durante este período de validez. Según la propia investigación de Let's Encrypt, sus certificados han sido adoptados en gran medida por usuarios conscientes de los costos, que incluyen sitios más pequeños, como blogs personales y pequeñas empresas.
- Acceda a Internet de forma segura con la mejor VPN.