A medida que los pagos en línea se vuelven cada vez más comunes, nunca ha sido más importante garantizar que tu sitio de comercio electrónico sea lo más seguro posible. La cantidad de incidentes de piratería de alto perfil y problemas de seguridad en línea en los últimos 12 meses solo debería servir para indicar cuán vital es hoy en día garantizar que tu sitio web tenga la mejor seguridad necesaria, con los certificados SSL adecuados. En este artículo explicaremos qué es un certificado SSL, sus tipos, funciones, cómo obtenerlo y cómo instalarlo.
¿Qué es el certificado SSL?
Un certificado SSL es un documento público digital, que verifica que la empresa legítima y apropiada es propietaria del sitio web al que se accede.
Se aseguran de que los visitantes accedan al sitio correcto que desean visitar al demostrar la propiedad relevante. Como negocio de comercio electrónico, esto ayuda a evitar que los atacantes se hagan pasar por tu empresa y tu sitio web.
Para los clientes, un certificado SSL establece una conexión segura entre su navegador web y el servidor de tu sitio. Esto protege información importante como contraseñas y detalles de tarjetas de crédito al agregar una capa de cifrado cuando se envían los datos.
SSL son las siglas de Secure Sockets Layer, un método de seguridad que permite el cifrado de datos cuando se transfieren a través de un servidor. Los certificados SSL ayudan a proteger la transferencia de información confidencial, como números de tarjetas de crédito, contraseñas y nombres de usuario.
¿Cuáles son sus funciones?
Veamos cómo funciona SSL.
SSL / TLS proporciona cifrado de datos, integridad y autenticación de datos.
Esto significa que cuando usas SSL / TLS puedes estar seguro de que:
- Nadie ha leído tu mensaje
- Nadie ha cambiado tu mensaje
- Te estás comunicando con la persona prevista (servidor)
Al enviar un mensaje entre dos personas, tienes dos problemas que debes solucionar:
- ¿Cómo sabes que nadie ha leído el mensaje?
- ¿Cómo sabes que nadie ha cambiado el mensaje?
Las soluciones a estos problemas son:
- Cifrarlo: Esto hace que el contenido sea ilegible, por lo que para cualquiera que vea el mensaje es un galimatías.
- Firmarlo: esto permite al destinatario estar seguro de que fuiste tu quien envió el mensaje y que el mensaje no ha sido modificado.
Ambos procesos requieren el uso de claves.
Estas claves son simplemente números (128 bits son comunes) que luego se combinan con el mensaje usando un método particular, comúnmente conocido como algoritmo, por ejemplo, RSA, para encriptar o firmar el mensaje.
Casi todos los métodos de cifrado que se utilizan en la actualidad emplean claves públicas y privadas.
Con las claves públicas y privadas, se utilizan dos claves que están relacionadas matemáticamente, pero son diferentes.
Esto significa que un mensaje cifrado con una clave pública no se puede descifrar con la misma clave pública.
Para descifrar el mensaje necesitas la clave privada.
SSL / TLS utiliza un sistema de claves públicas y privadas para el cifrado de datos y la integridad de los datos.
Las claves públicas pueden estar disponibles para cualquier persona, de ahí el término público.
Por eso hay una cuestión de confianza, en concreto:¿Cómo sabes que una clave pública en particular pertenece a la persona / entidad que dice ser?
Por ejemplo, recibes una clave que dice pertenecer a tu banco.
¿Cómo sabes que pertenece a tu banco?
La respuesta es utilizar un certificado digital.
Un certificado tiene el mismo propósito que un pasaporte en la vida cotidiana.
Un pasaporte establece un vínculo entre una foto y una persona, y ese vínculo ha sido verificado por una autoridad de confianza (oficina de pasaportes).
Un certificado digital proporciona un enlace entre una clave pública y una entidad (empresa, nombre de dominio, etc.) que ha sido verificada (firmada) por un tercero de confianza (una autoridad de certificación).
¿Qué tipos de certificados SSL existen?
Hay tres tipos comunes de certificados SSL. La elección del correcto se basará en el nivel de seguridad que necesite tu sitio web.
Con validación de dominio (DV)
Un certificado SSL validado por dominio, también conocido como certificado de baja seguridad, es el tipo estándar de certificado emitido. La validación automatizada asegura que el nombre de dominio esté registrado y que un administrador apruebe la solicitud. Para que se complete la validación, el webmaster debe confirmar por correo electrónico o configurar un registro DNS para el sitio.
La CA verifica el derecho del solicitante a utilizar un nombre de dominio específico. No se examina ninguna información de identidad de la empresa y no se muestra ninguna información que no sea la información de cifrado dentro del Sello de sitio seguro. Si bien puedes estar seguro de que tu información está encriptada, no puedes estar seguro de quién es realmente el receptor de esa información.
Los certificados DV SSL son totalmente compatibles y comparten el mismo reconocimiento de navegador con OV SSL, pero tienen la ventaja de que se emiten casi de inmediato y sin la necesidad de presentar la documentación de la empresa. Esto hace que DV SSL sea ideal para empresas que necesitan un SSL de bajo coste de forma rápida y sin el esfuerzo de enviar documentos de la empresa.
Con validación de dominio y organización (OV)
Un certificado validado por una organización, o un certificado de alta seguridad, requiere agentes reales para validar la propiedad del dominio, además de información de la organización como el nombre, la ciudad, el estado y el país. Similar a un certificado de baja seguridad, requiere documentación adicional para verificar la identidad de la empresa.
La CA verifica el derecho del solicitante a utilizar un nombre de dominio específico más que realizar una investigación de la organización. Se muestra a los clientes información adicional examinada de la empresa al hacer clic en el Sello de sitio seguro, lo que brinda una mayor visibilidad de quién está detrás del sitio y una mayor confianza asociada. El nombre de la organización también aparece en el certificado debajo del campo ON.
Con validación extendida de dominio y organización (EV)
Un certificado EV, o certificado de validación extendida, es un nuevo tipo de certificado que requiere el proceso de validación más riguroso. Este tipo de certificado comprueba que la empresa es una entidad legal y requiere que se proporcione información empresarial como prueba de la propiedad del dominio. Los certificados SSL estándar no representan que el sitio web esté siendo operado por una empresa legítima y verificada.
Con un SSL con EV, la Autoridad de Certificación (CA) verifica el derecho del solicitante a utilizar un nombre de dominio específico y, además, lleva a cabo una investigación exhaustiva de la organización. El proceso de emisión de Certificados SSL con EV está estrictamente definido en las Directrices de EV. Todos los pasos requeridos para una CA antes de emitir un certificado se especifican aquí, incluyendo:
- Verificar la existencia legal, física y operativa de la entidad
- Comprobar que la identidad de la entidad coincida con los registros oficiales
- Verificar que la entidad tiene el derecho exclusivo de usar el dominio especificado en el Certificado SSL con EV
- Asegurarse de que la entidad haya autorizado debidamente la emisión del Certificado SSL con EV
El último avance, y posiblemente el más significativo, en la tecnología SSL desde su inicio inicial sigue las pautas estandarizadas de validación extendida. Los nuevos navegadores de alta seguridad como Microsoft Internet Explorer 7+, Opera 9.5+, Firefox 3+, Google Chrome, Apple Safari 3.2+ y iPhone Safari 3.0+ identifican los certificados SSL extendidos y activan las mejoras de seguridad de la interfaz del navegador. Para los clientes que deseen afirmar los más altos niveles de autenticidad, esta es la solución ideal.
Los certificados SSL con EV están disponibles para todo tipo de empresas, incluidas las entidades gubernamentales. Un segundo conjunto de pautas, las Pautas de auditoría de EV, especifican los criterios bajo los cuales una CA debe ser auditada con éxito antes de emitir Certificados SSL con EV. Las auditorías se repiten anualmente para asegurar la integridad del proceso de emisión.
¿Qué ventajas ofrecen?
Estos son los cinco beneficios clave de usar un SSL certificate.
Protege los datos
La función principal de un certificado SSL es proteger la comunicación servidor-cliente. Al instalar SSL, toda la información está encriptada. En términos sencillos, los datos están bloqueados y solo pueden ser desbloqueados por el destinatario previsto (navegador o servidor), ya que nadie más puede tener la llave para abrirlos.
Al tratar con datos sensibles como identificaciones, contraseñas, números de tarjetas de crédito, etc., SSL te ayuda a protegerte contra el ejército malicioso de piratas informáticos y skimmers. A medida que SSL convierte los datos en un formato indescifrable, las habilidades de los piratas informáticos demuestran ser una espada sin filo contra la insuperable tecnología de cifrado de los certificados SSL.
Afirma tu identidad
La segunda tarea principal de un certificado SSL es proporcionar autenticación a un sitio web. La verificación de identidad es uno de los aspectos más importantes en lo que a seguridad web se refiere. No cabe duda de que Internet es cada vez más engañoso. Ha habido casos en los que las personas han perdido miles de dólares en sitios web falsos. Aquí es donde entra en juego el certificado SSL.
Cuando desees instalar un certificado SSL, debes pasar por un proceso de validación establecido por un tercero independiente llamado Autoridad de certificación (CA). Dependiendo del tipo de certificado, la CA verifica tu identidad y la de tu organización. Una vez que hayas demostrado tu identidad, tu sitio web obtiene indicadores de confianza que avalan su integridad. Cuando los usuarios los ven, saben con quién están hablando.
Mejor clasificación en los motores de búsqueda
En 2014, Google realizó cambios en su algoritmo para dar ventaja a los sitios web habilitados para HTTPS. Esto ha sido evidente en varios estudios realizados por expertos en SEO de todo el mundo. Existe una fuerte correlación entre HTTPS y una clasificación más alta en los motores de búsqueda.
¿Quién no quiere estar en la primera página de Google, verdad?
Ayuda a satisfacer los requisitos de PCI / DSS
Si aceptas pagos en línea, debes saber un par de cosas sobre los requisitos de PCI / DSS. Para recibir pagos en línea, tu sitio web debe cumplir con PCI. Tener un certificado SSL instalado es uno de los 12 requisitos principales establecidos por la industria de tarjetas de pago (PCI).
Por lo tanto, SSL es esencial, lo desees o no.
Mejora la confianza del cliente
Si dependiera de nosotros, habríamos cambiado el nombre de SSL (Secure Socket Layer) a TTL (Trust Transmitting Layer). Además del cifrado y la autenticación, los certificados SSL son vitales desde el punto de vista de la confianza del cliente. Los letreros fáciles de identificar informan a los usuarios que los datos que envían estarán protegidos.
Y si has instalado un SSL OV o EV, pueden ver los detalles de tu organización. Una vez que saben que eres una entidad legítima, es mucho más probable que hagan negocios contigo o incluso vuelvan a visitar tu sitio.
¿Quién debe contar con un certificado SSL?
Si no estás seguro de si tu sitio tiene SSL, puedes averiguarlo fácilmente comprobando la URL del sitio. Si comienza con HTTP, no es seguro, y si comienza con HTTPS, entonces tu sitio web tiene un certificado SSL. Algunos navegadores de Internet han comenzado a avergonzar públicamente a los sitios sin SSL. Los diferentes navegadores han impuesto diferentes indicadores de si un sitio es seguro. Por ejemplo, Google Chrome indicará que el sitio es «no seguro» en la barra del navegador, mientras que Firefox lo etiquetará como «no seguro».
Es posible que desees pensar en agregar un certificado SSL a tu sitio web si alguna de sus páginas está protegida con contraseña. Esto incluye especialmente WordPress u otros sitios basados en bases de datos con una página de inicio de sesión para el administrador. Cualquiera que tenga acceso a este inicio de sesión puede modificar tus páginas o eliminar todo tu sitio.
Hoy en día, un mundo de comercio electrónico tiene muchas violaciones de datos en línea y están creciendo rápidamente en Internet, por lo que cada propietario de un sitio web debe tener un certificado SSL para cifrar la información del usuario y mantenerla segura en Internet.
En resumen, estas son las razones por las que tu sitio web necesita SSL:
- Si tu sitio tiene un inicio de sesión, necesitas SSL para proteger los nombres de usuario y las contraseñas.
- En caso de usar formularios que solicitan información confidencial del cliente, necesitas SSL para evitar que los piratas informáticos se apropien de los datos de tus clientes.
- Si es un sitio de comercio electrónico, es posible que necesites un certificado SSL.
¿Cómo y dónde se obtienen?
Puedes obtener un certificado SSL gratis. Obtienes un certificado digital de una autoridad certificadora (CA) reconocida. Al igual que obtiene un pasaporte en una oficina de pasaportes.
De hecho, el procedimiento es muy similar.
Debes rellenar los formularios correspondientes, agregar tus claves públicas (son solo números) y las envías a la autoridad de certificación.
La autoridad certificadora realiza algunas comprobaciones (depende de la autoridad) y te devuelve las claves incluidas en un certificado.
El certificado está firmado por la autoridad certificadora emisora, y esta es la que garantiza las claves.
Ahora, cuando alguien quiere tus claves públicas, les envías el certificado, verifican la firma en el certificado y, si verifica, pueden confiar en tus claves.
¿Cómo instalar un certificado SSL en mi dominio?
Las siguientes instrucciones te guiarán a través del proceso de instalación de SSL en Web Host Manager (WHM). Si tienes más de un servidor o dispositivo, deberás instalar el certificado en cada servidor o dispositivo que necesites proteger.
- Inicia sesión en WHM, normalmente se puede acceder a este en https://domain.com:2087
- Ingresa tu nombre de usuario / contraseña y haz clic en Iniciar sesión.
- Asegúrate de estar en la página de inicio de WHM.
- Haz clic en el botón SSL / TLS
- En la página del Administrador de SSL / TLS, haz clic en Instalar un certificado SSL en un dominio.
- En el campo Dominio, escribe el nombre de dominio que deseas proteger con tu Certificado SSL.
- Copia y pega tus archivos de certificado en los cuadros de texto correspondientes
- Una vez que hayas introducido los archivos de certificado en los cuadros correctos, haz clic en Instalar.
¿Cuánto cuestan?
La tecnología se vuelve cada vez más asequible con el tiempo, y ese fenómeno también se ha aplicado a los certificados SSL. Hoy son mucho más baratos que hace unos años.
El precio de los certificados SSL de dominio único y los certificados DV comienza desde 13 dólares al año en ClickSSL. Estos son certificados SSL baratos.
Luego están los certificados SSL Wildcard que comienzan desde $ 97.50 al año y los certificados multidominio / SAN desde $ 41.25 por año.
El coste de los certificados SSL OV comienza desde $ 54 por año, mientras que los certificados SSL con EV comienzan desde $ 127.5 por año. Estos certificados pueden considerarse con seguridad los mejores certificados SSL del mercado.
¿Cómo sabe el visitante que la web tiene certificado SSL?
Varios indicadores visuales confirman la presencia de un certificado SSL en un sitio web.
- Candado junto a la URL: El ícono más reconocible, ubicado a la izquierda de la URL del sitio web, es el primer indicador de una conexión segura. Al hacer clic en él, se abrirá información adicional sobre el tipo de SSL y la conexión. Puedes ver qué autoridad de certificación emitió el SSL y durante cuánto tiempo es válido.
- HTTPS no HTTP: Hyper Text Transfer Protocol Secure (HTTPS) les dice a los visitantes que todas las comunicaciones entre su navegador y el sitio web están encriptadas.
- Sello de sitio estático o dinámico: Cada certificado SSL emitido por una autoridad certificadora acreditada viene con un sello estático o dinámico que se puede colocar en cualquier lugar del sitio web. Ya sea que esté ubicado en el pie de página del sitio o en la barra lateral, el sello del sitio brinda una confirmación adicional de que el sitio web es seguro.
- Sin advertencia segura: Si un sitio web no tiene un certificado SSL, el navegador lo marcará como no seguro y mostrará una advertencia de conexión SSL.
Periodo de validez de los certificados SSL
El período de validez máximo de los certificados TLS / SSL es actualmente de 825 días (2 años, 3 meses y 5 días). El período de validez se redujo de 10 años a 5 años, y finalmente a 2 años, debido a las preocupaciones de seguridad asociadas con los períodos de validez prolongados.
Una organización puede sufrir muchos cambios en el transcurso de 5 o 10 años: fusiones y adquisiciones, cambios en la administración o la salida de empleados. En tal escenario, los nombres de dominio están sujetos a cambios, al igual que la propiedad de los certificados. Si se implementó un certificado que tiene una validez de 5 años para el nombre de dominio anterior, se debe revocar y se debe generar una nueva CSR para el nuevo dominio.
A veces, las organizaciones pueden olvidarse de revocar los certificados antiguos. Es posible que el sitio web ahora tenga un dominio diferente, pero el dominio anterior aún sería válido porque su certificado aún está activo. Los piratas informáticos podrían usar esos dominios para crear sus propios sitios web que parezcan pertenecer a la organización. Pueden hacer que personas desprevenidas visiten esos sitios web y entreguen sus datos, que irían directamente a los sistemas de los piratas informáticos.