Guía sobre Certificados SSL

Al crear una aplicación web que se ocupa de datos personales, la seguridad es la primera prioridad. Esto es cierto no solo con las tiendas en línea y los carritos de compras, sino también con las redes sociales populares como Twitter y Facebook. SSL es un protocolo seguro muy parecido a HTTP en el sentido de que puede recibir y transferir datos a través de Internet.

Es cierto que todo el concepto es un poco complicado, pero no tan difícil de entender. Si eres un webmaster o alguien simplemente interesado en aprender sobre certificados SSL, esta guía debería ser perfecta para ti. La seguridad es vital para el éxito de cualquier sitio web y SSL es simplemente un trampolín en el panorama general.

En este post analizamos qué es un certificado SSL, sus tipos, cómo funciona y cómo configurarlo.

¿Qué es un certificado SSL?

SSL significa Secure Sockets Layer y, en resumen, es la tecnología estándar para mantener segura una conexión a Internet y salvaguardar cualquier información confidencial que se envíe entre dos sistemas, evitando que los delincuentes lean y modifiquen la información transferida, incluidos los posibles detalles personales.

Los dos sistemas pueden ser un servidor y un cliente (por ejemplo, un sitio web de compras y un navegador) o de servidor a servidor (por ejemplo, una aplicación con información de identificación personal o con información de nómina).

Para ello, se asegura de que los datos transferidos entre usuarios y sitios, o entre dos sistemas, sigan siendo imposibles de leer. Utiliza algoritmos de cifrado para codificar los datos en tránsito, evitando que los piratas informáticos los lean cuando se envían a través de la conexión.

Esta información puede ser cualquier información confidencial o personal, que puede incluir números de tarjetas de crédito y otra información financiera, nombres y direcciones.

TLS (Transport Layer Security) es solo una versión actualizada y más segura de SSL. Tienen la opción de cifrado ECC, RSA o DSA.

HTTPS (Protocolo seguro de transferencia de hipertexto) aparece en la URL cuando un sitio web está protegido por un certificado SSL. Los detalles del certificado, incluida la autoridad emisora ​​y el nombre corporativo del propietario del sitio web, se pueden ver haciendo clic en el símbolo de candado en la barra del navegador.

SSL se comporta como un pasaporte digital que verifica las credenciales tanto tuyas como del servidor web final. Cuando se verifican ambas identidades, SSL otorga una conexión segura a través de HTTPS. Este proceso se realiza mediante certificados . He desglosado los aspectos clave de un certificado SSL, que incluye:

  • El nombre del propietario
  • Número de serie del certificado utilizado para identificación
  • La fecha de vencimiento del Certificado
  • La clave pública del Certificado utilizada para cifrar la información.
  • La clave privada del certificado que se usa para descifrar la información (generalmente proviene de un servidor web).

Tipos

Si te preguntas cómo obtener un certificado SSL o decides cuál es el mejor para ti, es importante comprender los tres tipos de certificados disponibles. Muchos proveedores de alojamiento web tienen opciones de certificados que te impulsarán u ofrecerán como parte de paquetes de ventanilla única, pero muy pocos realmente requieren que uses esos certificados. Así que compara precios porque tus opciones deben permanecer abiertas.

Todos los certificados SSL se utilizan para cifrar datos, pero no hay garantía de que el servidor en el otro extremo sea amigable o incluso con el que esperas hablar. Para resolver este problema, tienes un tercero de confianza, conocido como autoridad de certificación, que cobra una tarifa para investigar a la empresa y emitir el certificado SSL.

La lógica es que, si confías en el tercero y el tercero confía en el certificado SSL, entonces puedes confiar en el certificado y en el servidor que te lo muestra. Lo que distingue a los certificados SSL es cuánta diligencia debida se ha invertido en establecer esa confianza. En su mayor parte, los certificados SSL se dividen en tres categorías:

Certificado validado por dominio (DV)

Con un coste que varía de gratuito a barato, como la opción QuickSSL Premium de Geotrust o la oferta de RapidSSL, este tipo de certificado SSL está bien para proyectos internos pero no es aceptable para la web abierta.

Ten mucho cuidado en los sitios web que utilizan este tipo de certificado. De hecho, probablemente sea mejor que te alejes de ellos lo más rápido que puedas.

Certificado validado por la organización (OV)

Debido a que las empresas y organizaciones ya tienen algún nivel de autenticación con un organismo de gobierno, la autoridad certificadora puede verificarlas fácilmente como legítimas.

Generalmente, se contactará a la organización que figura en la solicitud y se le pedirá que proporcione alguna prueba de que es válida. Este es el nivel mínimo de certificado SSL que debe considerarse para un sitio web comercial.

Certificado de validación extendida (EV)

Este es el tercer y más confiable nivel de certificados SSL. Las pautas publicadas para los certificados EV son estrictas y completas. No es raro que se solicite y verifique una prueba de identidad, capacidad y lugar de trabajo.

Antes de que se emita el certificado EV, se determina y publica la identidad de la entidad legal que controla el sitio web. Como beneficio adicional, la mayoría de los navegadores web modernos indicarán que se está utilizando un certificado EV mostrando una barra de Localizador uniforme de recursos (URL) verde.

Cada nivel de certificado SSL también tiene dos variaciones. Un certificado de dominio único, como parece, protege un único sitio web. Como resultado, tiende a ser más económico.

Su primo, el certificado comodín, te permite proteger múltiples subdominios y tiende a ser más caro. Sin embargo, si deseas un certificado EV, la única opción es obtener un certificado de dominio único. Esto se debe al escrutinio adicional sobre cómo y dónde se usa. Si necesitas cubrir varios subdominios con certificados EV, a veces puedes obtener un descuento por volumen, pero esto variará de un proveedor a otro.

Configuración de un certificado

SSL es una forma más compleja de transmisión de datos, como transferir un mensaje dentro de una caja fuerte cerrada. No es necesario memorizar los elementos clave de un certificado SSL o aprender cómo se conecta con un servidor web, pero es bueno al menos comprender los conceptos básicos del proceso antes de configurar el tuyo.

En realidad, los certificados SSL se compran a varios proveedores confiables en la Web. Cada certificado tiene una fecha de vencimiento, lo que significa que tendrás que renovarlo para mantener tu sitio web seguro (por lo general, esto es todos los años). Parece un verdadero dolor de cabeza , pero afortunadamente muchos servidores web populares como FatCow te ayudarán en el proceso de configuración.

Primero, debes generar una solicitud de firma de certificado o CSR en tu propio servidor web. La CSR es necesaria antes de poder obtener un certificado SSL. Es posible crearlo tu mismo si tienes privilegios administrativos completos en el servidor web. Sin embargo, es muy recomendable que te comuniques primero con tu proveedor de alojamiento web, ya que es probable que no te permitan hacerlo a ti mismo.

Una vez que tengas esta CSR cifrada, puedes ponerte en contacto con un proveedor de certificados. Una vez que hayas comprado el certificado, comunícate con el soporte de tu proveedor de alojamiento web y ellos lo instalarán con gusto.

TLS frente a SSL

Si has comprado recientemente un certificado SSL, probablemente lo instalaste y te dedicaste a tus actividades diarias, sabiendo que tu sitio web era más seguro para tus visitantes. Sin embargo, la realidad es que el protocolo SSL ha estado en desuso durante años debido a algunos problemas de seguridad específicos. Sin embargo, el término ha persistido.

En esencia, SSL es simplemente un protocolo de «protocolo de enlace», lo que significa que es el método que utilizan dos computadoras para decidir de forma segura qué tipo de cifrado usarán cuando se comuniquen entre sí y con qué contraseña secreta compartirán. Pero el apretón de manos es una etapa crítica en el proceso de comunicaciones seguras porque, si se ve comprometido, el paso de cifrado que sigue se vuelve inútil.

Afortunadamente, el protocolo de protocolo de enlace que reemplazó a SSL en estos días se llama Transport Layer Security (TLS). Si bien TLS es similar, sigue siendo una opción significativamente mejor.

TLS se introdujo solo un poco después de SSL como un seguimiento similar pero más seguro. Los dos continuaron evolucionando en paralelo hasta que SSL finalmente se retiró en 2015. Desde entonces, TLS ha seguido siendo la opción preferida, y la mayoría de los navegadores en estos días no te mostrarán un ícono de candado si se utilizan los protocolos SSL 2.0 o SSL 3.0.

Pero este cambio ha ocurrido en gran medida bajo las cubiertas proverbiales fuera de los círculos de administradores web incondicionales, por lo que es perfectamente lógico preguntarse «¿Son mis certificados SSL compatibles con TLS?»

Respuesta corta: Sí, absolutamente lo son. La conclusión principal es que la terminología a veces puede ser engañosa porque evoluciona no solo como lo hace la industria, sino también de acuerdo con las leyes de uso común.

Sin embargo, puedes estar seguro de que, si compraste un certificado de una autoridad de confianza, no compraste algo obsoleto. Recuerda que los protocolos siempre están evolucionando. TLS ya está en la versión 1.2 y seguirá cambiando a medida que pase el tiempo. El certificado es necesario, pero son los servidores web los que deciden tanto el tipo de cifrado como los protocolos de protocolo de enlace.

¿Cómo funciona un certificado SSL?

El principio básico es que cuando instalas un certificado SSL en tu servidor y un navegador se conecta a él, la presencia del certificado SSL activa el protocolo SSL (o TLS), que cifrará la información enviada entre el servidor y el navegador (o entre servidores).

SSL opera directamente sobre el protocolo de control de transmisión (TCP), funcionando efectivamente como una manta de seguridad. Permite que las capas de protocolo más altas permanezcan sin cambios al mismo tiempo que proporciona una conexión segura. Entonces, debajo de la capa SSL, las otras capas de protocolo pueden funcionar con normalidad.

Si un certificado SSL se usa correctamente, todo lo que un atacante podrá ver es qué IP y puerto están conectados y aproximadamente cuántos datos se están enviando. Es posible que puedan terminar la conexión, pero tanto el servidor como el usuario podrán saber que lo ha hecho un tercero. Sin embargo, no podrán interceptar ninguna información, lo que lo convierte en un paso esencialmente ineficaz.

El pirata informático puede averiguar a qué nombre de host está conectado el usuario pero, lo que es más importante, no al resto de la URL. Como la conexión está encriptada, la información importante permanece segura.

  • SSL comienza a funcionar después de que se establece la conexión TCP, iniciando lo que se llama un protocolo de enlace SSL.
  • El servidor envía su certificado al usuario junto con una serie de especificaciones (incluida la versión de SSL / TLS y los métodos de cifrado que debe utilizar, etc.).
  • Luego, el usuario verifica la validez del certificado y selecciona el nivel más alto de cifrado que puede ser compatible con ambas partes e inicia una sesión segura utilizando estos métodos. Hay un buen número de conjuntos de métodos disponibles con varios puntos fuertes: se denominan conjuntos de cifrado.
  • Para garantizar la integridad y autenticidad de todos los mensajes transferidos, los protocolos SSL y TLS también incluyen un proceso de autenticación mediante códigos de autenticación de mensajes (MAC). Todo esto suena largo y complicado, pero en realidad se logra casi instantáneamente.

Cómo saber si necesito SSL

El hecho de que Google esté impulsando HTTPS en la web y priorizando los sitios que tienen un certificado SSL probablemente indica cuánto SSL se necesita, pero aquí hay otras razones principales para obtener un certificado SSL.

Compras seguras

El 74% de los carritos de la compra se abandonan, pero hasta el 64% se puede recuperar con una mejor seguridad y flujo de pago. Muchos de estos 64% tienen más probabilidades de completar una compra si saben que el área de pago es segura. Ese no es un número que las empresas pueden permitirse ignorar. Incluso si solo usan SSL para su área de pago, vale la pena.

Ofrecer membresías

Si los sitios ofrecen membresía o cualquier cosa que implique la recopilación de direcciones de correo electrónico y otra información confidencial, entonces SSL es una buena idea. Siempre es sensato mantener la información del cliente lo más segura posible.

Si se utilizan formularios

Lo mismo se aplica si utilizan algún tipo de formulario donde los usuarios enviarán información, documentos o imágenes. Es sorprendente la cantidad de información que se recopila sobre los visitantes de un sitio, por lo que vale la pena mantenerlo seguro.

Si es simplemente un blog o un tipo de sitio estándar de ‘solo información’, HTTPS puede ayudar a proteger la seguridad de los sitios, reduciendo el riesgo de manipulación y los intrusos que inyectan anuncios en la página para romper la experiencia del usuario. Además, realmente no puede hacer daño en términos de clasificación en los motores de búsqueda

¿SSL funciona en todos los dispositivos?

En resumen, la respuesta a esta pregunta es sí. Por supuesto, hay algunas configuraciones que no funcionarán al 100%, por lo que puede ser valioso hablar con el equipo de ventas de la Autoridad de certificación si no estás seguro.

Navegador

Las personas usan una variedad de navegadores diferentes (Chrome, Firefox, Safari, etc.) para acceder al contenido web. Así como los sitios se crean para funcionar en todas las plataformas de navegación, SSL / TLS de un proveedor de confianza también funcionará en el 99% de los casos. A menos que los usuarios accedan al sitio desde navegadores muy especializados, se cubrirán todos los grandes nombres.

Servidores

Gracias a la forma en que funciona SSL, los servidores realmente no necesitan tener certificados raíz incrustados, pero deberás instalar los certificados intermedios correspondientes. Siempre que el certificado esté instalado correctamente, cualquier servidor puede admitirlo. Depende del navegador determinar si es de confianza o no durante el proceso de negociación.

Dispositivos y sistemas operativos

Nuevamente, todos los grandes sistemas operativos para computadoras, tabletas y teléfonos móviles son compatibles. Sin embargo, en el caso de los móviles, es posible que algunos dispositivos más antiguos no admitan los protocolos SSL o TLS más nuevos, por lo que vale la pena investigar para garantizar la máxima compatibilidad. El proveedor del certificado SSL puede ayudar con esto si tienes alguna duda.

¿Cuáles son las implicaciones visuales de SSL?

Como nos hemos referido varias veces a lo largo de esta guía, a menudo es el impacto visual de un certificado SSL lo que tiene el mayor efecto en los usuarios y clientes potenciales. Pero, ¿cómo funciona exactamente esto y qué forma visual adoptará un SSL en un sitio?

Al igual que con cualquier compra, en línea o no, es más probable que la mayoría de las personas compren a un distribuidor de confianza. Los certificados para demostrar la autenticidad o la experiencia en un campo determinado contribuyen en gran medida a que los clientes se sientan más seguros.

Ese es exactamente el impacto visual que puede tener un certificado SSL en los clientes potenciales. SSL y TLS son los mejores y más aceptados estándares de seguridad de la industria y los certificados deben mostrarse con orgullo donde todos puedan verlos.

En primer lugar, aparecerá en la barra de direcciones. El prefijo anterior del sitio será https: // en lugar de http: // y los usuarios insisten con más frecuencia en la diferencia.

La presencia del icono del candado en la barra de direcciones también es una gran indicación de seguridad. Asegura a los clientes que su conexión es segura y encriptada. Y, como hemos mencionado, puede aumentar la probabilidad de que las personas completen una transacción.

Al utilizar la forma de certificado más segura, el certificado SSL de validación extendida, el nombre de la empresa aparece en verde en la barra de direcciones. Es otra forma segura de hacerles saber a los clientes que es 100% legítimo.

Por último, muchos certificados SSL vienen con una imagen de sello, que se puede utilizar en el sitio para mostrar la marca de SSL que se está utilizando.

¿Qué es un error de conexión SSL?

Se produce un error de conexión SSL cuando la página a la que se accedes tiene algunos problemas de seguridad. Ocurren para la protección de los usuarios, interrumpiendo el acceso para informarles que puede haber algunos problemas de seguridad si avanzan.

Pueden adoptar varias formas, que a menudo difieren según la elección del navegador. En algunos casos, la página puede volverse roja con el https: // pre-x también resaltado en rojo. Con Google Chrome, hay una serie de mensajes que los usuarios pueden ver aparecer en su pantalla. Estos incluyen ‘su conexión no es privada’ o simplemente que ‘esta página web no está disponible’.

Puede ser el resultado de un código de seguridad desactualizado en el sitio web y no significa necesariamente que el sitio al que se accedes sea sospechoso, pero los usuarios deben tomarse en serio los errores de conexión, especialmente si no están 100% seguros del sitio de destino.

Si bien hay formas de sortear los errores de conexión SSL, se recomienda encarecidamente que los usuarios no lo hagan.

¿Funciona SSL en el correo electrónico?

La mayoría de los grandes proveedores de correo electrónico utilizan el cifrado SSL para cifrar el correo de los usuarios. En la mayoría de los casos, la opción SSL se verificará automáticamente en la configuración del correo electrónico. Para recuperar el correo que ha marcado un mensaje de error, es posible que el usuario tenga que desmarcar esta opción.

Si la cuenta donde los usuarios recuperan correo es compatible con SSL, pueden seleccionar esta opción para que los datos se envíen a través de una conexión segura.

Si una empresa está configurando su propio servicio de correo electrónico, es posible que el equipo de TI deba verificar con su proveedor que también están protegidos por SSL. Esto eliminará los problemas de seguridad al enviar correos electrónicos y correo individual.