Sentirnos seguros al ingresar datos personales en un sitio web debería ser motivo de preocupación para los internautas, de esta necesidad derivan los certificados digitales.
Cuando navegamos por sitios globalmente conocidos como Facebook o YouTube utilizamos el protocolo HTTPS, que es la versión segura del protocolo HTTP y en el siguiente eslabón se encuentra SSL (Secure Sockets Layer).
Entremos en materia
Un certificado SSL es un pequeño archivo de datos que vincula digitalmente una clave criptográfica con los datos de una organización. Una vez instalado en el servidor web, el certificado activa el candado y el protocolo https y, de esta forma, se habilita una conexión segura desde el servidor web hasta el navegador.
¿Cómo funcionan los certificados SSL?
Los certificados SSL utilizan una tecnología denominada cifrado de clave pública (asymmetric key cryptography).
Este tipo específico de cifrado recurre al uso de dos claves, que son secuencias largas de números generados aleatoriamente. Este par de claves está compuesto por una clave privada y una clave pública. La clave pública, conocida por su servidor y de dominio público, permite cifrar cualquier mensaje.
Si aún no lo tienes muy claro, te dejamos el siguiente ejemplo:
Cuando Alicia envíe un mensaje a Daniel, primero lo bloqueará con la clave pública de Daniel. La única forma de descifrarlo será aplicando la clave privada de Daniel, que solo él posee. De esta forma, él será el único que podrá usarla para desbloquear el mensaje de Alicia. Si un intruso intercepta el mensaje antes de que Daniel lo desbloquee, lo único que visualizará será un código criptográfico que no podrá descifrar, ni siquiera recurriendo a la computación.
En lo que respecta a los sitios web, la comunicación se realiza entre el sitio web y un servidor. Su sitio web y el servidor serían Alicia y Daniel.
Planteando el ejemplo anterior te explicamos paso a paso cómo un certificado SSL da la autenticación de seguridad a tu sitio web:
- Authentication: Cada vez que un visitante inicia una nueva sesión en su sitio, el servidor se identifica por medio de un certificado SSL, cuya validez es verificada por el navegador del visitante.
- Chiffrement: su servidor comparte su clave pública con el navegador que la utiliza para crear y cifrar una clave maestra previa. Esto se llama intercambio de claves.
- Déchiffrement: El servidor descifra el pre-maestro usando su clave privada para establecer una conexión encriptada y segura durante la sesión.
Además, su funcionamiento dentro de cada herramienta:
- Navegadores: Al igual que los sitios web están diseñados para funcionar en cualquier dispositivo o navegador, los protocolos SSL y TLS son compatibles con los navegadores web más utilizados.
- Servidores: Un certificado SSL funciona con todo tipo de servidores. Es el navegador web del usuario el que determina el grado de seguridad que ofrece cada servidor durante el proceso de handshake.
- Correo electrónico: La mayoría de los proveedores de servicios de correo electrónico en la nube utilizan cifrado SSL; de igual modo, las empresas y organizaciones pueden instalar certificados SSL para proteger sus propios servidores.
¿Por qué necesitas un certificado SSL?
SSL no se trata solo de la protección del comercio en línea. También, protege absolutamente todos los datos que entran y salen de su sitio web.
Podríamos decir que el certificado SSL es el guardia de seguridad que está en la entrada del banco, controlando la cantidad de personas que entran y salen de la agencia, además de vigilar el comportamiento de estos en el banco.
Por consiguiente, es necesario que entiendas con detalle qué función cumple el certificado SSL en tu web:
- Cifrar el tráfico de datos entre un navegador web y un sitio web (o entre dos servidores web), protegiendo así la conexión: esto impide que un hacker pueda ver o interceptar la información que se transmite de un punto a otro, y que puede incluir datos personales o financieros.
- Paneles de inicio de sesión y formularios: El protocolo SSL cifra y protege los nombres de usuario y contraseñas, así como los formularios que se emplean en las páginas web para enviar datos personales, documentos o imágenes.
- Páginas de pago: si tus clientes saben que la página de pago de su sitio web es segura (y que los datos de su tarjeta de crédito están protegidos), es más probable que completen la compra.
- Refuerzan/mejoran la confianza de los clientes.
- Mejoran las tasas de conversión.
SSL mejora tu posicionamiento
En agosto de 2014, Google explicó en un comunicado que favorecería a los sitios webs que implementaran el protocolo HTTPS.
Para los expertos en posicionamiento este comunicado significó un cambio en el juego, debido a que Google no suele hacer públicos los criterios de posicionamiento que condicionan su algoritmo, entonces más que una simple recomendación este comunicado se tomo como un proceso obligatorio.
A través de esta medida Google hacia el intento de mejorar la seguridad en internet.
En 2018, la empresa dio un paso más y, además de penalizar el posicionamiento de los sitios web sin certificados SSL, comenzó a señalarlos con un aviso de «no seguro» en su navegador, Chrome.
Tipos de certificados
Ahora que ya sabes qué es un certificado SSL y por qué lo necesitas, debes saber qué tipo de certificado te conviene.
Actualmente hay disponibles tres tipos de certificados SSL:
Validación Ampliada (EV SSL), Validación de Organización (OV SSL) y Validación de Dominio (DV SSL). Mientras que los niveles de cifrado son los mismos en todos los certificados, la diferencia radica en el proceso de inspección y verificación necesario para obtener el certificado.
Los niveles de cifrado son los mismos en todos los certificados, la diferencia radica en el proceso de inspección y verificación necesario para obtener el certificado. La elección del certificado debe ser en función de la confianza que desea transmitir a sus visitantes.
Certificado con validación ampliada (EV SSL):
Con un certificado EV SSL, la Autoridad de Certificación (AC) comprueba el derecho del solicitante a usar el nombre del dominio en cuestión y, además, realiza un proceso de inspección de la organización estricto. El proceso de emisión de los certificados EV SSL está perfectamente definido en las Directrices sobre EV, ratificadas formalmente por el Foro de Navegadores y Autoridades de Certificación en 2007.
Certificados SSL OV (OV SSL)
La Autoridad de Certificación comprueba el derecho del solicitante a usar un nombre de dominio específico. No se inspecciona la identidad de la empresa y únicamente se muestra la información encriptada al hacer clic sobre el Sello de Página Segura.
Certificados SSL con validación de dominio (DV SSL)
La AC comprueba el derecho del solicitante a usar el nombre del dominio en cuestión. No se inspecciona la información relativa a la identidad de la empresa y no se muestra ningún dato más allá de la información de cifrado incluida en el Sello de Sitio Seguro. Aunque tiene la tranquilidad de que su información está cifrada, no puede garantizar quién recibe la información en el otro extremo.
¿Ya estás preparado para obtener tu primer certificado SSL?
Ahora bien, ya sabes qué es un certificado SSL, para qué sirve y qué tipos existen, pero el último paso y el que más necesitas es saber dónde conseguirlo.
Los certificados SSL deben ser emitidos por una Autoridad de Certificación de confianza. Los navegadores, sistemas operativos y dispositivos móviles cuentan con una lista de certificados raíz de AC de confianza.
El certificado raíz debe estar presente en la computadora del usuario final para que cuente con confianza. En caso contrario, el navegador mostrará al usuario final un mensaje de error alertando de que la conexión no es fiable. En el caso de las transacciones de comercio electrónico, estos mensajes de error generan dudas inmediatas acerca de la página web y las empresas corren el riesgo de perder la confianza depositada en ellas y dejar de recibir pedidos de la mayoría de sus clientes.
Referencias:
Digicert
GlobalSign