No se puede dejar de lado el tema de la seguridad en Internet, un aspecto cada vez más importante en toda web. Actualmente, en la red se coloca toda clase de información delicada que debe ser cuidada tanto por uno mismo, como por los administradores de la plataforma digital. El certificado SSL, usado por el protocolo HTTPS es uno de los mecanismos utilizados para garantizar la seguridad digital. A día de hoy, es prácticamente imprescindible el uso de este certificado para cualquier web.
SSL es un acrónimo de las palabras «Secure Sockets Layer» y se suele reflejar en la página web directamente en su URL, comenzando esta con «https://». Esto hace alusión directa a que esta plataforma sí cuenta con la capa de seguridad SSL y por tanto, con su sistema de cifrado de información. El protocolo https lleva implícito el uso del puerto 443 si no se especifica lo contrario. De la misma manera, que el puerto por defecto de HTTP es el 80.
Se puede decir entonces que el SSL es una forma de seguridad para páginas web, capaz de mantener encriptado todo el contenido de dicho sitio web para que así no pueda malversarse su información y, por tanto, hacer la web mucho más segura. Donde tiene más importancia, es en el envío de datos. Ya sea de un simple formulario de contacto o de una compra on-line. De hecho, una web puede funcionar perfectamente sin el certificado y ser seguro, si esta no recoge datos, simplemente muestra información. Pero en cuanto tenga un formulario de contacto o un login, ya debería tenerlo para ser segura.
Tabla de Contenidos
Funcionamiento de SSL
Se basa en el algoritmo de clave privada. Básicamente, consiste en que se generan dos claves: una clave pública y una clave privada. El servidor donde se aloja la web tendrá la clave privada, la cual no compartirá con nadie, y la clave pública, la cual compartirá con los usuarios que se conecten. A partir de una clave es prácticamente imposible obtener la otra.
Una vez generadas estas dos claves, los mensajes cifrados con la clave privada sólo se pueden descifrar con su clave pública. Y viceversa. De esta forma, la información que mande el usuario al servidor (datos privados, datos bancarios, etc.) sólo podrá ser descifrada por el servidor. Aunque alguien intercepte el mensaje no podrá descifrarlo.
Además, estas claves van caducando con el certificado SSL, así que si te conectas otro día es probable que haya cambiado.
Todo este mecanismo que he explicado de manera muy simplificada, es transparente para el usuario. El navegador web ya se encarga de gestionarlo para que el usuario se despreocupe. Eso sí, notificará al usuario cuando se encuentre con una web sin este certificado o con problemas con él. Problemas como que esté caducado, que no sea válido, no se corresponda con la web, etc.
Estos certificados quedan instalados en el servidor, ya sea Apache, Tomcat, IIS o JBoss entre otros. Si dispones de una web con Wordpress, también existen plugins para instalar el certificado SSL y configurarlo. Uno de ellos, podría ser el llamado Really Simple SSL.
Ventajas del certificado SSL
La principal ventaja del certificado SSL queda clara con lo visto hasta ahora. Básicamente, sin el certificado de SSL no se puede tener confianza en que se está entrando en una plataforma segura. Donde el envío de los datos del usuario estén bien protegidos y cifrados.
Se debe recordar, que Internet se basa en conectar un ordenador/tableta/móvil con un servidor, de forma tal que ambos puedan compartir información. Ésta puede ser utilizada de manera maliciosa si no se toman algunas medidas. Con los antivirus, nos podemos proteger de todo lo que esté en nuestro equipo. Pero también hay que proteger de alguna manera la información que viaja desde nuestro equipo.
Por esto, resulta ventajoso tener el certificado SSL en tu sitio web o plataforma digital. Así, cualquiera puede ingresar a la misma con la mayor seguridad. Y sin preocuparse de que, tal vez, sus datos puedan estar siendo utilizados de forma inadecuada. Chrome, Explorer, Edge, Firefox y la mayoría de navegadores marcarán tu web como segura, para tranquilidad del usuario o cliente.
Tipos de certificados SSL: ¿Cuál se adapta mejor a tus necesidades?
Vamos a ver los principales tipos de certificados usado para las webs, con sus principales características.
¿Qué es un Certificado de Validación Extendida (EV SSL) y por qué lo necesitas?
Un certificado de validación extendida (EV SSL) es un tipo de certificado SSL que ofrece el mayor nivel de seguridad y confianza para los sitios web. Un certificado SSL es un protocolo que cifra la comunicación entre el navegador y el servidor, protegiendo los datos sensibles de los usuarios, como contraseñas, datos bancarios o información personal.
Un certificado EV SSL se diferencia de otros tipos de certificados SSL, como los de validación de dominio (DV) o los de validación de organización (OV), en que requiere un proceso de verificación más riguroso y exhaustivo por parte de la autoridad certificadora (CA) que lo emite. Este proceso implica comprobar la identidad legal, física y operativa de la entidad que solicita el certificado, así como su autorización para usar el dominio. Además, la CA debe seguir unas normas y políticas estandarizadas a nivel mundial, establecidas por el CA/Browser Forum, una asociación de autoridades certificadoras y proveedores de navegadores.
¿Cómo reconocer un sitio web con un certificado EV SSL?
Un sitio web con un certificado EV SSL se puede identificar fácilmente por la presencia de una barra de direcciones verde, donde se muestra el nombre de la entidad propietaria del certificado y el país de origen, junto al símbolo de un candado. Este indicador visual es exclusivo de los certificados EV SSL y no se puede falsificar por los sitios web maliciosos o de phishing. Además, al hacer clic en el candado, se puede acceder a los detalles del certificado, donde se puede ver la información de la CA que lo ha emitido y el periodo de validez.
¿Qué ventajas tiene un certificado EV SSL?
Un certificado EV SSL tiene varias ventajas para los sitios web que lo utilizan, especialmente para los que realizan transacciones comerciales o financieras en línea, como tiendas online, bancos, servicios de pago o administraciones públicas. Algunas de estas ventajas son:
- Aumenta la confianza y la credibilidad de los usuarios, al mostrarles que el sitio web es auténtico, seguro y pertenece a una entidad verificada y reconocida.
- Reduce el riesgo de que los usuarios abandonen el sitio web o no completen sus compras o transacciones, al eliminar las dudas o los temores sobre la seguridad de sus datos.
- Mejora el posicionamiento y la visibilidad en los motores de búsqueda, al ser un factor que influye positivamente en el algoritmo de Google y otros buscadores.
- Cumple con los requisitos legales y normativos de algunos sectores o países, que exigen el uso de certificados EV SSL para garantizar la protección de los datos de los usuarios.
¿Qué es un Certificado Validado por la Organización (OV SSL) y cómo funciona?
Un certificado validado por la organización (OV SSL) es un tipo de certificado SSL que verifica la identidad y la legitimidad de la entidad que solicita el certificado, así como el dominio que quiere proteger. Un certificado SSL es un protocolo que cifra la comunicación entre el navegador y el servidor web, evitando que los datos sensibles de los usuarios, como contraseñas, datos bancarios o información personal, sean interceptados o manipulados por terceros.
Un certificado OV SSL se diferencia de otros tipos de certificados SSL, como los de validación de dominio (DV) o los de validación extendida (EV), en el nivel de verificación que requiere por parte de la autoridad certificadora (CA) que lo emite. Un certificado DV SSL solo comprueba que el solicitante es el propietario o el administrador del dominio, pero no verifica su identidad ni su existencia legal. Un certificado EV SSL, en cambio, realiza un proceso de verificación más riguroso y exhaustivo, siguiendo unas normas y políticas estandarizadas a nivel mundial, y muestra una barra de direcciones verde con el nombre de la entidad y el país de origen en el navegador.
Un certificado OV SSL se sitúa en un punto intermedio entre los certificados DV SSL y EV SSL, ofreciendo un mayor nivel de seguridad y confianza que los primeros, pero sin llegar a la garantía y el reconocimiento visual que proporcionan los segundos. Un certificado OV SSL verifica la existencia legal, física y operativa de la entidad solicitante, así como su autorización para usar el dominio. Además, muestra el nombre de la organización en el sello del sitio y en el navegador, junto al símbolo de un candado y el prefijo HTTPS.
¿Para qué sirve un Certificado Validado por la Organización (OV SSL)?
Un certificado OV SSL sirve para proteger los sitios web que realizan transacciones comerciales o financieras en línea, como tiendas online, bancos, servicios de pago o administraciones públicas. Al utilizar un certificado OV SSL, el sitio web garantiza a los usuarios que está cifrando sus datos y que pertenece a una organización verificada y reconocida por una CA de confianza. Esto aumenta la confianza y la credibilidad de los usuarios, reduce el riesgo de abandonos o fraudes, mejora el posicionamiento y la visibilidad en los motores de búsqueda y cumple con los requisitos legales y normativos de algunos sectores o países.
¿Qué es un Certificado Validado por el Dominio (DV SSL) y cómo funciona?
Un certificado validado por el dominio (DV SSL) es un tipo de certificado SSL que verifica únicamente el nombre de dominio del sitio web que lo solicita. Un certificado SSL es un protocolo que cifra la comunicación entre el navegador y el servidor web, evitando que los datos sensibles de los usuarios, como contraseñas, datos bancarios o información personal, sean interceptados o manipulados por terceros.
Un certificado DV SSL se diferencia de otros tipos de certificados SSL, como los de validación de organización (OV) o los de validación extendida (EV), en el nivel de verificación que requiere por parte de la autoridad certificadora (CA) que lo emite. Un certificado OV SSL verifica la existencia legal, física y operativa de la entidad que solicita el certificado, así como su autorización para usar el dominio. Un certificado EV SSL realiza un proceso de verificación más riguroso y exhaustivo, siguiendo unas normas y políticas estandarizadas a nivel mundial, y muestra una barra de direcciones verde con el nombre de la entidad y el país de origen en el navegador.
Un certificado DV SSL se verifica utilizando únicamente el nombre de dominio. Por lo general, la CA intercambia un correo electrónico de confirmación con una dirección que figura en el registro de WHOIS del dominio1. Este proceso es bastante breve y sencillo, pues el solicitante solo tiene que demostrar que tiene el control del dominio o la URL. Sin embargo, hay que tener en cuenta que esta forma de validación con una sola comprobación constituye el estándar más bajo en Internet, pues no garantiza la identidad ni la existencia legal de la entidad que solicita el certificado2.
¿Para qué sirve un Certificado Validado por el Dominio (DV SSL)?
Un certificado DV SSL sirve para proteger los sitios web que no realizan transacciones comerciales o financieras en línea, sino que solo ofrecen información o contenido estático. Al utilizar un certificado DV SSL, el sitio web garantiza a los usuarios que está cifrando sus datos y que el dominio es auténtico. Esto aumenta la seguridad y la confianza de los usuarios, mejora el posicionamiento y la visibilidad en los motores de búsqueda y cumple con los requisitos mínimos de algunos navegadores o plataformas34.
¿Cómo obtener un certificado SSL?
Para obtener un certificado SSL, es necesario seguir los siguientes pasos:
- Elegir una autoridad certificadora de confianza, que ofrezca certificados SSL de calidad y con garantía. Algunas de las CA más populares y reconocidas son GlobalSign, DigiCert, Symantec o GeoTrust.
- Solicitar el certificado SSL para el dominio o los subdominios que se quieran proteger, rellenando el formulario con los datos de la entidad solicitante y el contacto autorizado.
- Enviar la documentación requerida por la CA para verificar la identidad y la autorización de la entidad solicitante, como el registro mercantil, el NIF, el certificado de constitución, el poder notarial, etc.
- Esperar a que la CA realice el proceso de verificación, que puede durar desde unos días hasta varias semanas, dependiendo de la complejidad y la rapidez de la comunicación.
- Recibir el certificado SSL e instalarlo en el servidor web, siguiendo las instrucciones de la CA.
- Comprobar que el certificado SSL funciona correctamente y que se muestra la barra de direcciones verde en el navegador.
Cómo saber si un sitio web tiene certificado SSL
Dependiendo del navegador que utilices, te avisará si la web por la que estás navegando es segura o no. Vamos a ver algunas formas de verlo.
- Si parte de la barra de dirección se encuentra de color rojo, entonces no cabe duda que este sitio carece de certificado SSL.
- Del mismo modo, si en la parte izquierda de la barra del navegador, en el momento de entrar en la plataforma, no hay ningún tipo de candado, entonces también se puede inferir que este sitio web no cuenta con el certificado de seguridad SSL. Si pinchas en este candado, puedes ver más datos del certificado, para acabar de asegurarte.
- Si la URL de la página web comienza con «https», entonces el sitio es seguro si el navegador no dice lo contrario de alguna de las formas de los puntos anteriores. De lo contrario, puedes dudar de su seguridad.
De todas maneras, pese a que entres en una web que posea certificado, conviene no bajar la guardia. Los datos estarán cifrados y verificados por una autoridad certificadora. Pero te la pueden jugar de otras maneras, igual que en el mundo real. Por ejemplo, recopilando más datos sobre ti de los que necesita.
Así que actúa igual que en la vida real y con cabeza. Te ahorrarás muchos problemas.
Certificado SSL gratis
La mayoría de certificados SSL suele ser de pago. Cada año tienes que pagar por renovarlo. Aunque si tienes un negocio donde manejes datos sensibles, probablemente te merezca la pena.
Pero si con un certificado SSL gratuito tienes suficiente, también existen alternativas. Puedes obtener tu propio certificado en Let’s Encrypt. Desde hace unos años proporcionan este tipo de certificados. El principal contra que tiene, es que tienen una validez trimestral. Cada 3 meses hay que renovarlo. Pero no será un problema en la mayoría de casos, ya que la renovación es automática, no tienes que hacer nada.
Algunos hostings, como Banahosting, ofrecen este certificado gratuito directamente desde su cPanel. Simplemente pinchando en un botón, lo tienes instalado en menos de 1 minuto.
¿Qué hacer cuando un Certificado SSL caduca?
Todo certificado SSL tiene una fecha de caducidad, que indica el periodo de validez del mismo. Si el certificado SSL de un sitio web caduca, el sitio web puede quedar marcado como “inseguro” por los navegadores, lo que puede afectar negativamente a la confianza de los usuarios, al tráfico y al posicionamiento del sitio web. Por eso, es importante renovar el certificado SSL antes de que caduque, o en caso de que ya haya caducado, seguir los pasos necesarios para obtener uno nuevo.
¿Cómo saber cuándo caduca un certificado SSL?
Para saber cuándo caduca un certificado SSL, se puede utilizar una herramienta online como SSL Checker, que permite introducir el nombre de dominio del sitio web y obtener información sobre el certificado SSL, como la fecha de emisión, la fecha de caducidad, la autoridad certificadora, el tipo de certificado y el estado de la cadena de certificados. También se puede consultar el certificado SSL desde el navegador, haciendo clic en el icono del candado que aparece en la barra de direcciones, y accediendo a los detalles del certificado.
¿Cómo renovar un certificado SSL?
Para renovar un certificado SSL, se debe seguir el mismo proceso que para obtener uno nuevo, pero teniendo en cuenta que se puede aprovechar la misma clave privada y el mismo CSR (Certificate Signing Request) que se usaron para el certificado anterior, siempre que no hayan cambiado los datos del sitio web o de la entidad solicitante. Los pasos para renovar un certificado SSL son los siguientes:
- Elegir una autoridad certificadora de confianza, que ofrezca certificados SSL de calidad y con garantía. Algunas de las autoridades certificadoras más populares y reconocidas son GlobalSign, DigiCert, Symantec, GeoTrust o Entrust.
- Solicitar el certificado SSL para el dominio o los subdominios que se quieran proteger, rellenando el formulario con los datos de la entidad solicitante y el contacto autorizado. Se puede utilizar el mismo CSR que se usó para el certificado anterior, o generar uno nuevo si se desea cambiar el tipo de certificado o los datos del solicitante.
- Enviar la documentación requerida por la autoridad certificadora para verificar la identidad y la autorización de la entidad solicitante, como el registro mercantil, el NIF, el certificado de constitución, el poder notarial, etc. Este paso puede variar según el tipo de certificado que se solicite, siendo más exigente para los certificados de validación extendida (EV) que para los de validación de dominio (DV) o los de validación de organización (OV).
- Esperar a que la autoridad certificadora realice el proceso de verificación, que puede durar desde unos días hasta varias semanas, dependiendo de la complejidad y la rapidez de la comunicación.
- Recibir el certificado SSL e instalarlo en el servidor web, siguiendo las instrucciones de la autoridad certificadora. Se puede utilizar la misma clave privada que se usó para el certificado anterior, o generar una nueva si se desea cambiarla.
- Comprobar que el certificado SSL funciona correctamente y que se muestra el icono del candado y el prefijo HTTPS en el navegador.
¿Qué hacer si el certificado SSL ya ha caducado?
Si el certificado SSL ya ha caducado, se debe actuar con rapidez para evitar que el sitio web pierda visitas, ventas o reputación. Lo primero que se debe hacer es informar a los usuarios de que el sitio web está trabajando para solucionar el problema y que sus datos están seguros. Se puede utilizar un mensaje de aviso en el sitio web, un correo electrónico o las redes sociales para comunicar la situación.
Lo segundo que se debe hacer es renovar el certificado SSL lo antes posible, siguiendo los pasos indicados anteriormente. Una vez que se haya instalado el nuevo certificado SSL, se debe verificar que el sitio web funciona correctamente y que no hay ningún error de seguridad. También se debe comprobar que el sitio web no ha perdido posicionamiento en los motores de búsqueda, y en caso de que así sea, se debe trabajar para recuperarlo.