Todos conocen la importancia de la comunicación encriptada en Internet para la seguridad, pero el tema a menudo no está del todo claro. Los webmasters saben que los certificados SSL actuales no solo tienen un efecto positivo en la clasificación de Google, sino que también son promovidos por los navegadores. Sin embargo, no todos los certificados SSL se crean de la misma manera. Lo que necesitas saber es que hay varias versiones que difieren en características y niveles de seguridad.
Certificado SSL: factor de seguridad esencial
El Secure Locket Layer (SSL) es un protocolo desarrollado para permitir la transmisión segura de datos a través de Internet. Los certificados SSL pagados se utilizan, por ejemplo, en la banca doméstica o como soluciones para tiendas en línea. Tanto el cifrado SSL gratuito como el pagado ofrecen conexiones cifradas entre servidores y clientes con certificados que siguen el estándar X.509 y permiten garantizar la integridad de los mensajes mediante el procedimiento de clave pública.
SSL y navegador
Todos los navegadores como Internet Explorer, Netscape, Mozilla Firefox, Safari, etc. admiten este estándar de cifrado. El candado verde al lado del URL es un indicador importante de confianza para los visitantes de todas las páginas, ya sean tiendas, blogs o sitios web corporativos. En particular, HTTPS significa que la comunicación entre el servidor web y el cliente está encriptada. La S al final de HTTPS quiere decir que el sitio es seguro. Si una página está protegida con un certificado SSL, los terceros no pueden acceder a los datos transmitidos durante la transferencia.
SSL y velocidad de conexión
Este tipo de cifrado no ralentiza la transmisión, por el contrario, la velocidad de la página también se puede aumentar con el llamado HTTP/2. A modo de comparación: HTTP/1.1 utiliza diferentes conexiones TCP para cargar elementos de páginas web como archivos JS, archivos CSS e imágenes. HTTP/2, por otro lado, transmite varios datos en paralelo en una sola conexión. La información está comprimida en código binario. Además, los paquetes de datos se ordenan y transmiten en un orden específico: los datos necesarios para la construcción de una página se transmiten primero.
¿Cómo funciona el cifrado SSL?
La autoridad de certificación (CA) es la responsable de emitir y firmar este tipo de certificados. La CA garantiza la autenticidad del sitio web al visitante del sitio web. Además, si has elegido un certificado comercial, también se confirma la identidad de la empresa. Un certificado SSL se almacena en el servidor web después de verificar el sitio. Ya sea un certificado gratuito o pagado, el cifrado es básicamente el mismo. El servidor primero se autentica como titular del certificado en el cliente, luego se establece el cifrado asimétrico y se intercambian las claves. Con estas claves, el cifrado asimétrico es posible porque toda la comunicación entre el cliente y el servidor está cifrada. Incluso si un hacker logra infiltrarse, su triunfo le durará poco puesto que los bloqueos se renuevan regularmente durante la comunicación.
La diferencia entre el SSL gratis y el pagado
Con un certificado SSL gratuito, estas obteniendo el nivel de validación más simple, es decir, el certificado DV (Domain Validation) con el que solo se verifica la propiedad del dominio. La verificación se realiza automáticamente para obtener certificados SSL gratuitos, es decir, no hay una sola persona para llevar a cabo la verificación. El certificado DV es mucho más fácil y rápido de implementar que un certificado pagado y no requiere trabajo adicional. Sin embargo, estos certificados dan espacio para que los atacantes cibernéticos hagan de las suyas: muchos piratas informáticos ahora usan certificaciones SSL/TLS y envían a los usuarios a páginas de inicio de sesión de phishing falsas.
¿En qué se diferencian los certificados SSL pagados?
Los certificados SSL pagados ofrecen certificados de “Extended Validation” (EV) y “Organization Validation” (OV). Para los operadores de sitios web con acceso de usuario, sería muy recomendable no solo mirar los ahorros, sino confiar en los certificados SSL pagados. Con los certificados EV y OV, la verificación no se realiza automáticamente, sino manualmente. El empleado de la autoridad de certificación realiza la verificación haciendo una llamada o verificando el registro de empresas. De esta manera, determina si la empresa detrás del sitio web realmente existe.
Organization Validation (OV)
Con este tipo de certificado SSL, la información de la empresa se confirma y se almacena en el certificado. De esta manera, el visitante no solo sabe que está en un sitio web seguro, sino que tiene la certeza de que el sitio pertenece a la empresa. La CA ha verificado la propiedad del dominio y más información, como el nombre legal o registrado de la empresa, la ubicación y otra información. Esta forma de certificado generalmente se usa para sitios web de acceso público donde se realizan transacciones con datos menos confidenciales; por ejemplo, sitios de información.
Extended Validation (EV)
El certificado EV muestra la confirmación de identidad visible más fuerte detrás de un sitio web. Este le informa al usuario que es seguro ingresar datos confidenciales, ya que estos se transmiten de manera segura y encriptada. Con este certificado, además de la propiedad del dominio y la información adicional que se verifica con el certificado OV, la autoridad competente solicita información como el estado legal, la existencia física y operativa, la autorización para firmar contratos, etc. Este tipo de certificado se usa generalmente para sitios web que requieren registro, procesar información privada u otros datos confidenciales o aceptar pagos, como tiendas en línea o sitios bancarios
¿Certificados SSL gratuitos o de pago?
No siempre es fácil encontrar el certificado SSL adecuado para un proyecto. En general, debe tenerse en cuenta que el uso de un certificado SSL solo trae ventajas para un sitio web y la empresa. Los operadores de los sitios web de las empresas y aquellos en los que se procesan datos confidenciales deben ocuparse absolutamente de los certificados OV y EV.
El asistente SSL de InterNetX verifica varios factores y puede ayudarte a encontrar el certificado correcto.
¡No te detengas aquí! Te puede interesar leer
Registro CAA y su importancia en la seguridad de un dominio
¡Aprende a verificar la seguridad de un sitio web!
Social engineering: aprovecha las vulnerabilidades humanas
