¿Qué es el certificado SSL, cómo funciona y cómo obtener uno?
«El recurso más valioso del mundo ya no es el petróleo, sino los datos».
La gente solía dudar de ese titular hace solo unos años. Nos comunicamos, compramos y vendemos, nos suscribimos, nos ganamos la vida a través de Internet. Vivimos otra vida en línea completa, lo que crea la necesidad de proteger nuestras identidades digitales.
En la vida real, esa necesidad de seguridad toma la forma de llaves, tarjetas de identificación y firmas manuales. En línea, tenemos algo llamado SSL – Capa de sockets seguros.
La industria del alojamiento web promociona el certificado SSL como confiable, asequible y una necesidad para ganar la confianza del cliente. El grado en que su sitio web es confiable y seguro afecta en gran medida el crecimiento del negocio.
Hoy en día, hay una variedad de ofertas SSL, según cómo esté utilizando su sitio web, el tipo de datos con los que opera, su presupuesto, etc. El uso de certificados SSL ahora es común. Encontrará la solución listada entre los criterios clave cuando investigue el mercado y elija un proveedor de alojamiento.
El uso de certificados SSL / TLS ha aumentado en más del 20% desde 2016. Para mayo de 2019, solo el 88.4% de los sitios web usan uno. Se espera que la creciente demanda de conexión confiable y segura entre un sitio web y el navegador web de un cliente supere los números estimados para el período 2019 a 2028.
¿Qué es SSL?
Secure Sockets Layer o SSL es uno de los protocolos criptográficos ampliamente utilizados que permite la autenticación, cifrado y descifrado de datos enviados a través de Internet. Está diseñado para asegurar la comunicación entre navegadores web y servidores web, o entre servidores de correo a través de la red pública.
Una «sesión SSL» normalmente consta de dos algoritmos, uno para cifrar los datos transmitidos llamados «clave pública» y otro para descifrarlos, una «clave privada». Este método criptográfico también se conoce como criptografía asimétrica, donde se necesitan un par de claves para 1) autenticar y cifrar la información y 2) para permitir que el titular de la clave privada la descifre.
Los algoritmos asimétricos más utilizados son RSA y criptografía de curva elíptica (ECC).
Con el algoritmo RSA (Rivest – Shamir – Adleman), se genera una clave pública para cifrar la información. Esa clave se puede distribuir a todos; sin embargo, la información solo se puede descifrar utilizando la clave privada correspondiente.
La regla establece que cuanto mayor sea la longitud del algoritmo, más fuerte será el cifrado. La desventaja aquí es que influiría en el rendimiento del cliente.
Aunque es un algoritmo relativamente lento, RSA se usa ampliamente para la transmisión segura de datos. El algoritmo en sí es de gran utilidad para el cifrado de mensajes y las firmas digitales, ya que garantiza la autenticidad del mensaje. Los navegadores web, las VPN y otras herramientas utilizan el algoritmo RSA para crear un canal seguro.
ECC es el enfoque de próxima generación que requiere claves más pequeñas para proporcionar el mismo nivel de seguridad, en comparación con otros métodos de criptografía no EC. Es un tipo poderoso de criptografía que garantiza el más alto nivel de seguridad, manteniendo el rendimiento intacto, debido a sus teclas cortas y rápidas.
Este algoritmo es aplicable para la gestión de claves, cifrado, firmas digitales y generadores pseudoaleatorios, entre otros. Bitcoin también usa el ECC para demostrar la propiedad. El algoritmo también proporciona firmas en el servicio iMessage de Apple. Los gobiernos e instituciones utilizan ECC para garantizar el anonimato y asegurar las comunicaciones internas. En general, es un gran problema.
¿Cómo surgió SSL?
Históricamente, la primera versión del protocolo SSL SSL 1.0 nunca se lanzó debido a numerosas deficiencias de seguridad. La siguiente integración SSL 2.0 apareció en 1995. Aunque mejoró, también tenía varias fallas de seguridad en el protocolo. Fue ampliamente utilizado hasta que finalmente fue desaprobado en 2011.
La próxima versión llegó un año después, en 1996. Fue un rediseño completo del protocolo. SSL 3.0 fue encontrado vulnerable en 2014 y quedó obsoleto en 2015, lo que marcó efectivamente el final de la generación de SSL.
¿Sorprendido? Sé que estaba cuando sucedió.
El protocolo criptográfico de próxima generación se llama TLS (seguridad de la capa de transporte). Su nueva versión TLS 1.3 se lanzó en 2018 y ofrece mejoras significativas en términos de seguridad y rendimiento.
¿Qué es el certificado SSL?
Después del algoritmo matemático en el núcleo del protocolo SSL, veamos desde una perspectiva más práctica. Cuando utilizamos la red pública, debemos asegurarnos de que los datos que intercambiamos se transmitan de forma segura.
El certificado SSL es un fragmento de código, un archivo digital generado por autoridades específicas emisoras de SSL. El certificado en sí tiene dos funciones distintas: autenticar y verificar que la identidad de una persona o una empresa es de hecho lo que dice ser; y para garantizar que los datos estén encriptados y, por lo tanto, seguros mientras se transmiten a través de la red pública.
Las autoridades de certificación SSL (CA) de confianza siguen reglas estrictas al emitir un certificado. Algunas de las AC más populares y confiables según una encuesta de W3Techs de mayo de 2018 son: Identrust, Cpanel, Comodo, DigiCert, GoDaddy, GlobalSign, Let’s Encrypt.
Cuando compra un certificado SSL de una autoridad confiable, en realidad obtiene una cadena completa de certificados. La seguridad mejorada que recibe es cortesía de varias capas diferentes de certificados, todos integrados en un solo producto.
Cada certificado tiene una Solicitud de firma de certificado (CSR). Es generado por el proveedor de alojamiento web y contiene información encriptada sobre el nombre del propietario u organización, nombre de dominio, país, dirección, correo electrónico, etc. El CSR también contiene la clave pública del sitio web, mientras que la clave privada se genera en el momento de la solicitud de CSR.
La autoridad de certificación de confianza utilizará la CSR para emitir su certificado.
Estructura del certificado SSL
Los certificados raíz están en la parte superior de la cadena. Son emitidos por la CA y están integrados en los navegadores web. Los certificados intermedios son emitidos por el certificado raíz CA. Emiten el certificado de usuario final o el certificado del servidor que se instala en su servidor de alojamiento.
Para obtener el máximo nivel de seguridad, que proporciona esta cadena de certificados, debe instalar correctamente los certificados intermedios y SSL en su servidor web.
Hay una variedad de tipos de certificados disponibles en el mercado. Los más utilizados hoy en día son Validación de dominio (DV SSL), Validación de organización (OV SSL) y Validación extendida (EV SSL).
DV SSL es un nivel básico de certificado. Solo puede confirmar que usted es el propietario del nombre de dominio que desea proteger con un SSL. Solo lo obtienes si puedes proporcionar una prueba de propiedad, por supuesto.
OV SSL requiere no solo prueba de propiedad de su nombre de dominio, sino también alguna verificación para confirmar la existencia de su negocio y su autoridad para solicitar un certificado.
EV SSL es el estándar más alto en la industria SSL. Las AC siguen un procedimiento de verificación estrictamente definido antes de emitir uno. Deben verificar que usted tenga exclusividad sobre el derecho de usar su nombre de dominio, luego realizar una auditoría de su entidad y confirmar la validez de su negocio.
Para garantizar el más alto nivel de seguridad, la mayoría de los navegadores web ampliamente utilizados utilizan los últimos certificados EV. Dependiendo del navegador, descubrirá que un sitio web utiliza el certificado de seguridad mejorado mediante la barra de direcciones que se vuelve verde y muestra el nombre del titular y la CA emisora.
Tenga en cuenta que todos los certificados SSL proporcionan exactamente el mismo nivel de protección que los certificados OV y EV también sirven como prueba de identidad.
Independientemente de su tipo, todos los certificados SSL tienen una fecha de vencimiento.
¿Qué es un certificado no válido?
Puede alarmarse acerca de la validez del certificado SSL de su sitio web de muchas maneras: una ventana emergente de advertencia de seguridad en la barra de direcciones o un mensaje de error específico al explorar el nombre de dominio. Hay bastantes posibles razones para eso. Entonces, ¿qué haces en caso de alerta? Echa un vistazo a los siguientes casos:
El certificado SSL ha caducado.
Haga clic en el icono del candado en la barra de direcciones y encuentre la información que se refiere a la fecha de vencimiento. En caso de que haya expirado, debe renovar con el proveedor actual o considerar otro.
El certificado SSL se emitió para el nombre de dominio incorrecto.
Tenga mucho cuidado al pedir certificados SSL.
Siempre que solicite un certificado SSL, asegúrese de especificar el nombre de dominio para el que necesita el certificado. Los errores ortográficos darían como resultado una protección criptográfica para el nombre de dominio incorrecto.
Siempre es mejor indicar que el certificado debe generarse para «www.nombredominio» en lugar de simplemente «nombredominio». Muchos proveedores, como Comodo SSL, asegurarán ambos con un solo certificado, pero no todas las autoridades emisoras lo hacen.
En caso de que obtenga un certificado para “yourdomainname” pero quiera ejecutarlo en “www.yourdomainname”, existen algunas soluciones. Redireccionar su sitio web utilizando un archivo .htaccess. Para esto, deberá solicitar ayuda a su desarrollador web para que los visitantes que naveguen por su sitio web con y sin el prefijo «www» establezcan una conexión segura a su sitio web.
Puede haber problemas con la cadena de certificados.
El certificado intermedio no se instaló correctamente en el servidor web o ha expirado. En tales casos, es mejor consultar a su proveedor de alojamiento web para verificar que la instalación se haya realizado correctamente.
A menudo, los servidores web tienen especialistas SSL dedicados, que no forman parte del equipo de soporte técnico. Es por eso que estos controles suelen tardar un poco más de lo previsto.
El certificado fue revocado por la CA.
Descubrir que la autoridad emisora ha puesto su certificado en su lista de revocación de certificados (CRA) antes de la fecha de vencimiento real es una experiencia bastante desagradable. Puede haber varias razones para hacerlo: certificado emitido incorrectamente, clave privada comprometida, incumplimiento de los requisitos de la política, etc.
La revocación de su certificado eliminará la conexión segura a su sitio web. Mostrará algún mensaje de error o quedará inaccesible. El proceso de revocación es irreversible.
Cómo funciona SSL y cómo crea una conexión segura
Cuando se utiliza el protocolo SSL, el servidor web necesita un certificado SSL para establecer una conexión SSL. En otras palabras, cuando visita un sitio web utilizando una conexión segura, su navegador inicia un protocolo de enlace SSL con el servidor de alojamiento.
Durante este proceso, el cliente (navegador) solicita información sobre el certificado del sitio web del servidor. En el caso de un certificado válido, verá el conocido ícono del candado verde en la barra de direcciones. Venezuela Hosting también tiene uno.
Esto significa que se ha establecido con éxito una conexión segura.
Por qué necesita SSL / HTTPS
El uso de SSL hoy es una necesidad genuina. Una conexión SSL garantiza que los datos transmitidos sean auténticos, integrales y seguros contra intercepciones.
Al utilizar esta tecnología de cifrado, hace más que solo proteger los datos confidenciales de sus clientes. Alienta a tus visitantes a que confíen en ti con esa información. (Lo que necesitan darle para comprarle o suscribirse a los servicios).
Según las estadísticas de SSL Pulse, más del 67% de los sitios web son seguros en mayo de 2019.
Una cosa importante para recordar es que el SSL HTTPS también figura como un factor de clasificación. Tiene un pequeño impacto en términos de llevar su página web a la cima, pero cada poquito cuenta.
Además, Google Chrome marca los sitios web que utilizan HTTP como inseguros al mostrar un mensaje en la barra de direcciones. Ahora no se trata solo de SEO, también se trata de tu reputación como un negocio serio.
¿Cuáles son los ataques más comunes de los que SSL puede salvarlo?
Si bien el cifrado SSL / TLS se está convirtiendo en el estándar de facto para garantizar una conexión segura a través de Internet, las prácticas maliciosas también prosperan.
Su objetivo son los datos confidenciales, la comunicación confidencial, la reputación de uno, la competencia desleal, la propiedad intelectual, etc. Según las estadísticas, se espera que el costo promedio de las violaciones de datos supere los $ 150 millones para 2020.
Los ataques contra SSL podrían estar relacionados con la intercepción, las escuchas, el malware y otros.
El ataque Man in the Middle (MITM) es uno de los ciberataques más comunes en la actualidad. Al buscar puntos débiles en la red u obtener acceso a claves SSL, los atacantes pueden monitorear y escuchar la comunicación entre dos partes.
Un ciberataque más sofisticado es la amenaza persistente avanzada (APT). Utiliza malware para robar claves y certificados SSL.
Para evitar tales ataques, asegúrese de qué sistemas usan SSL, instale nuevas claves y certificados, valídelos, revoque todos los certificados afectados y vulnerables en la cadena de certificados.
La caducidad de su certificado también representará una amenaza de explotación de sus datos, así que asegúrese de renovarlo a tiempo. No solo mantendrá la confianza de sus clientes, sino que también mantendrá a raya los intentos maliciosos.
¿Cómo obtener un SSL para su sitio web?
Puede obtener un certificado SSL gratuito o de pago de una autoridad certificadora o puede generar el suyo propio. Dependiendo del tipo de entorno de alojamiento, ya sea que aloje su sitio web en un servidor de alojamiento VPS compartido, dedicado o use su propio servidor, el proceso de instalación varía.
Su proveedor de alojamiento web debe darle instrucciones exhaustivas y lo ayudará durante el proceso. Algunos de ellos incluso han automatizado el proceso, por lo que puede hacerlo con solo unos pocos clics.
Si está alojando su dominio usted mismo, la forma de hacerlo es comprar el certificado de una autoridad confiable e instalarlo usted mismo. La instalación de un certificado SSL en un servidor web requiere que primero descargue los archivos del certificado localmente y configure su servidor para usarlo.
Incluso encontrará herramientas de diagnóstico de instalación SSL disponibles en línea, que lo ayudarán a verificar que el proceso de instalación fue exitoso.
Para verificar que una conexión a un sitio web es segura, debe buscar un icono (un candado) en la barra de direcciones. Dependiendo del tipo de certificado que utilice, el nombre de la CA también se mostrará en verde en la barra de direcciones.
Además, el protocolo de transferencia de datos también es un indicador clave: si lee «https», significa que la conexión es segura. La mayoría de los proveedores le ofrecerán un sello de confianza (Comodo SSL), un sello visual que identifica la CA que puede mostrar en algún lugar de su página web. Habla por la conciencia de seguridad y genera confianza.
¿Cuánto cuesta SSL?
El costo de su certificado SSL depende de muchos factores. Las principales diferencias provienen de lo siguiente:
El tipo de verificación que busca (dominio, organización, extendido)
Las características que le gustaría obtener (un candado verde, un sello de confianza, visualización de la CA en la barra de direcciones, soporte 24/7)
El número de sitios web y sub- dominios que le gustaría asegurar con un certificado
El costo de un certificado SSL estándar para un solo nombre de dominio puede variar mucho. Dichas ofertas comienzan en alrededor de $ 15 HostingSSI, Comodo SSL) a $ 28 Venezuela Hosting por año. Por lo general, pagará menos si decide pagar durante varios años o si recibe un paquete de algún tipo. Las autoridades de certificación más populares tienen ofertas realmente interesantes que son adecuadas para sitios de todos los tamaños y presupuestos.
Sin embargo estas empresas tambien ofrecen certificados SSL de manera gratuita con el servicio de hosting, para todos sus dominios.
También existe la opción gratuita, donde obtienes el llamado certificado «autofirmado». Le proporciona el mismo cifrado que obtendría con uno pagado. La desventaja es que, dado que no es reconocido por una CA, los navegadores no confiarán en su página y aparecerán alertas de seguridad, lo que dificultará la creación de ese vínculo especial con los visitantes de su sitio web. Posiblemente la mejor opción para aquellos que desean cifrar y nada más es Encriptemos.
¿Cuál es la diferencia entre SSL y TLS (SSL vs TLS)?
Básicamente, Secure Socket Layer (SSL) es el predecesor de Transport Layer Security (TLS). TLS aborda las vulnerabilidades actuales y proporciona un cifrado más seguro. Es mejor pensar en TLS como una mejora del protocolo criptográfico SSL en lugar de tratar de descubrir las ventajas y desventajas de SSL frente a TLS y cuál es mejor.
Cosas que hacer antes de comprar un SSL
Haga su tarea: infórmese, investigue el mercado y tome una decisión informada. Puede comparar diferentes ofertas utilizando los siguientes criterios:
- Verifique el tipo de cifrado ofrecido
- Verifique que su SSL sea compatible en diferentes navegadores; Otra razón para que elija un certificado de una autoridad confiable como Symantec, GeoTrust, Thawte, RapidSSL, Globalsign, Comodo es que el 99% + de los navegadores de escritorio y móviles son compatibles
- Qué tan rápido se emitirá el certificado
- Herramienta de gestión de SSL gratuita
- Soporte 24/7
- Opción de volver a emitir el certificado gratis
- Garantía de reembolso
- Disponibilidad de sello de confianza
Bien, ahora sabes qué es SSL y por qué lo necesitas. Vender ciertos tipos de datos robados (como los detalles de la tarjeta de crédito del cliente) puede ser extremadamente rentable en estos días. Sus clientes lo saben y no le darán sus datos a menos que pueda probar que puede protegerlos.
Eso es lo que un certificado SSL decente hace por ti. Muy raramente puedes comprar confianza, pero un certificado SSL se acerca.
Si posee un sitio web (y especialmente si está haciendo negocios en él), busque un proveedor legítimo y obtenga un certificado. Es una de las victorias más fáciles para su negocio.
Eso fue todo por hoy! ¡Hasta la próxima!