Certificados SSL: definición y funcionamiento
Un certificado SSL es un archivo digital que confirma la identidad de un servidor o dominio y permite una conexión cifrada entre el servidor y el navegador. Protege datos confidenciales como contraseñas del acceso de terceros. Las páginas web con certificado SSL se reconocen por el “https” en la URL y un icono de un candado en el navegador.
Evita aparecer en la barra del navegador como "página no segura" y consigue la confianza de tus clientes con una página web con encriptación SSL.
¿Qué es un certificado SSL?
Los certificados SSL actuales, en realidad, usan TLS (Transport Layer Security), sucesor de SSL. En la práctica, sin embargo, todavía se habla de certificados SSL cuando se trata de asegurar páginas web y servidores con la técnica de cifrado. El certificado en sí es un archivo de datos que incluye numerosos detalles, como el nombre de la entidad emisora, el número de serie y la huella digital del certificado. Los certificados existen en varios formatos de archivo. Deben ser instalados en el servidor para su uso.
Para obtener un certificado, los gestores de páginas web deben dirigirse a una autoridad de certificación. Estas organizaciones están autorizadas para emitir certificados SSL, pero en la mayoría de los casos exigen unas tasas por ofrecer sus servicios. ¿Puede un administrador crear su propia organización? No, los proveedores de navegadores como Microsoft, Mozilla o Google también tienen que aceptar los certificados, pues de lo contrario el certificado en cuestión no tendría la menor utilidad.
¿Qué validez tiene un certificado SSL?
Un certificado aceptado por un navegador no es válido para siempre, sino que todo certificado SSL tiene una fecha de caducidad de entre 1 y 13 meses. Hasta 2029, los certificados SSL serán válidos un máximo de 47 días. Cuando esto ocurra, los operadores de páginas web deberán renovar sus certificados SSL, de lo contrario, las páginas correspondientes ya no serán consideradas especialmente seguras. Aunque la renovación regular de certificados puede ser tanto laboriosa como costosa, sigue siendo necesaria. Solo si las autoridades de certificación verifican regularmente la integridad, identidad y los mecanismos de cifrado utilizados, se puede garantizar la seguridad de los usuarios.
En un certificado SSL no solo está registrado hasta cuándo es válido, sino también a partir de cuándo.
Certificado SSL: ¿cómo funciona el cifrado?
Hay varias posibilidades a la hora de cifrar transferencias de datos. Normalmente se necesita una clave para el cifrado, que también servirá para que el mensaje vuelva a ser legible. Este método no resulta muy práctico en Internet, donde los usuarios se ponen en contacto con personas u organizaciones con las que nunca antes han tenido comunicación más allá de Internet. Por ello, no existe posibilidad alguna de entregar una clave sin enviarla primero sin cifrar a través del medio público disponible, de ahí que los certificados SSL utilicen un procedimiento de cifrado diferente.
En una infraestructura de clave pública (PKI) no se crea una sola clave, sino dos: una completamente pública y una privada. Los mensajes se cifran con la clave pública (public key) y solo pueden descifrarse con la clave privada (private key). La clave pública es aquella que recibe el navegador a través del certificado y la que utiliza para el cifrado. A la hora de codificar los datos hay diferentes métodos y, para ello, el servidor web entrega al navegador la información que necesita por medio del certificado.
Uno de los métodos más utilizados actualmente para la codificación es, por ejemplo, AES (Advanced Encryption Standard) con la función hash criptográfica SHA256. Estos estándares, sin embargo, cambian regularmente. Un método que hasta el año pasado resultaba infalible puede que mañana sea descifrado y ya no se considere seguro.
¿Qué tipos de certificados SSL existen?
Existen varios tipos de certificados SSL. Aunque hay diversos expedidores que utilizan diferentes mecanismos de verificación, estos factores no son los criterios decisivos. Los certificados SSL se diferencian más bien por el grado de exhaustividad de la revisión del solicitante y por la amplitud del alcance de los certificados. Mientras que los certificados SSL de la categoría validación de dominio pueden obtenerse gratis, los particulares y las empresas de menor envergadura rara vez pueden hacer frente a los costes de una validación ampliada.
Validación de dominio (DV)
La validación de dominio (domain validation en inglés) constituye el tipo más sencillo de certificado SSL. La validación de las personas encargadas de la página web se realiza de forma superficial. A menudo, la entidad emisora envía un correo electrónico a la dirección indicada en el sistema WHOIS. Al solicitante se le pide, por ejemplo, que modifique una entrada DNS o que suba un archivo determinado al servidor para señalizar el control del dominio.
Validación de organización (OV)
Los certificados SSL OV están un nivel por encima de los anteriores en lo que a seguridad se refiere. En el marco de la validación, la autoridad de certificación solicita documentación de los propietarios de las páginas web, normalmente una vez se haya completado automáticamente la validación de dominio. El tipo de documentos necesarios depende de la organización que concede los certificados (a menudo se trata de un extracto del Registro Mercantil).
Algunas entidades emisoras también contactan por teléfono con los administradores. Los certificados SSL OV ofrecen más seguridad a los usuarios, ya que se supervisa más de cerca a los responsables de las páginas web, y además tienen la ventaja de que hacen que dicha información sea más visible al usuario en el propio certificado.
Validación extendida (EV)
Los certificados SSL ofrecidos bajo la etiqueta de “extended validation” (validación ampliada) conforman el nivel de seguridad más elevado. En este tipo de certificados se verifican el dominio y la organización asociada, así como la persona que solicita el certificado. Asimismo, también se controla si dicho solicitante trabaja realmente para la organización o empresa especificadas y si está autorizado para solicitar el certificado.
Por otro lado, la entidad emisora debe estar capacitado para realizar esta validación más exhaustiva. Dicha autorización se obtiene superando un control en el CA/Browser Forum, una asociación voluntaria de autoridades de certificación y de fabricantes de navegadores.
- Plantillas profesionales
- Modificación del diseño con un solo clic
- Dominio, SSL y correo electrónico
Costes: SSL gratuito vs. SSL de pago
Un factor a tener en cuenta en la categorización y selección de un certificado SSL es el coste asociado a su compra. Tomando como base los tres tipos de certificados anteriormente nombrados, se puede afirmar grosso modo que cuanto más exhaustiva sea la validación, más alto será el precio del certificado final. Sin embargo, en 2015 surgió Let’s Encrypt, una autoridad de certificación que emite certificados de forma gratuita.
Diferencias entre los certificados gratuitos y los de pago
Si lo que se pretende es proteger la página web para que se acceda a ella con HTTPS en vez de con HTTP, se puede recurrir tanto a un certificado gratuito como a uno de pago. Los dos implementan el protocolo de transmisión TLS (SSL está obsoleto) y, por lo tanto, garantizan la transferencia de datos segura para los clientes y los servidores.
No obstante, existen puntos que diferencian de manera determinante a los certificados gratuitos de los de pago:
- Grado de validación: en la emisión de un certificado, la verificación del operador de la página web no es muy extensa. La validación de dominio es, en este caso, el nivel de control habitual. Los certificados con un nivel de seguridad mayor están sujetos a pago.
- Pertenencia a dominio: un certificado SSL gratuito se puede generar a menudo sin esfuerzo técnico adicional solo para un único dominio, al cual luego está vinculado. Las soluciones SSL/TLS de pago generan certificados que se puedan usar para diferentes páginas web.
Las ventajas del SSL de pago
El SSL de pago ofrece varias ventajas, si bien las diferencias principales con respecto a los certificados gratuitos ya se han mencionado: los certificados pagados se pueden usar para múltiples dominios sin mucho esfuerzo según el proveedor y el paquete. Además de ofrecer una flexibilidad mayor, también requieren menos esfuerzo. En caso de que surja algún problema, las entidades de certificación suelen ofrecer soporte individual, una ventaja a la que los usuarios de certificados gratuitos tienen que renunciar.
¿Qué modelo es el más apropiado?
El certificado SSL de pago con la etiqueta EV constituye, sin duda, la solución de cifrado óptima para el proyecto web. No obstante, solo las empresas de mayor tamaño pueden permitirse este tipo de certificación. Los certificados a un precio más asequible son adecuados para los proyectos web en el sector pyme, siempre y cuando no se tengan que transmitir datos sensibles como, por ejemplo, datos bancarios. Para proyectos más pequeños en los que la transmisión de datos personales no desempeñe ninguna función determinante, los certificados SSL gratuitos presentan una buena alternativa a las ofertas de pago. En cualquier caso, al elegir tu certificado SSL, debes prestar atención a los siguientes puntos:
- Alcance: presta atención al alcance del certificado SSL, es decir, si abarca también subdominios, por ejemplo.
- Dominio único (single name): un certificado normal solo es válido para un único dominio. Esto significa que
www.example.comy todas las subpáginas asociadas están protegidas por el certificado SSL, pero no los subdominios. - Wildcard: estos certificados se llaman así porque trabajan con una “wildcard” (comodín en español). En lugar de comprender, por ejemplo, únicamente
www.example.com, estos certificados SSL también son válidos para todos los subdominios. - Multidominio: los certificados multidominio (también llamados certificados SAN) van más allá del alcance de los certificados single name o wildcard. Así, muchas entidades emisoras ofrecen certificados a sus clientes que abarcan hasta 100 dominios.
¿Cómo se identifica un certificado SSL?
Si se utiliza un navegador actual, es muy fácil averiguar si está visitándose una página web protegida con SSL/TLS tan solo echando un vistazo a la barra de direcciones. Esta cuenta con dos elementos que indican si está o no cifrada:
- El símbolo del candado
- La dirección comienza con
https://en lugar del habitualhttp://
Esta “s” adicional proviene de “secure” e indica a los usuarios que se ha añadido un nivel de cifrado SSL/TLS al protocolo de transferencia de hipertexto (HTTP). En la pila de protocolos TCP/IP también se añade una capa de cifrado adicional, es decir, entre TCP y HTTP.
El símbolo del candado es una señal clara del navegador que indica que la página web visitada tiene un certificado válido. Asimismo, aunque muchos usuarios no lo saben, se trata de un botón que ofrece información adicional sobre la seguridad de la página web. Al pulsar en él se abre una ventana emergente con datos sobre el emisor del certificado, sobre el cifrado utilizado y sobre su validez.
Si la página visitada no tiene un certificado SSL válido, no se verá ni un candado ni https:// en la línea de direcciones. Algunos navegadores avisan cuando los usuarios intentan transmitir en este tipo de páginas contraseñas u otros datos sensibles advirtiendo de que puede que los datos sean interceptados por desconocidos.
El simple hecho de que una página web no tenga un certificado SSL no quiere decir que sea una página fraudulenta. No obstante, el riesgo de que los delincuentes roben datos personales importantes es mayor en estas páginas que en las que cuentan con un certificado SSL. Por ello, HTTPS resulta prácticamente indispensable en la transmisión de datos sensibles.