Seguridad en Internet con los certificados SSL y HTTPS

Índice

Si deseas crear una página web segura, SSL/TLS y HTTPS son elementos imprescindibles. Pero, ¿qué significan exactamente estas siglas? ¿Y cómo puedes activar los protocolos de seguridad para migrar una página web existente a HTTPS?

Protégete y compra un certificado SSL

Evita aparecer en la barra del navegador como "página no segura" y consigue la confianza de tus clientes con una página web con encriptación SSL.

¿Qué es SSL/TLS?

El término SSL (abreviatura de “Secure Sockets Layer”) se refiere a una técnica utilizada para el cifrado y la autenticación del tráfico de datos en la red. En las páginas web, asegura la transmisión entre el navegador y el servidor web. Especialmente en el comercio electrónico, donde se transfieren datos confidenciales y sensibles, es imprescindible el uso de un certificado SSL o su evolución, TLS (Transport Layer Security).

Estos son algunos de los datos sensibles que suelen protegerse mediante un cifrado SSL/TLS:

Datos de registro: nombre, dirección, correo electrónico, número de teléfono
Datos de acceso: dirección de correo electrónico y contraseña
Información de pago: número de tarjeta de crédito, cuentas bancarias
Formularios de contacto o de envío de datos
Documentos subidos por clientes

Con SSL/TLS te aseguras de que la comunicación no pueda leerse ni manipularse, y de que los datos personales no caigan en las manos equivocadas.

Nota

Hoy se recomienda hablar de TLS. Aun así, se usa “SSL” de forma coloquial para referirse a TLS.

¿Qué es HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) es el protocolo para la transferencia segura de datos entre el navegador y el servidor web. HTTP se refiere a la variante no segura, en la que, teóricamente, todos los datos transmitidos pueden ser leídos o modificados por atacantes. Como usuario, no puedes estar seguro de si los datos de tarjeta de crédito se están transmitiendo realmente a la tienda cuando se utiliza la versión original del protocolo.

HTTPS garantiza la seguridad cifrando los datos y autenticando el servidor mediante un certificado. Esto funciona a través de un certificado SSL.

¿Qué ventajas ofrece SSL/TLS o HTTPS?

Protección de datos y seguridad para clientes y socios
Reducción del riesgo de robo o uso indebido de datos
El cifrado HTTPS es un factor de posicionamiento de Google y un requisito estándar en proyectos con buen rendimiento SEO
Permite usar HTTP/3 para mejorar el rendimiento
Los usuarios reconocen fácilmente el certificado en el navegador, lo que genera confianza

SSL/TLS gratuito vs. de pago

Si deseas cambiar tu página web a SSL/TLS, necesitas un certificado SSL/TLS. Soluciones como Let’s Encrypt te ofrecen alternativas gratuitas y fáciles de instalar a los clásicos certificados de pago. Si vas a migrar a HTTPS o diseñar una página web segura, debes decidir entre certificados gratuitos o de pago. La principal crítica hacia los certificados gratuitos es que cada vez más ciberdelincuentes los usan para hacer que páginas de phishing parezcan más confiables: a los visitantes se les sugiere una página web segura, que lo es solo en apariencia.

Nota

A principios de marzo de 2020, Let’s Encrypt tuvo que retirar más de tres millones de certificados SSL/TLS activos. La causa de la desactivación fue un error en el software de código abierto Boulder utilizado por Let’s Encrypt al verificar los registros CAA (Certification Authority Authorization). Teóricamente, esto permitía crear certificados para dominios ajenos. La única solución para los afectados: debían generar un nuevo certificado en 24 horas para restablecer el cifrado del propio proyecto.

En principio, los certificados SSL/TLS gratuitos y de pago se distinguen particularmente en los siguientes puntos:

Validez: la diferencia más significativa entre SSL/TLS gratuito y de pago es la duración de validez de los certificados. Mientras que la mayoría de los certificados de pago son válidos entre 12 y 24 meses, los certificados gratuitos caducan después de solo 90 días. Si optas por SSL/TLS gratuito, deberás reemplazar tu certificado con mucha más frecuencia, aunque muchos proveedores ofrecen una renovación automática.
Administración: con un proveedor de pago sueles disponer de herramientas de gestión y soporte. Si no contratas servicios adicionales de pago, este servicio no está disponible con un certificado SSL/TLS gratuito, por lo que tendrás que encargarte tú mismo de la administración.
Pertenencia del dominio: los certificados gratuitos suelen cubrir un dominio o determinados subdominios, mientras que los de pago ofrecen opciones multidominio y wildcard más flexibles. Quien opta por SSL/TLS de pago se beneficia de certificados válidos para varios dominios, que pueden utilizarse sin problemas en múltiples proyectos web.

Cómo migrar tu página web a HTTPS/SSL

Si deseas crear una página web segura, puedes utilizar el cifrado SSL desde el principio. Sin embargo, para las páginas ya existentes, cambiar a HTTPS no requiere un esfuerzo elevado.

Paso 1: adquirir un certificado SSL

El certificado SSL es una especie de prueba de identidad de una página web. La CA verifica la titularidad del dominio y, según el tipo de certificado, datos de la organización. Los certificados SSL se almacenan en el servidor y se consultan cada vez que un visitante accede a una página web configurada con HTTPS. Existen diferentes tipos de certificados, que se distinguen en cuanto al alcance de la identificación:

Certificados con validación de dominio (DV) - gratuitos y de pago: en estos certificados con el nivel de autenticación más bajo, la autoridad certificadora solo verifica si los solicitantes poseen el dominio correspondiente y no acredita la identidad de la organización.

Los certificados con validación de dominio son adecuados para páginas sin tratamiento de datos sensibles o con bajo riesgo de suplantación.

Certificados con validación de organización (OV) - de pago: este tipo de validación es más exhaustivo y, por tanto, más seguro que la validación de dominio. Además de comprobar la titularidad del dominio, la CA verifica información relevante de la empresa. Los datos verificados son visibles para los visitantes de la página web, lo que refuerza la confianza en ella. Debido al proceso de verificación más complejo, este tipo de certificado SSL es más caro que el certificado con validación de dominio, pero ofrece un mayor nivel de seguridad.

Este certificado es adecuado para páginas con interacción de usuarios y datos de cliente, cuando se desea mostrar datos verificados de la organización.

Certificados con Validación Extendida (EV) – de pago: este es el certificado con el nivel más alto y completo de autenticación. En comparación con el certificado de validación del titular, se verifica la información de la empresa con mayor detalle. Además, este certificado solo lo otorgan CA autorizadas. La verificación exhaustiva otorga el mayor nivel de seguridad y, por tanto, refuerza la confianza y credibilidad en la página web. Al mismo tiempo, el certificado con Validación Extendida implica los costes más altos.

Este certificado es adecuado para páginas web que gestionan pagos y datos altamente sensibles, o cuando se buscan máximas garantías de identidad.

Gráfico sobre los distintos certificados SSL/TLS. Copyright: Symantec Corporation. Fuente: https://www.ionos.de/digitalguide/fileadmin/DigitalGuide/Downloads/ssl-certificates.pdf

Paso 2: instalar y configurar el certificado

El siguiente paso es la instalación del certificado SSL en el servidor. En muchos paquetes, el certificado ya está incluido. La instalación varía según el proveedor. Sin embargo, los proveedores o los emisores del certificado generalmente proporcionan las instrucciones y guías de instalación pertinentes. En una implementación técnica correcta, los siguientes puntos son clave:

certificados correctos
suites de cifrado seguras
configuración adecuada del servidor

Paso 3: cómo evitar y solucionar errores comunes

Al cambiar a HTTPS, pueden surgir algunos errores que debes evitar para no enfrentarte a una pérdida de posicionamiento o a la inaccesibilidad de tu página web. Si quieres migrar tu página web a HTTPS, sigue las siguientes recomendaciones:

Evita los certificados caducados: un certificado SSL inválido o caducado genera un mensaje de advertencia poco atractivo en la ventana del navegador, lo que frustra totalmente el objetivo de transmitir confianza y seguridad al usuario.
Configura correctamente las redirecciones: para evitar contenido duplicado, deberías configurar la redirección correcta a través de una redirección 301. De esta manera, evitas que el buscador valore la página HTTP y la página HTTPS como dos proyectos web distintos y espere contenidos diferentes.
Ajusta las cuentas de publicidad: si integras en una página HTTPS contenidos no cifrados (imágenes, scripts, etc.), se mostrará un aviso molesto al cargar la página. Esto es especialmente problemático en la publicación de anuncios, ya que la publicidad aún se entrega en su mayoría sin cifrar, por lo que es imprescindible que las correspondientes cuentas de publicidad sean ajustadas.
Actualiza Google Search Console y herramientas de análisis: teóricamente, la variante HTTP y la variante HTTPS se consideran dos páginas web diferentes. Después del cambio, debes registrar la variante HTTPS también en la Google Search Console.
Actualiza el XML-Sitemap: también debes actualizar el sitemap y registrarlo en la Search Console.
Revisa los enlaces externos e internos: aunque las redirecciones 301 evitan enlaces incorrectos, después de cambiar a HTTPS, todos los enlaces internos deben ser modificados. Dependiendo de cómo se gestionaron los contenidos en el CMS, esto puede requerir también medidas manuales. Conviene solicitar la actualización de los enlaces externos esenciales (p. ej., de organismos públicos) a la URL con HTTPS.

Domain Name Registration

Proyecta tu marca con un gran dominio

Gratis SSL Wildcard para transferencias de datos más seguras
Gratis registro privado para más privacidad

Descarga tu lista de control gratuita

A continuación, puedes descargar una lista de control más corta u otra más detallada donde se enumeran y explican los aspectos más importantes al migrar a HTTPS una página web.

Paso 4: comprobar la vigencia del certificado

Para que tu cifrado HTTPS se mantenga activo de manera permanente, el certificado SSL/TLS no debe caducar. Por lo tanto, revisa regularmente la duración de su validez y, si es posible, configura una renovación automática.

Monitorización: ten en cuenta la fecha de vencimiento. Muchos proveedores de hosting ofrecen funciones de recordatorio o herramientas de monitorización para ello.
Renovación automática con ACME: con el protocolo ACME (Entorno de Gestión Automática de Certificados), los certificados (por ejemplo, de Let’s Encrypt) se pueden renovar automáticamente. Así evitas fallos y mensajes de advertencia en el navegador.
Aprovechar la integración del proveedor: en muchos paquetes de alojamiento web, la renovación automática del certificado ya está activada de forma predeterminada. Revisa esta configuración en la cuenta de cliente correspondiente.

¿Cómo se puede verificar si una página tiene un certificado válido?

Cuando se accede a una página web cifrada con un certificado válido, esto puede reconocerse en la propia URL:

https://www.ejemplo.com

El “s” en la parte del protocolo de la URL significa “secure” y muestra que esta página está cifrada con un certificado SSL/TLS. Dependiendo del tipo de certificado y del navegador, hay otros indicadores visuales de un cifrado seguro.

Cómo identificar el estándar de seguridad SSL/TLS en los navegadores Chrome, Firefox, Opera y Microsoft Edge.

Mayor confianza con páginas web empresariales seguras

Además de las ventajas mencionadas de un cifrado SSL/TLS, la mayor confianza de los usuarios en la página web de la empresa y, por lo tanto, en la propia empresa es un argumento esencial para crear una página web segura. Para terminar, podemos añadir tres recomendaciones de acción concretas para cumplir con las crecientes expectativas de los usuarios en cuanto a la seguridad de la página web.

Integra sellos de confianza en la página web: los sellos de confianza son un indicador de la fiabilidad de una página web. Los diversos sellos garantizan, por ejemplo, la seguridad de los datos, las transacciones seguras o confirman que la página web está libre de malware.
Incluye un certificado SSL con un alto nivel de seguridad: los certificados con un alto nivel de seguridad ofrecen directamente en la barra del navegador un indicador visual del cifrado seguro y así aumentan la confianza de los usuarios.
“Always on SSL”: el certificado SSL debe estar integrado en todas las subpáginas del dominio, no solo en la página de inicio de sesión o en el carrito de la compra. De este modo, los usuarios disfrutan de una protección óptima durante toda su visita.

Artículos Favoritos

Compraventa de dominios: cómo ganar dinero con las direcciones web

La compraventa de dominios puede convertirse en una actividad lucrativa, siempre que se…

Comparamos 5 alternativas a Nextcloud

¿Buscas alternativas a Nextcloud y quieres saber si están a su nivel? Te ofrecemos un…

Los mejores proveedores de copias de seguridad en la nube

¡Asegura tus datos de manera fiable en la nube! Tus datos estarán en buenas manos con…

Cómo actualizar Debian 13 paso a paso

Aprende cómo actualizar Debian 13 de forma segura y sin errores, desde la preparación del…

Alternativas a InDesign de Adobe gratuitas

¿Te sale muy caro usar InDesign para la maquetación y el diseño editorial? Descubre las…

Artículos similares

iunewindShutterstock

ERR_SSL_PROTOCOL_ERROR: cómo corregir este error en Google Chrome

Chrome es el navegador de Internet más utilizado del mundo. No solo convence por su seguridad y velocidad, sino también por sus numerosas funciones, como la sincronización entre dispositivos de los datos de los usuarios. Pero incluso cuando se navega con el arma milagrosa de…

SSL
Google
Cifrado

agsandrewshutterstock

HPKP: todo sobre la extensión HTTP Public Key Pinning

Los certificados SSL/TLS desempeñan un papel cada vez más importante en la transmisión de datos sensibles. Estos garantizan que los paquetes de datos no se desvíen y lleguen al destinatario deseado. Los problemas solo surgen cuando los usuarios de Internet son redireccionados…

Seguridad

wk1003mikeShutterstock

Renovar certificado SSL: cómo cumplir con los requisitos de Chrome y Mozilla

Con motivo de las suspicacias hacia Symantec, los navegadores Google Chrome y Mozilla Firefox han retirado su confianza a las páginas web con certificados SSL emitidos por la corporación antes del 1 de diciembre de 2017. En este artículo se indican las fechas claves y los pasos…

SSL
Protección de Datos

Laurent TShutterstock

Certificados SSL: definición y funcionamiento

La seguridad en Internet está siempre en el punto de mira: bien se gestione una página web o se navegue por la red como usuario, es imprescindible comprender los fundamentos de la seguridad web. Te explicamos aquí en qué consisten exactamente los certificados SSL para qué se…

SSL
Glosario

¿Qué son los navegadores?

Google Chrome, Mozilla Firefox y demás son la puerta de entrada a la World Wide Web. Pero ¿sabes qué es un navegador? ¿Y cómo funciona? Estos programas, que casi siempre son gratuitos, compilan códigos, imágenes y otros recursos de manera que nosotros podamos navegar por sitios…

Glosario