Certificado SSL
La seguridad en internet es esencial y uno de los pilares de la seguridad son los certificados SSL. Vamos a conocerlos.
Contenido del Artículo
- ¿Qué es un Certificado SSL?
- ¿Cómo funciona la comunicación SSL/TLS?
- ¿Por qué usar un Certificado SSL?
- Validación de Certificados SSL
- Tipos de Certificados SSL
- Autoridades de Certificación
¿Qué es un Certificado SSL?
Un certificado SSL es esencialmente un certificado digital para un dominio. SSL significa Secure Socket Layer (Wiki sobre SSL/TLS), un protocolo creado por la empresa Netscape en 1994 durante la "prehistoria de internet" (por ejemplo, Google se fundó en 1998). Fue creado para establecer una comunicación segura y encriptada a través de internet entre el navegador del usuario y un servidor web. El certificado es emitido por una tercera parte confiable, conocida como autoridad de certificación (CA), que verifica al solicitante del certificado/propietario del servidor web y emite una "confirmación." Hoy en día, se utiliza el sucesor del protocolo SSL, el protocolo TLS estandarizado (Transport Layer Security), pero el nombre original de certificados SSL sigue siendo comúnmente usado.
La comunicación segura y el uso de un certificado SSL se identificaban anteriormente en la barra de direcciones del navegador por la presencia de "https://" antes del nombre del dominio, donde la letra "S" significa Secure (HTTPS - Hypertext Transfer Protocol Secure), y el símbolo de candado. Actualmente, el uso de certificados SSL es completamente estándar, y los navegadores, en cambio, muestran advertencias sobre sitios inseguros.
¿Qué es HTTPS?
HTTPS es un método de encriptación de datos (información) transmitidos entre el navegador y el servidor web. La encriptación protege a los visitantes y usuarios de un sitio web contra el espionaje y los ataques de intermediarios, donde un hacker puede robar información enviada a un sitio web, como detalles de tarjetas de crédito o credenciales de inicio de sesión. Un atacante también puede inyectar contenido malicioso o realizar otros ataques dañinos. Asegurar la comunicación con el protocolo HTTPS es ahora el estándar para todos los sitios web.
¿Cómo funciona la comunicación SSL/TLS?
Para establecer una comunicación HTTPS segura, se lleva a cabo un proceso llamado handshake entre el navegador y el servidor, donde se intercambia información sobre cómo procederá la comunicación (tipos de cifrado, claves de encriptación, etc.). El certificado SSL se utiliza al inicio de la comunicación, donde se emplea encriptación asimétrica para intercambiar claves y verificar el servidor. Aquí, la confiabilidad de la autoridad de certificación que emite el certificado SSL y confirma la autenticidad del propietario es muy importante. Si todo está en orden, se establece la comunicación HTTPS, y la seguridad de los datos procede utilizando encriptación simétrica (encriptación y desencriptación utilizando una única clave).
Puedes ver el proceso paso a paso de conexión TLS 1.3 entre un cliente y un servidor en la excelente página Illustrated TLS Connection - Every byte explained and reproduced.
La encriptación asimétrica trabaja con un par de claves de encriptación: pública y privada (Wiki - Criptografía asimétrica). La clave pública puede hacerse pública, y si alguien encripta un mensaje con esta clave, solo el propietario de la clave privada correspondiente puede desencriptarlo. Lo mismo se aplica en sentido inverso, lo cual se utiliza para la autenticación: un mensaje encriptado con la clave privada solo puede desencriptarse con la clave pública correspondiente. Si sabemos que la clave pública pertenece a una entidad en particular (verificada por una autoridad confiable), también sabemos con quién estamos comunicándonos.
¿Por qué usar un Certificado SSL?
Un certificado SSL es necesario para crear y garantizar la comunicación HTTPS segura en internet. Hay muchas razones para usar un certificado SSL. ¡Pero cuidado! Un certificado SSL no protege los sitios web contra hackers. Si no actualizas aplicaciones como WordPress o un programador codifica mal el sitio web, un certificado SSL no protegerá el sitio de ser comprometido.
Al implementar un certificado SSL y asegurar la comunicación HTTPS, principalmente protegemos a los usuarios, visitantes del sitio contra el espionaje de la comunicación, la inyección de código malicioso en el sitio o la modificación del contenido (inserción de anuncios, modificación de contenido). Esta es la razón principal para implementar un certificado SSL incluso en el sitio más pequeño de una sola página, donde pensamos que no hay nada que proteger.
Una razón clave para implementar un certificado SSL son los formularios de inicio de sesión y otros formularios en los sitios web donde se ingresan datos sensibles que deben protegerse durante su transmisión por internet del espionaje, robo y uso indebido.
Los sitios web sin un certificado SSL están etiquetados negativamente como "NO SEGURO" en los navegadores web, lo que resulta muy poco confiable.
Las nuevas tecnologías solo se pueden utilizar en navegadores con comunicación segura. Los nuevos protocolos HTTP/2+3 aceleran significativamente la carga de los sitios web y, sin HTTPS, no admiten todas las funciones.
Los certificados SSL aseguran el cumplimiento de las regulaciones legales y estándares sobre protección de la privacidad y el cumplimiento de normas.
Ventajas de la comunicación HTTPS
- Comunicación segura entre el navegador del usuario y el servidor
- Protección de información sensible
- Uso de nuevas tecnologías (protocolo HTTP/2 rápido, nuevas propiedades CSS)
- Autenticación de la contraparte (servidor web)
- Beneficios de SEO para las páginas en la búsqueda de Google
- Eliminación de la etiqueta "No Seguro" en el sitio web
Desventajas de la comunicación HTTPS
- Necesidad de obtener un certificado SSL
- El certificado SSL debe renovarse regularmente
- Configuración técnica de la comunicación HTTPS
- Potenciales problemas de funcionalidad del sitio web
Validación de certificados SSL
Para que se emita un certificado SSL confiable, la autoridad de certificación (CA) realiza primero una verificación. Este proceso solo puede ser llevado a cabo por el propietario o el operador de un dominio específico, garantizando que el certificado sea otorgado únicamente a una parte autorizada. Existen tres niveles de verificación que definen los tipos de certificados SSL.
Certificados de Validación de Dominio (DV SSL)
Para obtener un certificado, es suficiente verificar el dominio, lo cual es el método de verificación más rápido, sencillo y automatizado. La autoridad de certificación verifica únicamente la legitimidad del acceso al dominio especificado en la solicitud del certificado. La verificación se realiza enviando un correo electrónico a una de las cinco direcciones de correo del dominio: admin@, administrator@, webmaster@, hostmaster@ o postmaster@. Estos correos electrónicos están determinados por las reglas de verificación y no pueden ser modificados. Alternativamente, la verificación puede realizarse colocando un archivo generado en el espacio FTP del dominio o configurando un registro DNS específico.
Puedes ver el proceso paso a paso de la validación de dominio en la página Cómo funciona la validación de dominio (certificados DV).
Certificados de Validación de Organización (OV SSL)
A diferencia de la validación de dominio, este es un proceso manual en el que la autoridad de certificación debe verificar la existencia real del solicitante. El dominio se verifica como en los certificados DV, y también se confirma la existencia de la empresa. Los datos se obtienen de bases de datos públicas autorizadas, y cada CA tiene sus propios procedimientos de verificación.
La ventaja de los certificados de organización es la capacidad de autenticar y confirmar la legitimidad de la comunicación, asegurando que el sitio que estoy visitando pertenece a la empresa que espero.
Certificados de Validación Extendida (EV SSL)
Los certificados EV SSL son los certificados SSL más confiables. En el pasado, el nombre de la empresa se mostraba directamente en la barra de direcciones verde junto al dominio. Esto cambió en 2019, y ahora los certificados de organización son una mejor opción que ofrecen las mismas propiedades a un costo menor.
Tipos de certificados SSL
A través del desarrollo gradual, se crearon varios tipos de certificados SSL, que se diferencian principalmente en el número de dominios que pueden asegurar. Los tipos en sí mismos también ofrecen diferentes métodos de verificación.
Certificado SSL de Dominio Único
Los certificados SSL para un solo dominio son los más comúnmente solicitados. Estos certificados aseguran un dominio de internet específico. Pueden asegurar sitios web empresariales, personales o cualquier tipo de proyecto. Los certificados SSL de dominio único son emitidos por autoridades de certificación para su uso en las versiones con y sin www de la dirección. Para asegurar un único dominio, también son adecuados los certificados SSL más baratos de nuestra oferta.
Certificado SSL WildCard
Los certificados WildCard, también conocidos como certificados estrella, ofrecen una característica única: la capacidad de asegurar un número ilimitado de subdominios bajo tu dominio principal. Ahorran a los administradores de servidores tiempo y costos significativos en instalación y gestión. En la solicitud de un certificado WildCard, se especifica un asterisco (*) antes del dominio (por ejemplo, *.domainxyz.com), lo que permite asegurar cualquier subdominio en el nivel especificado.
Certificado SSL Multi-Dominio
Los certificados SSL Multi-Dominio permiten asegurar múltiples dominios diferentes con un único certificado SSL. Estos certificados pueden asegurar decenas de dominios simultáneamente, incluso con diferentes TLDs (.COM, .EU, .DE, .ES, etc.), lo que los distingue de los certificados SSL WildCard que aseguran un número ilimitado de subdominios.
El uso de un certificado SSL multi-dominio ofrece una gestión de certificados más sencilla y, a menudo, un precio más favorable para la seguridad de un dominio. Son ideales para empresas que requieren seguridad simultánea para múltiples dominios de diferentes TLDs. Los certificados SSL multi-dominio también son adecuados para asegurar Microsoft Exchange.
Autoridades de Certificación
La autoridad de certificación verifica la solicitud del certificado y emite el certificado. Existen muchas autoridades de certificación en todo el mundo, pero para que una CA sea confiable, debe cumplir con ciertos estándares. Estos son definidos por los fabricantes de sistemas operativos (Microsoft, Apple) o directamente por los desarrolladores de navegadores, como Mozilla para su navegador Firefox, que tiene su propio Programa de Certificados de CA de Mozilla y mantiene su lista de autoridades confiables.
Las autoridades de certificación son miembros del CA/Browser Forum. Los miembros incluyen no solo CA sino también fabricantes de navegadores, desarrolladores de sistemas operativos y otras empresas de TI (lista de miembros). Este foro desempeña un papel crucial en el desarrollo y regulación de los servicios de certificación, con sus propias normas y requisitos para la emisión de certificados que las autoridades de certificación deben seguir.
Certificados SSL en el proyecto SSLmentor
En nuestro sitio web, encontrarás certificados SSL confiables y de alta calidad de autoridades de certificación seleccionadas.
¿Qué sigue?
Volver a Ayuda
¿Encontraste un error o no entiendes algo? ¡Escríbenos!