Con un certificado SSL ofreces una conexión cifrada y, por tanto, inspira confianza.
Los negocios en línea deben ofrecer a los clientes actuales y potenciales un entorno confiable para sus compras. A través de la conexión segura que permiten, los certificados SSL forman la base de esta confianza. Para convencer a los visitantes de la seguridad de la conexión, los navegadores muestran determinadas propiedades que llamamos «símbolos EV». Podría ser, por ejemplo, un candado verde o el logotipo de una marca en la barra de URL.
Los certificados SSL tienen un par de claves: una clave pública y una clave privada. Juntas, las dos claves permiten una conexión cifrada. El certificado también contiene un “Asunto”; esta es la identidad del propietario del certificado o sitio web.
¿Cómo solicito e instalo en mi sitio un certificado SSL?
Seguimos instrucciones proporcionadas por los profesionales de Comercio Plus: Para obtener un certificado, debes enviar una Solicitud de firma de certificado (CSR) a tu servidor. Se generan una clave privada y una clave pública en tu servidor. El archivo CSR que luego envía a la Autoridad de certificación SSL (CA) contiene la clave pública. La CA utiliza el archivo CSR para crear una estructura de datos que coincida con su clave privada, pero no requiere tu clave privada. Esto queda protegido.
Una vez que hayas recibido el certificado SSL, instálalo en tu servidor. También instala un certificado intermedio que establece la confiabilidad de tu certificado SSL vinculándolo al certificado raíz de tu CA. El procedimiento para instalar y probar tu certificado varía según el servidor.
De esta manera, su certificado de servidor está vinculado al certificado raíz de la CA a través de un certificado intermedio.
Genera tu certificado SSL a través sólo de fuentes confiables
Lo más importante de un certificado SSL es que esté firmado digitalmente por una CA confiable. Cualquiera puede generar un certificado, pero un navegador web sólo confía en los certificados que provienen de una organización en tu lista de CA confiables. Cada navegador viene precargado con una lista de CA confiables, denominadas «autoridades de certificación raíz confiables«. Para ser incluida en esta lista y reconocida como autoridad de certificación, una empresa debe cumplir con los estándares de seguridad y autenticación establecidos por los navegadores y someterse a un proceso de auditoría.
Un certificado SSL emitido por una CA a una empresa y su dominio/sitio web demuestra que un tercero de confianza ha verificado la identidad de esa empresa. Como el navegador confía en la CA, ahora también confía en la identidad de la empresa. El navegador le dice al usuario que el sitio web es seguro y que puede ingresar allí información confidencial si es necesario.
¿Qué es el protocolo TLS?
Secure Sockets Layer (SSL) es una tecnología de seguridad estandarizada para establecer una conexión cifrada entre un servidor y un cliente. Suele ser un servidor web (sitio web) y un navegador o un servidor de correo electrónico y un cliente de correo electrónico (por ejemplo, Outlook). El concepto ahora es más conocido con la abreviatura TLS (Transport Layer Security), que es la tecnología sucesora de SSL.
SSL se puede utilizar para transmitir de forma segura datos confidenciales, como números de tarjetas de crédito, números de identificación o detalles de inicio de sesión. Sin un método de cifrado, los datos se transmitirían entre navegadores y servidores web en texto plano, lo que los haría no confidenciales. Si un atacante interceptara todos los datos entre un navegador y un servidor web, podría leerlos fácilmente y utilizarlos por sí mismo.
Estrictamente hablando, SSL es un protocolo de seguridad. Los protocolos especifican cómo se deben utilizar los algoritmos. En este caso, el protocolo SSL establece las variables de cifrado para la conexión y para los datos transmitidos.
Todos los navegadores pueden conectarse a servidores web seguros mediante el protocolo SSL. Sin embargo, para establecer una conexión segura, el navegador y el servidor necesitan un certificado SSL.
SSL protege los datos de millones de personas en línea todos los días, especialmente durante transacciones en línea que implican la transferencia de información confidencial. Una vista familiar para los usuarios de Internet es el símbolo de candado, que indica un sitio web protegido con SSL, o la línea de dirección de color verde, que indica un sitio web protegido por SSL con Validación Extendida. Además, los nombres de los sitios web protegidos con SSL comienzan con la cadena «https» en lugar de «http».
¿Cómo crea el certificado SSL una conexión segura?
Cuando un navegador intenta acceder a un sitio web protegido con SSL, el navegador y el servidor web establecen una conexión SSL mediante el proceso de protocolo de enlace SSL. El protocolo de enlace SSL se realiza a la velocidad del rayo y no es visible para el usuario.
En principio, se necesitan tres claves para establecer la conexión SSL: una pública, una privada y una de sesión. El contenido cifrado con la clave pública sólo se puede descifrar con la clave privada y viceversa.
Dado que cifrar y descifrar con una clave pública y privada requiere una gran potencia informática, estas dos solo se utilizan durante el protocolo de enlace SSL para generar una clave de sesión simétrica. Una vez que se ha establecido la conexión segura, la clave de sesión se utiliza para cifrar todos los datos transmitidos.
- El navegador se conecta a un servidor web (sitio web) que está protegido con SSL (https). El navegador solicita al servidor que se identifique.
- El servidor envía una copia de tu certificado SSL y tu clave pública.
- El navegador comprueba si la raíz del certificado está en tu lista de CA confiables. También comprueba que el certificado no haya caducado ni haya sido revocado y que tu nombre común sea válido para el sitio web en cuestión. Si el navegador confía en el certificado, crea y cifra una clave de sesión simétrica utilizando la clave pública del servidor y la devuelve.
- El servidor descifra la clave de sesión simétrica utilizando tu clave privada y envía un acuse de recibo que a su vez está cifrado con la clave de sesión. Ahora puedes comenzar la sesión cifrada.
- El servidor y el navegador cifran ahora todos los datos transmitidos con la clave de sesión.
¿Tengo un certificado SSL o TLS?
El protocolo SSL siempre se ha utilizado para cifrar y proteger los datos transmitidos. Cada vez que aparecía una versión nueva y aún más segura, sólo se aumentaba el número de versión (por ejemplo, SSLv2.0). Pero cuando venció la actualización SSLv3.0, la nueva versión no se llamó SSLv4.0, sino TLSv1.0. Actualmente estamos en TLSv1.3.
Pero como SSL sigue siendo el término más conocido, hablamos de TLS/SSL cuando se trata de certificados o de seguridad de los datos transmitidos. Cuando nos compras un certificado SSL (por ejemplo, SSL estándar, SSL con validación extendida, etc.), en realidad recibe un certificado TLS (RSA o ECC).
Comparativa de certificados TLS/SSL
- Sitios web con información, blogs: Incluso los sitios web que no aceptan pagos ni solicitan información confidencial necesitan HTTPS para mantener confidencial la actividad de los usuarios, incluso los blogs.Tipo de certificado TLS/SSL recomendado: Certificados TLS/SSL con Enterprise Validation (OV): el segundo nivel más alto de autenticidad y verificación de identidad.
- Páginas y formularios de inicio de sesión: TLS/SSL cifra y protege nombres de usuario y contraseñas, así como formularios para ingresar información personal o cargar imágenes o documentos.Tipo de certificado TLS/SSL recomendado: Certificados TLS/SSL con Enterprise Validation (OV): el segundo nivel más alto de autenticidad y verificación de identidad.
- Sitios de pago: Es más probable que un cliente complete una compra si sabe que su página de pago (y su número de tarjeta de crédito) es segura.Tipo de certificado TLS/SSL recomendado: Certificados TLS/SSL con Validación Extendida (EV): el nivel más alto de autenticidad con la verificación de identidad más estricta.
