¿Qué es un certificado SSL?
Los certificados SSL (Secure Sockets Layer) son la tecnología que permite cifrar los datos que se intercambian entre un navegador y un servidor web. Al tener disponible o activo este “sistema” se ofrecen dos beneficios de seguridad: permite que los sitios web se autentifiquen como legítimas y además cifra el tráfico web de datos creando un entorno completamente seguro para los usuarios.
En otras palabras, un certificado SSL es un protocolo de seguridad digital que sirve para resguardar la privacidad de los usuarios y proteger sus datos mientras realizan transacciones en línea.
Para saber que una página web cuenta con un certificado SSL, basta con visualizar la barra de direcciones por la izquierda y si se muestra un candado y la dirección utiliza el protocolo HTTPS, en lugar de HTTP. Estas son las principales formas en que se puede informar al usuario de que tú web es segura.
Es importante destacar que actualmente, los certificados SSL están incluidos en los planes de alojamiento web. Estos, vinculan un nombre de dominio, un nombre de servidor o nombre de host, la identidad de una organización y su ubicación.
Ahora bien, un certificado SSL más allá de proporcionar una mayor seguridad al navegar por un sitio web, también beneficia al posicionamiento en buscadores, ya que es un protocolo que transmite confianza y por tanto una mejor experiencia de usuario o UX.
Tipos de certificados SSL
Los certificados SSL solo son emitidos por Autoridades Certificadas (CA), las cuales ofrecen diversos niveles de validación, y en algunos casos solo se pueden hacer por comprobación manual. De allí que el precio de los certificados varíen.
A continuación te presentamos los tipos de certificados y los diferentes niveles de validación:
Niveles de validación
Validación extendida
Viene siendo el mayor nivel de validación. La autoridad certificadora solo concede el certificado luego de una exhaustiva comprobación de antecedentes, siguiendo directrices del Foro CA/B (Autoridad certificadora/Navegador). Es el tipo de validación más costoso y lo utilizan con mayor asiduidad los sitios web como bancos o sitios ecommerce grandes.
Validación de organización
También es aprobado luego de que la autoridad certificadora realice el proceso de evaluación, aunque no tiene que ajustarse a las normas del Foro CA/B. Es más económica que la anterior.
Validación de dominio
Estos certificados de validación son muy utilizados por las empresas o marcas pequeñas. Y a pesar que brindan el mismo nivel de cifrado que los otros certificados, son aprobados luego de un proceso de evaluación automatizado, si necesidad de realizar el trabajo extenuante. De allí, que sea el tipo de validación más económico y rápido.
Tipos de certificados
Certificados de dominio único
Estos solo cubren a un dominio y todas las rutas que salen de él. Es el más usado para startups y negocios pequeños. Se encuentran disponibles en los 3 niveles de validación.
Certificados wildcard
Son aquellos que cubren todos los subdominios de un dominio determinado. También se encuentra disponible en los 3 niveles de validación.
Certificados multidominio
Este tipo de certificado SSL puede cubrir hasta 100 dominios únicos. Se puede añadir o eliminar dominios al certificado, lo que permite que los administradores puedan gestionarlo con facilidad. Al igual que los anteriores, está disponible en los tres niveles de validación.
¿Para qué sirve un certificado SSL?
Los certificados SSL trabajan en función a un sistema cifrado con un algoritmo que utiliza una clave de seguridad que, por cierto, Google recomienda sea de 2048 bits. Sobre dicha clave solo tiene conocimiento la máquina del usuario conectado y el servidor que está proporcionando la conexión.
Ahora bien, esto permite que los datos queden encriptados, de modo que nadie que no tenga la clave pueda leer esa información. En resumidas cuentas, podemos decir que todo este proceso lo que proporciona es una seguridad en el entorno online, lo que a su vez permite que el usuario pueda disfrutar más de la visita, compra o consulta de información.
Pero no debemos dejar por fuera que un certificado SSL también sirve para verificar la autenticidad de un sitio web, lo que a su vez ayuda a que el usuario sienta la confianza de transferir sus datos confidenciales con la plena seguridad que solo esa web y él tendrán conocimiento de esa información.
¿Cómo funcionan los certificados SSL?
Todo el sistema de un certificado SSL implica muchos aspectos técnicos; sin embargo, en esta oportunidad trataremos de simplificar la explicación para que sea entendible.
Partiendo de las antes mencionadas claves, la tecnología SSL crea una clave pública y una privada (que son secuencias largas de números creados aleatoriamente), en donde la publica permite que cualquier usuario o persona pueda cifrar los datos, los cuales solo podrán ser descifrados por el servidor que es quien posee la clave privada.
Del mismo modo, los datos cifrados con la clave privada solo son útiles una vez se descifren con la clave pública, lo que garantiza que la procedencia de los datos es legítima.
¡Veámoslo con un ejemplo! Están dos personas navegando, María y Juan, y María quiere enviarle unos datos importantes a Juan, pero le preocupa que alguien intercepte la información. Si se cifra el mensaje con la clave pública de Juan, el mensaje solo podrá descifrarse con la clave privada de Juan. De este modo, el será el único que podrá usarla para desbloquear el mensaje.
En el supuesto caso de que el mensaje sea interceptado antes de que Juan lo desbloquee, lo único que visualizará será un código criptográfico imposible de descifrar.
Ahora, si María recibe una respuesta, supuestamente de Juan, puede verificar que realmente es este. Si ha sido cifrado por Juan con su clave privada, debería descifrarse con la clave pública de Juan.
En el ejemplo anterior, el certificado SSL es el sistema en sí de claves públicas y privadas que permiten que la comunicación sea segura.
¿Por qué necesito un certificado SSL?
Bueno, esta pregunta está resuelta entre toda la información que hemos suministrado hasta el momento. Sin embargo, si aún no lo tienes claro, a continuación te dejamos razones contundentes por la cual necesitas un certificado SSL:
La principal razón es que los certificados SSL crean un entorno seguro para los usuarios, mediante el cifrado de los datos entre la web y el servidor. Esto permite proteger toda aquella información importante del usuario, como los datos personales, los datos de sus instrumentos bancarios, contraseñas, nombres de usuarios, etc.
Así mismo, un certificado SSL también permite que los sitios web se autentiquen. Algunos de los navegadores web más usados muestran un candado en la barra de direcciones, o en el caso de Chrome, que muestra una etiqueta roja con el texto “No segura”, cuando la misma no posee un certificado SSL.
Por otra parte, algunos buscadores penalizan a los sitios webs que no tienen certificado SSL, y por el contrario, promueven y premian aquellos que si lo tienen, otorgándoles una mejor posición en los resultados de búsqueda.
Y por último, mejoran y refuerzan la confianza de los usuarios o clientes y mejoran las tasas de conversión.
Beneficios de la instalación de un certificado SSL
En dado caso de que aún no tengas claro por qué tienes que velar por la seguridad de tu web, te dejamos otros beneficios de la instalación de los certificados SSL:
Más privacidad e integridad de los datos.
Mejora de la experiencia de usuario.
Más protección frente a ataques cibernéticos.
¿Dónde puedo comprar un certificado SSL?
En concreto, los certificados SSL se pueden comprar en las Autoridades de Certificación (CA) o a través de un proveedor de alojamiento web.
En el caso de los navegadores, los sistemas operativos y dispositivos móviles cuentan con una lista de certificados raíz de las Autoridades de Certificación de confianza.
Ahora bien, el certificado raíz debe estar presente en el ordenador del usuario final para que sea considerado como de confianza. De lo contrario, el navegador mostrará un mensaje de error diciendo que la conexión no es fiable.
Por ejemplo, empresas como GlobalSign son Autoridades de Certificación con renombre, y esto gracias a que navegadores y sistemas operativos como Mozilla, Opera, Microsoft, Java, entre otros, confían en su legitimidad y en su capacidad de emitir certificados SSL de confianza.
Mejores proveedores de certificados SSL
GoDaddy
GoDaddy es una empresa proveedora de dominios. Es conocida como el registrador de nombres de sitios web número uno del mundo y el certificado SSL que ofrece impide que los hackers puedan acceder a los datos de los usuarios.
HubSpot
El gestor de contenidos HubSport ofrece certificados SSL gratuitos. Puedes optar por proteger tu web y datos de los usuarios con un SSL estándar.
Let’s Encrypt
Let’s Encrypt fue creado por Linux y patrocinado por Mozilla, Facebook, Site Ground, Cisco, y por otras empresas de tecnología de renombre. Ofrece certificados gratuitos, pero solo por un periodo de tiempo de tres meses.
Cloudflare
Cloudflare ofrece certificados gratuito y de paga. Esta plataforma es conocida por proporcionar productos que hacen que las páginas web sean más seguras y rapidas. Son muchos los sitios que utilizan esta plataforma, como por ejemplo, Reddit, Stack Overflow, Mozilla, entre otros.
SSL For Free
SSL For Fre es una Autoridad de Certificación sin fines de lucro que ofrece certificados gratuitos, los cuales funcionan en la mayoría de los navegadores. Dichos certificados se generan con la ayuda del servidor ACME a través de la validación de dominio.
Comodo
Comodo es una plataforma que ofrece pruebas gratuitas de certificados SSL por tres meses, los cuales son reconocidos por los principales navegadores. Con dicho certificado puedes cubrir hasta 100 dominios.
Así mismo, ofrece licencias de servidor ilimitadas con atención al cliente. Se encuentra certificado como Best Seller de certificados SSL.
GeoTrust
La plataforma GeoTrust ofrece certificados de paga, en planes de tres años. Entre las características principales de estos tenemos: validación automatizada de nombres de dominio, fácil y rápida instalación y emisión de certificados, compatibilidad con los principales navegadores y compatibilidad con todos los navegadores móviles.
GoGetSSL
GoGetSSL es otro proveedor que brinda una prueba gratuita de 90 dias para los certificados. Lo más resaltante de su prestación es que en tan solo 5 minutos podrás validar tu dominio, sin necesidad de requerir devolución de llamada o la verificación cara a cara. Los certificados son compatibles con los principales navegadores.
Basic SSL
Basic SSL proporciona una prueba de 90 días antes de realizar la compra. Todo el proceso de validación en muy sencillo y rápido.
Instant SSL
Instant SSL es otra buena opción que ofrece certificados gratuitos por 90 días. Y como los demás, funciona con los navegadores de renombre.
Como puedes ver, son muchas las opciones en cuanto a proveedores de certificados SSL. Solo queda de tu parte probar la opción que más te convenga, para de una vez por todas, aumentar la seguridad y confianza de tu sitio web.
¿Se puede utilizar un certificado SSL en varios servidores?
Si, la instalación de certificados SSL en varios servidores se puede realizar a través de dos métodos:
Compartir certificados a través de PFX
Bajo este método se tiene que crear un archivo .pfx de tu certificado, también conocido como archivo PKCS #12, intermedios y clave privada. El archivo .pfx se puede importar en varios servidores.
En específico, se debe crear y exportar un .pfx usando OpenSSL. Lo siguiente es importar el archivo usan también OpenSSL. Por último, solo queda configurar el servidor para utilizar el archivo .pfx importado; en dicha configuración se debe vincular una dirección IP al archivo deseado.
Compartir certificado único
El segundo método es un poco más seguro, pero también requiere un poco más de tiempo para resolver asuntos relacionados con la administración de certificados.
Ahora bien, en el caso de que quieras usar una clave privada diferente para cada servidor, es recomendable que sigas los siguientes pasos:
Genera tu CSR/ Par de claves privadas en el servidos deseado.
Reprocesa tu pedido de certificado con el FAQ C SR.
Configura el servidor para usar los archivos de certificado recién creados.
¿Qué sucede cuando un certificado SSL caduca?
A diferencia de algunos servicios relacionados con los sitios web que se renuevan o se cancelan automáticamente, los certificados SSL tienen una fecha de expiración estipulada.
El Foro de navegación o autoridad de certificación que funciona como la entidad normativa para la industria SSL, establece que los certificados SSL no deben tener una vida útil mayor a dos años, aunque antes era 5 años.
Esto ha de ser así porque, al igual que con cualquier forma de autenticación, la información debe ser revalidada constantemente para verificar que sigue siendo correcta. El propósito del periodo de caducidad es garantizar que la información para autenticar los servidores y las páginas web siempre sea precisa y lo más actualizada posible.
Por tanto, hay que estar muy pendiente de la fecha de caducidad para evitar que el certificado expire, debido a que puede traer una serie de consecuencias graves tanto para el dueño de la página web como para los usuarios finales. Veamos el desglose para ambas partes:
Consecuencias para el propietario del sitio
Disminución de las visitas y de las ventas.
Incremento en la tasa de rebote de la web.
Reducción de la confianza de los usuarios al percatarse que se trata de un sitio inseguro.
La reputación de la empresa se ve afectada negativamente.
Consecuencias para el usuario
Información personal en riesgo de ataques.
Se vuelve más susceptible de sufrir fraudes y robos de identidad.
Cómo muestra un navegador los certificados expirados
El navegador muestra mensajes de error de advertencia al momento de que el sitio es visitado. Sin embargo, en algunos de los navegadores, los mensajes no son muy claros, lo que ocasiona que el usuario haga clic en el mensaje sin entender muy bien lo que está sucediendo. Es por ello, que te recomendamos leer muy bien todos los mensajes de advertencia, en lugar de ignorarlos y hacer clic de una vez en el sitio.
En el caso de que no entiendas muy bien la implicación de la advertencia, es recomendable que hagas clic en los enlaces que también se muestran, como por ejemplo, “Ayúdenme a entender” o “Aprenda más”. Aquí podrás encontrar detalles que te pueden ayudar a tomar una mejor decisión.
¿Cómo saber si un sitio tiene certificado SSL?
La manera más fácil de saber si un sitio tiene un certificado SSL, y bien lo habíamos dicho al inicio, es mediante la barra de direcciones del navegador.
En la misma podrás verificar si la URL tiene el protocolo HTTPS en lugar de HTTP, es porque el sitio está protegido mediante un certificado SSL.
Allí mismo, también podrás visualizar un distintivo candado cerrado, en el que puedes hacer clic para poder ver los detalles de seguridad. Esta característica la tienen los sitios más confiables, aunque también pueden tener barras de direcciones verdes.
Por otro lado, los navegadores suelen mostrar señales de advertencias cuando estamos en presencia de un sitio web con una conexión no segura, como pr ejemplo, un candado rojo, un candado abierto, una línea que pasa a través de la dirección de la página web o un triángulo de advertencia junto con el dibujo del candado.
¿Qué es una conexión SSL con un certificado no valido?
Un certificado no valido se puede generar cuando la autoridad de certificación ha revocado/anulado/cancelado el certificado SSL de un dominio. Y algunas de las razones por la cual lo hace es si la clave privada muestra algún signo de compromiso. Aunque también un certificado se invalida si el dominio para que el cual se emitiera no está operativo.
En estos casos, si el navegador detecta esto mostrará un error que expresa que estamos frente a una conexión SSL con un certificado no valido.
Con este último damos por terminado nuestro post sobre que es un certificado SSL y para qué sirve. Esperamos toda la información te haya servido y ya tengas bien claro la importancia de no prescindir de este certificado, si en realidad quieres tener éxito frente a los buscadores y crear una comunidad que confíe plenamente en tu sitio web.
Recuerda que como agencia SEO estamos acá para orientarte y ayudarte con todos los procesos relacionados con tu página web. ¡No dudes en contactarnos!
Fuentes : CA Security Council, 1&1, WHUK, Exabytes, GoDaddy, Profe Sang