En los primeros tiempos de Internet, todas las solicitudes y respuestas de las páginas web se transferían en «texto plano». Esto significaba que eran potencialmente visibles para los fisgones digitales, lo que hacía arriesgado transmitir datos como credenciales de acceso, números de tarjetas de crédito y otra información personal sensible.
A mediados de los 90, Netscape desarrolló un protocolo de seguridad para cifrar la información confidencial en la entrega y transferencia de contenidos web. Este protocolo se llamó SSL (Secure Sockets Layer), y más tarde evolucionaría hacia otro protocolo llamado TLS (Transport Layer Security).
Aunque SSL y TSL se diferencian en cuanto a sus capacidades y arquitectura, ambos proporcionan seguridad mediante el uso de una tecnología digital denominada certificado SSL.
¿Qué es un certificado SSL?
Un certificado SSL es un certificado digital que certifica la identidad de una página web y crea una conexión cifrada entre una página web y un navegador. A veces, al certificado SSL se le llama «certificado SSL/TLS» o simplemente «cert».
Los certificados SSL protegen la identidad de la conexión remota y hacen que las interacciones online sean privadas, garantizando que nadie pueda leer o modificar el contenido compartido a través de la conexión segura, excepto el remitente y el destinatario. Un certificado SSL actúa como un pasaporte para verificar la identidad del propietario de la página web, y como una clave para mantener seguros los datos del usuario mediante un cifrado fuerte.
¿Qué es una autoridad de certificación SSL (CA)?
Los certificados SSL son emitidos por organizaciones denominadas autoridades de certificación. Una CA es una organización externa de confianza que garantiza la identidad de una página web. Se confía en ellas porque son pocas, bien conocidas y deben superar altas barreras de entrada. Hay algo más de 100 autoridades de certificación en todo el mundo, y son auditadas para ser incluidas como entidad raíz de confianza por los proveedores de navegadores web y sistemas operativos.
Antes de emitir un certificado, la CA verifica la información del solicitante, como la propiedad del sitio, el nombre, la ubicación, etc., de acuerdo con las normas establecidas del sector. La CA también firma digitalmente el certificado con su propia clave privada, lo que permite a los clientes verificarlo. Por prestar este servicio, la mayoría de las CA cobran una pequeña cuota anual (aunque algunos alojamientos web y CA sin ánimo de lucro ofrecen certificados SSL gratuitos).
El certificado SSL propiamente dicho es un pequeño archivo digital, normalmente de unos pocos kilobytes, que se instala en el servidor que soporta TLS y se comparte con otros.
Este archivo contiene:
- El nombre de dominio del sitio para el que se emitió el certificado
- La organización a la que se emitió (el titular del certificado)
- El nombre de la autoridad de certificación emisora
- Firma digital de la autoridad de certificación
- Cualquier subdominio asociado
- La fecha de emisión y caducidad del certificado
- La clave pública (nota: la clave privada no se comparte)
Siempre que utilices un navegador para conectarte a una URL que empiece por «https», o veas un icono de un candado verde en la barra de direcciones del navegador, sabrás que tienes una conexión TLS segura verificada por un certificado SSL emitido por una CA. Al hacer clic en el icono del candado, aparecerá información adicional sobre el certificado SSL, el propietario del dominio y la conexión.
Aunque este candado significa que tu conexión al sitio es segura, no significa necesariamente que el sitio sea seguro de usar. Es decir, solo porque puedas conectarte de forma segura a un sitio no significa que no esté controlado por delincuentes.
¿Cómo funciona un certificado SSL?
Los certificados SSL utilizan algoritmos de cifrado para codificar los datos en tránsito. Esto garantiza que cualquier dato transferido entre un navegador y una página web sea imposible de leer por terceros.
La comunicación segura a través de TLS se basa en dos certificados -uno público y otro privado- para crear la conexión segura.
Cuando un navegador intenta conectarse a una página web protegida con TLS, la comunicación se establece mediante un «apretón de manos» o comunicación de ida y vuelta que solo dura unos milisegundos. Los pasos de este «handshake» son:
- El cliente (navegador) se conecta a la página web protegida por SSL (servidor).
- El cliente pide al servidor que se identifique.
- El servidor envía una copia de su certificado SSL.
- El cliente examina el certificado SSL para comprobar si es fiable e indica al servidor si lo es.
- El servidor inicia un acuerdo firmado digitalmente para iniciar una sesión cifrada SSL.
Los datos cifrados fluyen ahora libremente y con seguridad entre el navegador y el servidor.
El intercambio inicial se realiza mediante cifrado asimétrico, basado en claves públicas y privadas. Tras la validación, el cliente y el servidor intercambian claves privadas temporales, utilizadas sólo para la sesión. Esto permite un cifrado y descifrado más eficaces.
Tipos de certificados SSL
- Certificado de dominio validado (DV)
- Certificado de organización validada (OV)
- Certificado de validación ampliada (EV)
Los distintos certificados SSL sirven para diferentes propósitos y tienen distintos costes.
Certificado validado por dominio (DV)
Coste: entre 0 y 99 dólares al año
Un certificado SSL DV implica una verificación de identidad mínima y automatizada, que establece únicamente que el propietario tiene control sobre el dominio o el subdominio. Esto suele hacerse por correo electrónico.
Un certificado SSL DV es la forma más barata de obtener un certificado, y la mayoría de los certificados SSL gratuitos son de este tipo. Sin embargo, representa el nivel más bajo de seguridad de una página web. Los certificados DV son útiles para blogs, páginas web individuales, pequeñas empresas o cualquier sitio con las necesidades de seguridad más básicas.
Certificado validado por la organización (OV)
Coste: entre 100 y 999 dólares al año
Un certificado SSL OV ofrece una mayor garantía de la identidad del portador. Para obtener un certificado OV, el comprador debe superar nueve comprobaciones de validación.
Se trata de un certificado empresarial de nivel medio, y la autoridad emisora garantiza que la organización afiliada al certificado es válida y está en regla. Este es un buen enfoque para las empresas que no realizan transacciones financieras o de ecommerce a través de su sitio web.
Certificado de validación ampliada (EV)
Coste: más de 1.000 dólares al año
Un certificado SSL con EV representa el nivel más alto de verificación de identidad, más adecuado para empresas, entidades financieras y páginas web de ecommerce. Se realizan dieciséis comprobaciones de validación, que incluyen tanto la identidad legal como la ubicación física.
El usuario final ve una barra verde en el navegador, que indica el nivel más alto de verificación, así como información corporativa adicional detrás del candado.
¿Y si necesitas proteger varios dominios?
Un solo certificado SSL protege un solo nombre de dominio. Sin embargo, muchas empresas necesitan una solución que proteja varios nombres de dominio o subdominios. Para estas empresas, el protocolo SSL ofrece dos soluciones diferentes: un certificado SSL comodín o un certificado SSL multidominio.
Certificado SSL comodín
Coste: variable
Algunas empresas utilizan varios subdominios (por ejemplo, mail.example.com, shop.example.com) para realizar distintas funciones en la misma página web. Para estas organizaciones, la mejor solución SSL suele ser un certificado SSL comodín. Un certificado SSL comodín protege el dominio principal de una página web, así como cualquier subdominio asociado, lo que reduce los costes y simplifica la administración.
Certificado SSL multidominio
Coste: variable
Mientras que los certificados SSL comodín ayudan al propietario de una página web a proteger subdominios dentro de un único dominio, los certificados SSL multidominio (MDC) pueden utilizarse para proteger varios nombres de dominio a la vez. Se pueden añadir dominios adicionales a un certificado multidominio mediante «nombres alternativos de sujeto» (SAN) sin necesidad de adquirir un certificado SSL de dominio único adicional. Los certificados SSL multidominio se conocen a veces como certificados de comunicaciones unificadas (UCC).
Cómo obtener un certificado SSL
El proceso de adquirir certificados SSL para uno o varios dominios y proteger los datos de los usuarios en su página web puede ser complejo. A continuación te explicamos cómo hacerlo.
- Determina el nivel de seguridad de la página web que necesitas. Elige entre SSL DV, OV o EV. (Si tienes varios dominios o subdominios, puede que necesites añadir o sustituir un certificado comodín o MDC). Revisa tus necesidades organizativas y tu presupuesto y elige el nivel de verificación de identidad adecuado.
- Determina los dominios y subdominios que deben admitirse. Si solo tienes uno, puede que no necesites obtener un certificado comodín.
- Elige una autoridad/proveedor de certificados. Para necesidades de gama baja, puede que solo tengas que trabajar con tu proveedor de alojamiento web y obtener un certificado gratuito. Los certificados multidominio y EV requieren una relación de pago con una autoridad de certificación.
- Solicita un certificado al proveedor de SSL que hayas elegido. Esto suele implicar rellenar formularios web y realizar pagos.
- Verifica la propiedad y otros detalles. La autoridad de certificación realizará un seguimiento para verificar la información que enviaste en tu solicitud y, como mínimo, solicitará una verificación por correo electrónico de la propiedad del dominio.
- Obten e instala el certificado. Este paso depende de la CA que elijas y de tu plataforma web. Normalmente, se descarga un archivo ZIP que contiene tres claves: la clave pública, la clave privada y un paquete de autoridad de certificación. Si trabajas con un alojamiento web comercial, la consola de administración de tu sitio suele incluir herramientas para la instalación de certificados. Si trabajas en tu propio hardware, más cerca del sistema operativo y del servidor web, sigue la documentación correspondiente a ese entorno.
- Configura otras aplicaciones para que utilicen el certificado. Si tienes intención de admitir conexiones SSL con otras aplicaciones de tus servidores (por ejemplo, WordPress, correo electrónico, etc.), deberás configurarlas para que utilicen su certificado y el protocolo TLS.
- Confirma que tu conexión segura funciona. Conéctate a tu página web y/u otras aplicaciones y asegúrate de que dispones de una conexión segura. Haz clic en el candado y revisa la información que aparece en tu navegador.
- Envía tu(s) sitio(s) a los motores de búsqueda. Tus nuevas páginas web «https» son distintas de las antiguas páginas «http». Si tus usuarios confían en los motores de búsqueda para encontrarlas, tendrás que volver a enviar la nueva dirección web https a dichos motores para su indexación.
Más información
- ¿Cómo calcular el precio de venta de un producto?
- 7 estrategias para aumentar ventas en 2024
- ¿Qué es el estrés laboral y cómo controlarlo? 8 consejos para emprendedores
- Cómo debe ser el primer acercamiento a una tienda online desde la perspectiva del cliente
- Cómo una estrategia de outreach a bloggers puede hacer crecer tu tienda online
- 5 retos presentes en el manejo de la logística de tu tienda online
- 7 estrategias para aumentar ventas en 2024
- 10 consejos de niños emprendedores que pueden inspirarte para comenzar un negocio antes de graduarte
- Prevención de pérdidas para negocios minoristas
- 10 errores comunes en las fotografías de productos de Joyería (y cómo evitarlos)
Preguntas frecuentes sobre certificados SSL
¿Es necesario un certificado SSL?
Un certificado SSL es necesario para cualquier página web que requiera que los usuarios introduzcan información personal. Incluso si su página web no maneja datos confidenciales, los certificados SSL son muy recomendables: los motores de búsqueda penalizan las páginas web que no los tienen y los navegadores advierten a los usuarios de las páginas web inseguras, con la consiguiente pérdida de tráfico.
¿Cómo consigo un certificado SSL?
- Determina el nivel de seguridad necesario.
- Determina los dominios y subdominios que se van a admitir.
- Elige una autoridad/proveedor de certificados.
- Solicita el certificado al proveedor elegido.
- Verifica la propiedad del dominio y otros criterios.
- Obtén e instala el certificado.
¿Cuál es la diferencia entre SSL y TLS?
Transport Layer Security (TLS) es el sucesor del SSL. Aunque TLS ofrece algunas mejoras sobre SSL, los términos se utilizan a menudo indistintamente. Ambos protocolos funcionan de la misma manera, utilizando el cifrado para proteger la transferencia de datos entre el remitente y el destinatario.
¿Qué tipos de certificados SSL existen?
- Certificado validado por dominio (DV)
- Certificado validado por la organización (OV)
- Certificado de validación ampliada (EV)
- Certificado SSL comodín
- Certificado SSL multidominio (MDC)