¿Qué es un certificado SSL?
Un certificado SSL es un certificado digital que autentica la identidad de un sitio web y permite una conexión cifrada. SSL procede de Secure sockets Layer, un protocolo de seguridad que crea un enlace cifrado entre un servidor web y un navegador web.
Las empresas y las organizaciones deben instalar certificados SSL a sus sitios web para proteger las transacciones online y mantener la privacidad y seguridad de la información del cliente.
En resumen: los certificados SSL garantizan la seguridad de las conexiones a Internet y evitan que los delincuentes lean o modifiquen la información transferida entre dos sistemas. Cuando veas un icono de candado junto a la URL en la barra de direcciones, significa que un certificado SSL protege el sitio web que estás visitando.
Desde su creación hace aproximadamente 25 años, ha habido varias versiones del protocolo SSL, que en algún momento generaron problemas de seguridad. A esta versión le siguió la renovada TLS (Transport Layer Security), que sigue vigente en la actualidad. Sin embargo, las iniciales SSL están muy asentadas, por lo que la nueva versión del protocolo se sigue denominando de la misma manera.
¿Cómo funcionan los certificados SSL?
Los SSL funcionan garantizando que los datos transferidos entre usuarios y sitios web, o entre dos sistemas, sigan siendo imposibles de leer. Utilizan algoritmos de cifrado para codificar los datos en tránsito, lo que evita que los hackers los lean, ya que se envían a través de la conexión. Estos datos incluyen información potencialmente confidencial, como nombres, direcciones, números de tarjetas de crédito u otros detalles financieros.
El proceso funciona de la siguiente manera:
- Un navegador o servidor intenta conectarse a un sitio web (es decir, un servidor web) protegido con SSL.
- El navegador o el servidor solicita que el servidor web se identifique.
- El servidor web envía al navegador o al servidor una copia de su certificado SSL en respuesta.
- El navegador o el servidor comprueba si el certificado SSL es de confianza. Si es así, envía una señal al servidor web.
- A continuación, el servidor web devuelve un reconocimiento firmado digitalmente para iniciar una sesión SSL cifrada.
- Los datos cifrados se comparten entre el navegador o el servidor y el servidor web.
Este proceso a veces se conoce como «protocolo de enlace SSL». Aunque suena como un proceso largo, se lleva a cabo en milisegundos.
Cuando un sitio web está protegido por un certificado SSL, el acrónimo HTTPS (sigla que significa protocolo seguro de transferencia de hipertexto) aparece en la URL. Sin un certificado SSL, solo aparecerán las letras HTTP, es decir, sin la «S» de «seguro». También se mostrará un icono de un candado en la barra de dirección de URL. Esto indica confianza y brinda tranquilidad a quienes visitan la página web.
Para ver los detalles de un certificado SSL, puedes hacer clic en el símbolo del candado ubicado en la barra del navegador. Los detalles que generalmente se incluyen en los certificados SSL son:
- El nombre de dominio para el que se emitió el certificado
- Para qué persona, organización o dispositivo se emitió
- Qué autoridad de certificación lo emitió
- La firma digital de la autoridad de certificación
- Subdominios asociados
- Fecha de emisión del certificado
- La fecha de vencimiento del certificado
- La clave pública (no se revela la clave privada)
Por qué necesitas un certificado SSL
Los sitios web necesitan certificados SSL para garantizar la seguridad de los datos del usuario, verificar la propiedad del sitio web, evitar que los atacantes creen una versión falsa del sitio y transmitir confianza a los usuarios.
Si un sitio web solicita a los usuarios que inicien sesión, introduzcan sus datos personales, como el número de su tarjeta de crédito o información confidencial, como beneficios de salud o información financiera, es esencial mantener la confidencialidad de los datos. Los certificados SSL ayudan a garantizar la privacidad de las interacciones online y garantizan a los usuarios que el sitio web es auténtico y seguro para compartir información privada.
Lo más relevante para las empresas es el hecho de que necesitan un certificado SSL para tener una dirección web HTTPS. HTTPS es la forma segura de HTTP, lo que significa que las páginas web HTTPS tienen su tráfico cifrado por SSL. La mayoría de los navegadores etiquetan páginas HTTP sin certificados SSL como «no seguros». Esto envía una señal clara a los usuarios de que el sitio puede no ser fiable, lo que incentiva a las empresas que no lo han hecho a migrar su sitio a HTTPS.
Un certificado SSL ayuda a proteger la información como:
- Credenciales de inicio de sesión
- Transacciones con tarjetas de crédito o información de cuentas bancarias
- Información de identificación personal, como nombre completo, dirección, fecha de nacimiento o número de teléfono
- Documentos y contratos legales
- Registros médicos
- Información de propiedad
Tipos de certificado SSL
Existen diferentes tipos de certificados SSL con diferentes niveles de validación. Los seis tipos principales son:
- Certificados de validación extendida (EV SSL)
- Certificados validados por la organización (OV SSL)
- Certificados validados por dominio (DV SSL)
- Certificados SSL comodín
- Certificados SSL multidominio (MDC)
- Certificados de comunicaciones unificadas (UCC)
Certificados de validación extendida (EV SSL)
Este es el tipo de certificado SSL de clasificación superior y más costoso. Se suele utilizar para sitios web de alto perfil que recopilan datos e involucran pagos online. Cuando está instalado, este certificado SSL muestra el candado, la denominación HTTPS, el nombre de la empresa y el país en la barra de direcciones del navegador. Mostrar la información del propietario del sitio web en la barra de direcciones ayuda a distinguir el sitio de los que son maliciosos. Para configurar un certificado SSL de tipo EV, el propietario del sitio web debe pasar por un proceso estandarizado de verificación de la identidad para confirmar que está autorizado legalmente a los derechos exclusivos del dominio.
Certificados validados por la organización (OV SSL)
Esta versión del certificado SSL tiene un nivel de seguridad similar al del certificado EV SSL desde que se obtiene; el propietario del sitio web debe completar un proceso de validación sustancial. Este tipo de certificado también muestra la información del propietario del sitio web en la barra de direcciones para distinguirlo de los sitios maliciosos. Los certificados SSL OV suelen ser la segunda opción más costosa (después de los SSL AC) y su objetivo principal es cifrar la información confidencial del usuario durante las transacciones. Los sitios web comerciales o públicos deben instalar un certificado SSL OV para garantizar la confidencialidad de toda la información compartida por el cliente.
Certificados validados por dominio (DV SSL)
El proceso de validación para obtener este tipo de certificado SSL es mínimo y, como resultado, los certificados SSL de validación de dominio proporcionan una menor seguridad y un cifrado mínimo. Suelen utilizarse en blogs o sitios web informativos, es decir, que no involucran la recopilación de datos ni los pagos online. Este tipo de certificado SSL es uno de los menos costosos y más rápidos de obtener. El proceso de validación solo requiere que los propietarios de los sitios web demuestren la propiedad del dominio respondiendo a un correo electrónico o llamada telefónica. La barra de direcciones del navegador solo muestra HTTPS y un candado que no muestra el nombre de la empresa.
Certificados SSL comodín
Los certificados SSL comodín le permiten asegurar un dominio base y subdominios ilimitados en un solo certificado. Si necesitas asegurar varios subdominios, la compra de un certificado SSL de comodín es mucho menos costosa que comprar certificados SSL individuales para cada uno de ellos. Los certificados SSL comodín tienen un asterisco * como parte del nombre común, donde el asterisco representa cualquier subdominio válido que tiene el mismo dominio base. Por ejemplo, puedes utilizar un solo certificado comodín para el sitio web * que desees asegurar:
- tudominio.com
- tudominio.com
- tudominio.com
- tudominio.com
- tudominio.com
Certificado SSL multidominio (MDC)
Puedes utilizar un certificado de dominio múltiple para proteger varios dominios o nombres de subdominio. Esto incluye la combinación de dominios y subdominios completamente únicos con distintos TLD (dominios de nivel superior), excepto los locales/internos.
Por ejemplo:
- ejemplo.com
- org
- este-dominio.net
- algo.com.au
- ejemplo.com
- ejemplo.org
Los certificados de varios dominios no admiten subdominios de forma predeterminada. Si necesitas asegurar www.ejemplo.com y ejemplo.com con un certificado de dominio múltiple, debes especificar ambos nombres de equipo al obtener el certificado.
Certificado de comunicaciones unificadas (UCC)
Los certificados de comunicaciones unificadas (UCC) también se consideran certificados SSL multidominio. Inicialmente, las UCC se diseñaron para proteger los servidores de Microsoft Exchange y Live Communications. Hoy en día, cualquier propietario de un sitio web puede utilizar estos certificados para proteger varios nombres de dominio en un único certificado. Los certificados UCC están validados a nivel de organización y muestran un candado en el navegador. Los UCC se pueden utilizar como certificados EV SSL para ofrecer a los visitantes del sitio web la mayor seguridad a través de la barra verde de dirección.
Es fundamental estar familiarizado con los diferentes tipos de certificados SSL para obtener el tipo correcto de certificado para el sitio web.
Cómo obtener un certificado SSL
Los certificados SSL se pueden obtener directamente de una autoridad de certificación (CA). Las autoridades de certificados, a veces también conocidas como autoridades de certificación, emiten millones de certificados SSL cada año. Desempeñan un papel fundamental en la forma en que funciona Internet y cómo tienen lugar las interacciones transparentes y de confianza online.
El coste de un certificado SSL puede variar entre gratuito y cientos de euros, en función del nivel de seguridad que requiera. Una vez decidas el tipo de certificado que necesitas, puedes buscar emisores de certificados que ofrezcan los SSL al nivel que necesitas.
La obtención de un SSL implica los siguientes pasos:
- Prepárate configurando el servidor y asegúrate de que el registro WHOIS esté actualizado y que coincida con lo que envías a la autoridad emisora de certificados (debe mostrar el nombre y la dirección correctos de la empresa, etc.)
- Generación de una solicitud de firma de certificado (CSR) en el servidor. Esta es una acción con la que tu empresa de alojamiento puede ayudarte.
- Envío a la autoridad de certificación para validar tu dominio y los detalles de la empresa
- Instalación del certificado proporcionado una vez que finaliza el proceso.
Una vez obtenido, debes configurar el certificado en tu alojamiento web o en tus propios servidores si eres quien aloja la página web.
La rapidez con la que recibas tu certificado dependerá del tipo de certificado que desees obtener y de qué proveedor de certificación lo adquieras. Cada nivel de validación un plazo diferente en completarse. Un certificado SSL de validación de dominio simple se puede emitir en tan solo unos minutos después de la petición, mientras que la validación ampliada puede tardar hasta una semana.
¿Se puede utilizar un certificado SSL en varios servidores?
Es posible utilizar un certificado SSL para varios dominios en el mismo servidor. Según el proveedor, también puedes utilizar un certificado SSL en varios servidores. Esto es consecuencia de los certificados SSL multidominio, que analizamos anteriormente.
Como su nombre lo indica, los certificados SSL multidominio funcionan con varios dominios. El número depende de la autoridad emisora de certificados. Un certificado SSL multidominio es diferente a un certificado SSL de dominio único, que, una vez más, como su nombre indica, está diseñado para proteger un solo dominio.
Aunque sea confuso, es posible que oigas hablar de certificados SSL multidominio, también denominados certificados SAN. SAN significa «Subject Alternative Name» (nombre alternativo de sujeto). Cada certificado multidominio tiene campos adicionales (es decir, SAN) que puede utilizar para enumerar dominios adicionales que desea cubrir con un solo certificado.
Los certificados de comunicaciones unificadas (UCC) y los certificados SSL comodín también permiten dominios múltiples y, en el segundo caso, una cantidad ilimitada de subdominios.
¿Qué sucede cuando un certificado SSL caduca?
Los certificados SSL caducan; no duran para siempre. El Certificate Authority/Browser Forum, que funciona como el organismo regulatorio de facto para el sector, establece que los certificados SSL deben tener una vida útil de no más de 27 meses. Esto supone, básicamente, dos años más que puede ampliar hasta tres meses si renuevas con el tiempo restante en tu certificado SSL anterior.
Los certificados SSL caducan porque, al igual que con cualquier forma de autenticación, la información debe revalidarse periódicamente para verificar que sigue siendo precisa. Todo cambia en Internet, ya que las empresas y las páginas web también se compran y venden. A medida que cambia de dueño, la información relevante para los certificados SSL también cambia. El propósito del período de caducidad es garantizar que la información utilizada para autenticar servidores y organizaciones sea lo más actualizada y precisa posible.
Anteriormente, los certificados SSL podían emitirse hasta hace cinco años, lo que posteriormente se redujo a tres y, más recientemente a dos años con un período adicional opcional de tres meses. En 2020, Google, Apple y Mozilla anunciaron que crearían certificados SSL de un año, a pesar de que esta propuesta fuera rechazada por el Certificate Authority Browser Forum. Esta medida entró en vigor a partir de septiembre de 2020. Es posible que en el futuro, la ampliación de la validez se reduzca aún más.
Cuando un certificado SSL caduca, hace que la página en cuestión sea inalcanzable. Cuando el navegador de un usuario llega a una página web, comprueba la validez del certificado SSL en milisegundos (como parte del protocolo de enlace SSL). Si el certificado SSL ha caducado, los visitantes recibirán un mensaje similar a: «Esta página no es segura. Riesgo potencial».
Si bien los usuarios tienen la opción de continuar, no se recomienda hacerlo, dado los riesgos de ciberseguridad que conlleva, como la posibilidad de quedar afectado por malware. Esto tendrá un impacto significativo en las tasas de devolución para los propietarios de páginas web, ya que los usuarios pueden hacer clic rápidamente en la página de inicio y dirigirse a otra parte.
Mantenerse al tanto de la fecha de vencimiento de los certificados SSL presenta un desafío para las empresas más grandes. Si bien las pequeñas y medianas empresas (PYME) pueden tener uno o unos pocos certificados para administrar organizaciones de nivel empresarial que pueden realizar transacciones entre mercados, con varias páginas web y redes, en el futuro tendrán muchos más. En este nivel, permitir que un certificado SSL caduque suele ser el resultado de un descuido en lugar de la incompetencia. La mejor manera de que las empresas más grandes se mantengan al tanto de cuándo caducan sus certificados SSL es mediante una plataforma de administración de certificados. Existen varios productos en el mercado que puede encontrar mediante una búsqueda online. Permiten a las empresas ver y administrar certificados digitales en toda su infraestructura. Si utilizas una de estas plataformas, es importante iniciar sesión regularmente para estar al tanto de cuándo se deben realizar renovaciones.
Si dejas que caduque un certificado, quedará invalidado y ya no podrás ejecutar transacciones seguras en tu página web. La autoridad de certificación (CA) te pedirá que renueves tu certificado SSL antes de la fecha de vencimiento.
Independientemente de la autoridad de certificados o el servicio SSL que utilices para obtener tus certificados SSL, este te enviará notificaciones de vencimiento a intervalos establecidos, que normalmente comienzan después de 90 días. Trata de asegurarte de que estos recordatorios se envíen a una lista de distribución de correo electrónico, en lugar de a una sola persona, que puede haber dejado la empresa o haberse trasladado a otro puesto en el momento en que se envíe el recordatorio. Piensa en qué partes interesadas de la empresa se encuentran en esta lista de distribución para asegurarte de que las personas correctas vean los recordatorios en el momento adecuado.
Cómo saber si una página tiene un certificado SSL
La manera más fácil de ver si una página tiene un certificado SSL es consultando la barra de direcciones de tu navegador:
- Si la URL comienza con HTTPS en lugar de HTTP, significa que la página está protegida mediante un certificado SSL.
- Las páginas seguras muestran un icono de un candado cerrado, en el que puedes hacer clic para ver los detalles de seguridad; las páginas más fiables tendrán candados verdes o barras de direcciones.
- Los navegadores también muestran señales de advertencia cuando una conexión no es segura, como un candado rojo, un candado no cerrado, una línea que pasa a través de la dirección de la página web o un triángulo de advertencia en la parte superior del icono del candado.
Cómo asegurarte de que tu sesión online sea segura
Envía tus datos personales y detalles de pago online exclusivamente a páginas web con certificados OV o EV. Los certificados DV no son adecuados para páginas web de comercio electrónico. Puedes determinar si una página tiene un certificado OV o EV mirando la barra de direcciones. Para un SSL EV, el nombre de la organización será visible en la misma barra de direcciones. En el caso de un SSL OV, puedes ver los detalles del nombre de la organización haciendo clic en el icono del candado. En el caso de un DV SSL, solo podrás ver el icono del candado.
Lee la política de privacidad de la página web. Esto te permite ver cómo se utilizarán tus datos. Las empresas legítimas serán transparentes acerca de cómo recopilan sus datos y lo que hacen con ellos.
Deberás estar atento a señales o indicadores de confianza en las páginas web.
Además de los certificados SSL, incluyen logotipos o insignias acreditadas que muestran que la página web cumple con estándares de seguridad específicos. Otras señales que pueden ayudarte a determinar si una página es real o son la búsqueda de una dirección física y un número de teléfono, la verificación de su política de devoluciones o reembolsos y la seguridad de que los precios son creíbles y no demasiado buenos para ser reales.
Mantente alerta a las estafas de phishing.
A veces, los atacantes cibernéticos crean sitios web que imitan sitios existentes para engañar a los usuarios para que compren algo o inicien sesión en su sitio de phishing. Es posible que un sitio de phishing obtenga un certificado SSL y, por lo tanto, cifre todo el tráfico entre el equipo y el sitio. Cada vez se producen más estafas de phishing en sitios HTTPS, que engañan a los usuarios que se sienten más confiados por la presencia del icono del candado.
Para evitar este tipo de ataques:
- Siempre deberás revisar el dominio del sitio en el que te encuentras y asegurarte de que esté escrito correctamente. La dirección URL de un sitio falso puede diferir en solo un carácter, como por ejemplo, amaz0n.com en lugar de amazon.com. En caso de duda, escribe el dominio directamente en el navegador para asegurarte de que te estás conectando al sitio web que deseas visitar.
- Nunca introduzcas datos de inicio de sesión, contraseñas, credenciales bancarias ni ningún otro tipo de información personal en el sitio a menos que estés seguro de su autenticidad.
- Siempre deberás tener en cuenta lo que ofrece un sitio en particular, si parece sospechoso y si realmente necesitas registrarte en él.
- Asegúrate de que tus dispositivos estén bien protegidos: Kaspersky Internet Security comprueba las URL comparándolas una amplia base de datos de sitios de phishing y detecta estafas sin importar lo «seguro» que parezca el recurso.
Los riesgos de ciberseguridad continúan evolucionando, pero comprender los tipos de certificados SSL que debe buscar y cómo distinguir un sitio seguro de uno potencialmente peligroso ayudará a los usuarios de Internet a evitar estafas y proteger sus datos personales de los cibercriminales.
Artículos relacionados:
- Consejos para prevenir los ataques de ransomware
- Cómo ejecutar un análisis de virus de la manera adecuada
- ¿Qué es una brecha de seguridad?
- ¿Qué es la privacidad de datos?
Productos relacionados: