Cuando visitas un sitio web y ves un candado cerrado junto a la dirección, significa que ese sitio tiene un certificado SSL porque mantiene seguras las conexiones a Internet. Si haces clic en el candado, aparecerá un mensaje que dice: “la conexión a este sitio es segura”.
En un sitio web protegido, que tiene un certificado SSL, la URL comienza con HTTPS (que significa HyperText Transfer Protocol Secure, protocolo de transferencia de hipertexto seguro). La S adicional evidencia que los datos que se transmiten del navegador al servidor del sitio web están protegidos y por lo tanto es un sitio web confiable.
En otras palabras, el certificado SSL es una medida de seguridad básica que permite a los visitantes saber que es seguro navegar en un sitio web y garantiza que hay una conexión cifrada que protege las comunicaciones mientras navegan.
Por otra parte, los sitios web con certificados SSL tienen mejor posicionamiento en los motores de búsqueda, siendo más probable que aparezcan entre los primeros resultados. Google tiene en cuenta este elemento de seguridad al clasificar los sitios en las SERPs (Serch Engine Results Page).
¿Qué es el SSL?
Secure Sockets Layer (SSL) es una tecnología de seguridad estándar que establece una conexión cifrada entre un servidor web y un navegador, para garantizar la privacidad, la autenticación y la integridad de los datos. Al cifrar los datos que se transmiten por Internet, cualquiera que intente interceptar estos datos solo podrá ver caracteres codificados en desorden y difíciles de descifrar.
Con el tiempo, SSL ha evolucionado para ser cada vez más segura, en 1999 se actualizó para convertirse en Transport Layer Security (TLS). Tanto el término SSL como el TLS se usan, algunas personas todavía usan SSL para referirse al TLS, mientras que otras utilizan el término “cifrado SSL/TLS”.
El SSL solo puede ser implementado por sitios web que tengan un certificado SSL/TLS.
¿Cuáles son las ventajas de que tu sitio web tenga un certificado SSL/TLS?
Actualmente los certificados SSL son beneficiosos para cualquier empresa o persona que quiera inspirar confianza a los visitantes de su sitio web.
Así mismo, los sitios web necesitan certificados SSL para mantener la seguridad de los datos de sus usuarios, verificar la propiedad y tener mejor posicionamiento en los motores de búsqueda.
Seguridad. La encriptación de tráfico con SSL garantiza la privacidad de los datos de tus usuarios.
Confianza. Mostrar el candado en la barra de direcciones del navegador, aumenta la confianza de tus visitantes.
Optimización de la clasificación en las búsquedas. Los motores de búsqueda dan prioridad a los sitios web que tienen certificados SSL/TLS.
Rendimiento. Una tecnología SSL/TLS moderna puede mejorar el tiempo de carga de tu página web.
¿Cómo funciona SSL/TLS?
- Un navegador o servidor intenta conectarse a un sitio web protegido mediante certificados SSL/TLS.
- El navegador o servidor solicita que el servidor web se identifique.
- En respuesta, el servidor web envía al navegador o servidor una copia de su certificado SSL.
- El navegador o servidor evalúa si el certificado SSL es confiable. En caso positivo, envía una señal al servidor web.
- A continuación, el servidor web devuelve un reconocimiento firmado digitalmente para iniciar una sesión cifrada mediante SSL.
- Los datos cifrados se comparten entre el navegador o servidor y el servidor web.
¿Qué es un certificado SSL?
Un certificado SSL (Secure Sockets Layer) es un certificado digital que prueba que tu sitio web establece una conexión segura con tus visitantes.
Uno de los datos más importantes del certificado SSL es la clave pública del sitio web, dado que posibilita la encriptación y la autenticación. El dispositivo del usuario ve la clave pública y la utiliza para establecer claves de cifrado seguras con el servidor web. Mientras tanto, el servidor web también tiene una clave privada que se mantiene en secreto; la clave privada descifra los datos cifrados con la clave pública.
Los certificados SSL son almacenados y mostrados en la web por el servidor de un sitio web o de una aplicación.
¿Qué tipos de certificados SSL hay?
Existen diferentes tipos de certificados SSL:
Los certificados SSL multidominio o SAN (Subject Alternative Name) pueden aplicarse a varios dominios de un propietario. Cada vez que se agrega un nuevo dominio, se debe solicitar la reemisión del certificado SSL para autenticarlo.
El certificado SSL comodín se aplica a un solo dominio. Sin embargo, tiene flexibilidad para incluir subdominios de ese dominio. Por ejemplo: tienda.eiso.com.co
El certificado SSL se aplica a un solo dominio, por ejemplo: https://eiso.com.co/
Los certificados SSL también tienen diferentes niveles de validación. El nivel de validación es una revisión de antecedentes y cambia dependiendo de la profundidad de la revisión.
Validación extendida (EV): antes de emitir el certificado SSL/TLS se requiere hacer una investigación completa de los antecedentes de la empresa y del sitio web para verificar que sean legítimos. Ofrece el mayor nivel de confianza.
Validación de la organización (OV). Requiere menos verificación que un EV, pero garantiza la legitimidad de la empresa y la propiedad del dominio.
Validación del dominio (DV). Es el nivel de validación menos estricto. Lo único que debe hacerse es probar que el dominio es propio.
¿Cómo obtener un certificado SSL para tu sitio web?
Es importante seleccionar el certificado y el proveedor adecuados para tener el certificado e instalación correctos.
Existen entidades que certifican que el propietario del sitio es quien dice ser. Estas entidades llamadas “Certificate Authority” o “Autoridad de Certificación” son las encargadas de emitir y firmar los certificados para los sitios web que lo requieran. Generalmente tiene un costo que dependerá del nivel de seguridad que se necesite.
Una vez emitido el certificado, es necesario instalarlo en el servidor web donde está alojado el sitio, para iniciar sesiones seguras con los usuarios que navegan el sitio. Una vez que una conexión segura se establece, los intercambios de información entre el servidor web y el navegador del usuario serán seguras.
Cuando un certificado está correctamente instalado en el servidor, el protocolo de aplicación http cambiará a HTTPS, donde la ‘S’ se refiere a “seguro”. También se mostrará un candado en el navegador, indicando que la conexión es segura.
Los certificados SSL tienen una vigencia establecida de no más de 27 meses. La información se debe validar periódicamente para verificar que esté actualizada y sea precisa. Si el certificado caduca, este se invalidará, no se podrán hacer transacciones seguras en tu sitio web y tus visitantes recibirán un mensaje: “Este sitio no es seguro. Existe un riesgo potencial”.
La autoridad de certificación (AC) te pedirá renovar tu certificado SSL antes de la fecha de caducidad.
Hoy, la probabilidad de sufrir un ciberataque es muy alta. Sin embargo, tener un certificado SSL/TLS instalado en tu servidor reduce el riesgo, ayuda a garantizar la privacidad de las interacciones y la autenticidad de tu sitio web, genera confianza en tus clientes y además, es uno de los criterios para que tu sitio web aparezca en los primeros resultados de búsqueda.
Si ya decidiste tener un sitio web o estás pensando en renovar el que tienes, no olvides gestionar tu certificado SSL/TLS.
EISO, estrategia e innovación en soluciones web