Uno de los componentes más esenciales para cualquier operación o transacción segura en la web es el certificado SSL, muchos se preguntan: ¿Qué es un certificado SSL? ¿Para sirve un certificado SSL?. En este articulo explicare todo acerca de los certificados de seguridad SSL.
¿Qué es un certificado SSL?
El certificado SSL (Secure Sockets Layer) es un estándar de seguridad global que autentifica la identidad de una página web y permite la transferencia de datos cifrados con tecnología SSL entre el navegador y el servidor. Este componente es utilizado por millones de paginas web a fin de disminuir el riesgo de robo de datos.
Los certificados SSL garantizan la manipulación de información confidencial (como: datos de tarjetas de crédito o débito, nombres de usuario, contraseñas, correos electrónicos, etc.) . permitiendo que dos partes tengan una interacción privada.
¿Para sirve un certificado SSL?
Para establecer esta conexión segura, se instala en el servidor web un certificado SSL que cumple específicamente dos funciones:
- Autenticar la identidad del sitio web, al hacerlo, crear fiabilidad y confianza a quien visita el sitio web.
- Ofrecer protección de los datos enviados en su sitio web mediante el uso de encriptacion.
Para elegir el que más se ajusta a tus necesidades deberás decidir el tipo de validación del certificado: Domain, Business o Extended, tu presupuesto (cuanto más caro es un certificado SSL, mayores sus características y más confianza ofrecerá). Además, otro de los factores es el tipo de SSL que vas a contratar, pues existen certificados SSL para un único dominio, para subdominios o incluso para múltiples dominios y subdominios.
¿Qué tipos de certificados SSL existen?
Ahora que ya sabemos la importancia de tener un certificado de seguridad para la pagina web; sin embargo, es posible que tengas dudas al decidir cuál es el producto ideal a la hora de contratar. Existen varios tipos de certificados SSL. Aunque hay diversos expedidores que utilizan diferentes mecanismos de verificación, estos factores no son los criterios decisivos. Los certificados SSL se diferencian más bien por el grado de exhaustividad de la revisión del solicitante y por la amplitud del alcance del certificado.
Existen tres tipos de validación, los cuales se diferencian en cuanto al tiempo de procesamiento y los costes derivados. Mientras que los certificados SSL de la categoría domain validation pueden obtenerse gratis, los particulares y las empresas de menor envergadura pueden hacer frente a los costes de una extended validation.
Domain validation (DV)
La validación de dominio o domain validation en inglés constituye el tipo de certificado SSL más sencillo. La validación de las personas encargadas de la página web se realiza de forma superficial. A menudo, el organismo de autenticación envía un correo electrónico a la dirección de email especificada en el sistema WHOIS. Al solicitante se le pide, por ejemplo, que modifique una entrada DNS o que suba un archivo determinado al servidor para señalizar el control del dominio.
El proceso de validación puede realizarse de forma completamente automatizada, de ahí que muchos consideren que no es seguro. Algunos navegadores marcan los certificados SSL DV por separado para hacer referencia a unos estándares de seguridad que, en comparación con otros certificados, son más bajos. En este tipo de certificados no se ofrece información sobre los titulares de las páginas web.
El proyecto Let’s Encrypt, soportado por Mozilla, Cisco y Google, entre otros, ofrece certificados SSL DV gratis. El objetivo del proyecto es persuadir a todos los gestores de páginas web para que utilicen el cifrado. Aproximadamente el 80 % de los certificados de Internet proceden de Let’s Encrypt.
Organization validation (OV)
Los certificados SSL OV están un nivel por encima de anterior en lo que a seguridad se refiere. En el marco de la validación, el organismo verificador solicita documentación de los propietarios de las páginas web, normalmente una vez se haya completado automáticamente la validación de dominio. Los documentos necesarios solicitados dependen de la organización certificadora, a menudo se trata de un extracto del Registro Mercantil. Algunos organismos de autenticación también contactan por teléfono con los administradores. Los certificados SSL OV ofrecen más seguridad a los usuarios, ya que se monitorea más de cerca a los responsables de las páginas web y además tienen la ventaja de que hacen que dicha información sea más visible al usuario en el propio certificado.
Extended validation (EV)
Los certificados SSL ofrecidos bajo la etiqueta de extended validation (validación ampliada) conforman el nivel de seguridad más elevado. En este tipo de certificados se validan el dominio y la organización vinculada a este, así como el solicitante. Asimismo, también se controla si dicho solicitante trabaja realmente para la organización o empresa especificadas y si está autorizado para pedir tal certificado. Por otro lado, el organismo certificador debe estar capacitado para realizar la extended validation. Dicha autorización se obtiene superando un control en el CA/Browser Forum, una asociación voluntaria de organismos de certificación y de fabricantes de navegadores.
Single name
Un certificado normal solo es válido para un único dominio. Esto significa que www.example.com y todas las subpáginas asociadas están protegidas por el certificado SSL, pero no los subdominios. Para protegerlos, debe solicitarse un nuevo certificado o adquirir un certificado wildcard.
Wildcard
Estos certificados se llaman así porque trabajan con una wildcard (comodín en español). En lugar de comprender, por ejemplo, únicamente www.example.com, estos certificados SSL también son válidos para todos los subdominios, es decir, para mail.example.com o blog.example.com. Se expiden con la forma *.example.com y el asterisco simboliza la wildcard.
Multi domain
Los certificados multidominio (también llamados certificados SAN) van más allá del alcance de los certificados single name o wildcard. Así, muchos organismos certificadores ofrecen certificados a sus clientes que abarcan hasta 100 dominios. Con ello, los solicitantes pueden protegerse con un único certificado, ya sea www.example.com o www.example.org.
Esto es posible mediante una extensión Subject Alternative Name (SAN), es decir, un campo adicional en el certificado que contiene el resto de dominios.
¿Cómo se identifica un certificado SSL?
Es muy fácil identificar si está visitándo una página web protegida con SSL con tan solo echar un vistazo a la barra de direcciones. Esta cuenta con dos elementos que indican si está o no cifrada: por un lado, el símbolo del candado y por el otro el https://. Esta «s» adicional proviene de «secure» que indica a los usuarios que se ha añadido un nivel de cifrado SSL/TLS al protocolo de transferencia de hipertexto (HTTP). En la pila de protocolos TCP/IP también se añade una capa de cifrado adicional, es decir, entre TCP y HTTP.
El icono del candado (generalmente verde) es una señal que la página web visitada tiene un certificado válido. Así mismo, es un botón que ofrece información adicional sobre la seguridad de la página web. Al pulsar en él se abre una ventana emergente con datos sobre el expedidor del certificado, cifrado utilizado y validez.
Si la página web cuenta con un certificado SSL EV válido, los navegadores muestran el nombre del gestor de la página web al lado del símbolo del candado verde. Así, el navegador indica al usuario que la página web es muy segura.
Si la página visitada no tiene un certificado SSL válido, no se verá ni un candado verde ni https:// en la barra de direcciones. Algunos navegadores advierten cuando los usuarios intentan transmitir en este tipo de páginas datos sensibles advirtiendo que pueden ser interceptados.
¿Cuánto cuesta un certificado SSL?
Cuando contrate un certificado SSL es conveniente tener en cuenta su alcance, por ejemplo: este también da cobertura a subdominios.
Certificados SSL Comodo
Mostramos una tabla comparativa con los certificados SSL que ofrece Comodo. Comodo una de las marcas conocidas y económicas, te ofrece un nivel de seguridad similar al resto de marcas certificadoras.
| Nombre del certificado | Validación | Precio/año |
|---|---|---|
| Comodo Positive SSL | Dominio | US$ 20,00 |
| Comodo Comodo SSL | Dominio | US$ 59,00 |
| Comodo Wildcard SSL | Extended | US$ 99,00 |
| Comodo EV SSL | Organización | US$ 119,00 |
Comodo ofrecen a particulares, pequeñas y medianas empresas, tiendas online y grandes corporaciones la herramienta perfecta para ofrecer confianza a sus clientes. Encuentra toda la información en www.comodo.com
Ahora que ya sabemos ¿Qué es un certificado SSL?, tal vez quieras saber ¿como instalar un certificado? en un plan de hosting o hosting VPS según sea el caso.
Cualquier consultas y/o comentario estaré atento para responder a los mismos.
