¿Qué es un certificado SSL?
Un certificado SSL es un certificado digital que permite la comunicación segura entre un sitio web y sus visitantes. Se utiliza para cifrar los datos intercambiados entre el sitio web y el navegador del usuario, protegiéndolos así de accesos no autorizados. SSL son las siglas de Secure Sockets Layer.
Un certificado SSL es un certificado digital expedido por las autoridades de certificación (CA) a los sitios web, que autentifica su identidad y permite una conexión segura entre las páginas web y los navegadores web. Los certificados SSL inspiran confianza en Internet porque muestran a los internautas que el tráfico entre su navegador y un sitio web está cifrado.
Esta conexión segura se indica mediante el icono de un candado en la barra de direcciones del navegador y el protocolo "https" en la URL del sitio web. Los certificados SSL son esenciales para las transacciones en línea, como las compras de comercio electrónico, ya que garantizan que la información sensible, como los datos de la tarjeta de crédito, se transmita de forma segura. Sin embargo, existe el peligro de que los certificados SSL creen una falsa sensación de seguridad, ya que los sitios web maliciosos también pueden obtener certificados SSL. Por ejemplo, ha habido un aumento de sitios web de phishing a los que se han concedido certificados de dominio validado (DV) de autoridades que no moderan qué sitios obtienen certificados. Además, los certificados SSL no pueden proteger a los sitios web de ataques maliciosos como la inyección SQL o el malware.
¿Cómo funciona un certificado SSL?
Un certificado SSL utiliza algoritmos de cifrado para encriptar los datos intercambiados entre un navegador y un sitio web.
Cuando los datos están cifrados, es casi imposible que un agente de amenazas pueda leerlos. Ejemplos de datos son contraseñas, nombres e información financiera.
A continuación se explica en cinco pasos cómo funciona un certificado SSL:
- Un navegador intenta conectarse a un sitio web con un certificado SSL.
- El servidor del sitio web envía una copia de su certificado SSL al navegador para su validación. La clave pública del sitio web en el certificado ayudará a cifrar los datos durante la sesión.
- El navegador valida el certificado para asegurarse de que es auténtico, no ha sido revocado y no ha caducado. Tras la validación, el navegador utiliza la clave pública del servidor para crear una clave simétrica cifrada y la envía al servidor.
- El servidor utiliza su clave privada para descifrar la clave de sesión simétrica. Indica que está listo para iniciar una sesión de cifrado devolviendo un acuse de recibo cifrado con la clave de sesión.
- El navegador y el sitio web establecen ahora una conexión segura y cifrada con la clave de sesión.
Todo el proceso se denomina también "handshake SSL" y es casi instantáneo. Después de que el certificado SSL asegure la conexión:
- Aparece un icono de candado en la barra de direcciones del navegador justo antes de laURL.
- La URL va precedida de las siglas HTTPS (HyperText Transfer Protocol Secure).
¿Qué incluyen los certificados SSL?
-
Nombre de dominio: El nombre o nombres de dominio para los que es válido el certificado SSL.
-
Detalles de la emisión: El dispositivo o la persona a la que se emitió el certificado SSL y la autoridad de certificación que lo emitió.
-
Firma digital: La firma digital que verifica la autenticidad del certificado.
-
Fechas: La fecha de emisión y caducidad del certificado.
-
Clave pública: Un certificado SSL incluye una clave pública, mientras que la clave privada se mantiene en privado.
¿Para qué sirve un certificado SSL?
Un certificado SSL se utiliza para crear una conexión segura entre un navegador y un sitio web. El certificado ayuda a proteger cualquier intercambio de datos entre un dispositivo y el servidor de un sitio web. Además de cifrar las conexiones, los certificados SSL ayudan a proteger la seguridad de los usuarios del sitio web. Por otra parte, un certificado SSL ayuda a desarrollar la confianza en un sitio web.
¿Por qué necesito un certificado SSL para mi sitio web?
Un certificado SSL nunca debe considerarse la única herramienta para la ciberseguridad de un sitio web. No obstante, necesita un certificado SSL para su sitio web por las siguientes razones:
-
Protección de datos: Un cifrado SSL ayuda a proteger de los ciberdelincuentes los datos intercambiados entre su sitio web y sus visitantes. No solo es bueno para el negocio, sino que puede ayudar a tu plataforma online a cumplir las leyes de privacidad.
-
Confianza: El usuario medio de Internet se sentirá más confiado al navegar por su sitio web, sabiendo que el signo del candado y las siglas HTTPS significan una conexión segura.
-
SEO: Los sitios web con certificados SSL se posicionan mejor en los motores de búsqueda, ya que se perciben como seguros. De hecho, algunos navegadores incluso marcan los sitios web http y advierten a los usuarios de que no los visiten, ya que no son seguros.
Tipos de certificados SSL
Su sitio web puede obtener varios tipos diferentes de certificados SSL. Cada certificado tiene sus propios puntos fuertes, procesos de verificación y costes.
Certificados de dominio validado (DV)
Los certificados DV suelen ser más económicos que los certificados SSL EV u OV. Aunque suelen ser los menos caros, sólo proporcionan una verificación básica. Los certificados DV suelen ser utilizados por sitios web de bajo riesgo, como tablones de anuncios o páginas de blogs.
Certificados con Extended Validation (EV)
Un certificado de validación ampliada implica el nivel más alto de validación y suele ser el tipo de certificado SSL más caro. Los sitios web de renombre que ofrecen compras en línea o comercio electrónico suelen utilizar este tipo de certificado. Además del signo del candado, un certificado SSL con EV muestra el nombre y el país de una organización en la barra de direcciones.
Certificados validados por la organización (OV)
Al igual que los certificados EV, los certificados OV proporcionan un mayor nivel de validación en comparación con los certificados SSL DV. Los certificados OV también muestran la información del propietario de un sitio web en la barra de direcciones.
Certificados SSL comodín
Un certificado SSL comodín protege un dominio principal y un número ilimitado de subdominios en un solo certificado. Las empresas con varios subdominios bajo un mismo dominio suelen obtener este tipo de certificado para reducir costes.
Certificados SSL multidominio
Los certificados SSL multidominio van un paso más allá que los certificados SSL comodín. Permiten que un solo certificado proteja muchos dominios y subdominios. Estos tipos de certificados son los mejores para organizaciones con varios sitios web.
Adquisición de un certificado SSL: Cómo comprar un certificado SSL
Empiece por investigar diferentes certificados SSL y elija el que se adapte a sus necesidades. Por ejemplo, si tiene un único dominio con muchos subdominios, es posible que necesite un certificado SSL Wildcard. Alternativamente, puede conformarse con un certificado DV para su página personal.
Después de elegir su tipo de certificado, compre su certificado consultando una lista de Autoridades de Certificación (CA). Los certificados de las Autoridades de Certificación varían en precio. Mientras que algunos son gratuitos, otros pueden costar cientos o incluso miles de dólares.
Prepare su servidor para asegurarse de que su registro WHOIS coincide con su solicitud a su CA. A continuación, tendrá que generar una solicitud de firma de certificado (CSR). Su CSR llevará sus datos y su clave pública. Después de enviar su CSR a su CA, es posible que tenga que proporcionar otra documentación, como la prueba de propiedad de su dominio.
Después de recibir los archivos de certificado, puede instalar su SSL. El proceso depende de su tipo de servidor. Póngase en contacto con su proveedor de sitios web para obtener ayuda si la necesita. Después, tendrás que configurar tu sitio web para que utilice HTTPS. Puedes utilizar un comprobador de SSL para asegurarte de que tu certificado es auténtico y está instalado correctamente.
Renovar un certificado SSL: Cómo renovar un certificado SSL
Los certificados SSL tienen fecha de caducidad. Planifique con antelación la renovación de su SSL para asegurarse de que llega a tiempo. Si retrasa la renovación, su sitio web puede perder el sello de confianza.
El proceso de renovación de un certificado SSL es similar a la compra de uno nuevo. Tendrá que generar una nueva CSR y enviarla a su CA. También tendrás que instalar los archivos actualizados del certificado SSL en tu servidor como antes y asegurarte de que tu certificado está correctamente instalado con un comprobador SSL.
Precios de los certificados SSL: ¿Cuánto cuesta un certificado SSL?
Los precios de los certificados SSL varían considerablemente. Mientras que algunos certificados SSL pueden obtenerse gratuitamente, los certificados SSL de nivel empresarial pueden costar miles de dólares al año. El coste de un certificado SSL depende del número de dominios y subdominios, el tipo de certificado, el nivel de seguridad y la reputación de la autoridad de certificación.
TLS vs Certificado SSL: Diferencia entre TLS y SSL
Aunque SSL (Secure Sockets Layer) y TSL (Transport Layer Security) son protocolos criptográficos, TLS es la versión actualizada. TLS se considera más seguro y moderno, con un mejor protocolo de enlace TLS. TLS también es compatible con versiones anteriores y puede conectarse a un servidor SSL.
Los términos "SSL" y "TLS" suelen utilizarse indistintamente en Internet, aunque el segundo es un sustituto del primero. Muchos emisores de certificados incluso se refieren a sus certificados TLS como certificados SSL.
Cómo comprobar si un sitio tiene un certificado SSL
https://
Compruebe si la dirección del sitio web empieza por las siglas "HTTPS". HTTPS es la abreviatura de Hyper-Text Transfer Protocol Secure.
Icono de candado
Un sitio web con un certificado SSL debe tener un candado en la barra de direcciones. Puede hacer clic en el candado para obtener más información sobre la autoridad emisora del certificado SSL, la fecha de caducidad y el propietario del sitio web.
Barra de direcciones verde
La barra de direcciones verde era un indicador SSL para sitios web con certificados SSL con EV. Sin embargo, los principales desarrolladores de navegadores, como Apple y Google, la consideran ya obsoleta.
Herramientas
Algunos sitios web y extensiones de navegador pueden verificar si un sitio web tiene un certificado SSL válido. Por ejemplo, puede introducir la URL de un sitio web en SSL Shopper'sSSLChecker para conocer su certificación.
¿Qué es un error de certificado SSL?
Un error de certificado SSL puede ocurrir cuando hay un problema con el certificado de un sitio web. Un error de certificado SSL puede ocurrir por múltiples razones. Mientras que algunos errores pueden deberse a razones inocuas, otros pueden deberse a factores maliciosos. Lo mejor es proceder con cautela al abrir un sitio web que presenta un error de certificado SSL.
Certificado SSL caducado
Como ya se ha mencionado, los certificados SSL tienen fecha de caducidad. A veces, los propietarios de sitios web pueden olvidarse de renovar su certificado SSL. Un certificado SSL caducado hará que su navegador muestre un mensaje de error.
Certificado SSL no fiable
Todos los navegadores pueden acceder a una lista de proveedores de certificados SSL de confianza. Su navegador puede indicarle que el certificado SSL de un sitio web no es de confianza si la autoridad emisora del sitio web no está en la lista o es sospechosa. Por ejemplo, puede aparecer un error si el certificado se ha autofirmado u obtenido de un emisor fraudulento.
SSL mal configurado
Tras obtener un certificado SSL, el propietario de un sitio web debe instalarlo y configurarlo correctamente. Un certificado SSL mal configurado puede provocar un error en el sitio web.
Nombre incorrecto
Los certificados SSL se emiten para dominios y subdominios específicos. Un desajuste en los registros obligará al navegador a mostrar un mensaje de error.
Certificado SSL revocado
Los emisores de certificados SSL pueden revocar un certificado antes de su fecha de caducidad si su clave privada se ha visto comprometida o si se cierra el dominio. Un sitio web también puede solicitar la revocación de su certificado. Independientemente de por qué se haya revocado el certificado SSL, se producirá un error.
¿Son gratuitos los certificados SSL?
Aunque no todos los certificados SSL son gratuitos, algunos sí lo son. Los certificados SSL gratuitos suelen ser certificados de dominio validado (DV). Son los mejores para páginas personales o pequeñas empresas. Los sitios web más grandes deberían obtener certificados de pago que ofrecen mayor seguridad y más funciones que los certificados SSL DV.
¿Se puede piratear un sitio web sin SSL?
Un certificado SSL sólo protege la conexión entre un usuario y un sitio web. Un sitio web con o sin certificación SSL puede ser pirateado de varias maneras. Los actores de amenazas pueden explotar vulnerabilidades de seguridad, credenciales de inicio de sesión débiles, codificación deficiente, software obsoleto y otros medios para piratear un sitio web.
Las técnicas de pirateo de sitios web incluyen:
-
Inyección SQL.
-
Secuencias de comandos en sitios cruzados (XSS).
-
Ataques de fuerza bruta como esteataque DDoS que bate récords.
-
Caídas de malware.
-
Expediciones de phishing a empleados de sitios web.
¿Cuánto duran los certificados SSL?
Hubo un tiempo en que los certificados SSL podían emitirse con un periodo de caducidad de cinco años. Sin embargo, este periodo de tiempo se ha ajustado varias veces. Desde finales de 2020, un certificado SSL no puede emitirse por más de 13 meses.
¿Significa un certificado SSL que un sitio web es seguro?
Aunque un certificado SSL significa que su conexión a un sitio web es segura, no significa necesariamente que el sitio web sea seguro de usar. Por ejemplo, los sitios web maliciosos también pueden obtener algunos tipos de certificados SSL, como los certificados DV.
Aunque los sitios web de phishing pueden llevar certificaciones DV, están diseñados para robar información confidencial como nombres, direcciones, contraseñas e información de tarjetas de crédito. Los sitios web de phishing pueden parecer legítimos, pero pueden tener errores gramaticales, gráficos de baja calidad, un diseño deficiente u ofertas que parecen demasiado buenas para ser ciertas.
Además, los actores de amenazas pueden piratear sitios web legítimos con certificados SSL utilizando diferentes herramientas y exploits.
He aquí algunos pasos que pueden ayudarle a comprobar la seguridad de un sitio web:
-
UtiliceMalwarebytes Browser Guard para bloquear páginas web que contengan malware, estafas y otros contenidos maliciosos.
-
Suscríbase a un servicio de red privada virtual (VPN) para cifrar sus datos y ocultar sudirección IP. Descubre cómofunciona una VPN para cifrar tus datos y ocultar tu ubicación.
-
Asegúrese de que la URL del sitio web está correctamente escrita. Un sitio web de phishing con un certificado SSL básico que suplante la identidad de Walmart.com puede tener una dirección muy similar que sólo varíe en uno o dos caracteres. Por ejemplo, en lugar de Walmart.com, puede decir Walmert.com o Walmrat.com.
-
Busque el símbolo del candado y las siglas HTTPS en la barra de direcciones para asegurarse de que dispone de un certificado SSL. Como mínimo, un sitio web con certificado SSL ofrece una conexión cifrada.
-
Haga clic en el candado de la barra de direcciones del navegador para verificar la identidad del propietario del sitio web y compruebe la autoridad del certificado y la fecha de caducidad.
-
Investigue la reputación del sitio web con un comprobador de seguridad de sitios web.
Un sitio web pirateado o de phishing también puede infectar su sistema con malware. Obtén protección antimalware para asegurarte de que tus ordenadores y dispositivos están libres de software malicioso. Siga estos consejos de seguridad en Internet para aumentar la seguridad de su navegador.