Certificado SSL: ¿Qué son y para qué sirven?

por | May 14, 2021

Descubre la importancia de los certificados SSL y la seguridad en Internet.

En los últimos años los usuarios de Internet han aprendido a valorar cada vez más la seguridad en la web, sobre todo en el momento de hacer una compra o cualquier transacción que involucre datos personales; por eso el día de hoy existen diferentes medidas de seguridad que puedes implementar en tu sitio o página web para que tus visitantes se sientan más confiados navegando y comprando en ella.

En este post hablaremos precisamente de las medidas de seguridad más longevas y mejor valoradas actualmente, nos referimos al certificado SSL.

¿Qué son los certificados SSL?

El certificado SSL es el causante de que aparezca un candado verde a la izquierda de la dirección de una página web, también es el causante de las leyendas de “esta página web no es segura”, con esto seguramente ya te suena más familiar, pero aún queda por resolver la pregunta ¿qué es un certificado SSL?

El certificado SSL o Secure Sockets Layer es un título que identifica la autenticidad de tu sitio web, además cifra la información que se envía al servidor, para que los hackers no puedan leerla.

En pocas palabras tiene dos objetivos: otorgar una autentificación de identidad y cifrar la información que viajará entre tu página y un servidor. Con respecto al primer objetivo lo que hace es otorgar una especie de “documento de identidad” electrónica que establece las credenciales de una entidad en línea al hacer negocios, así cuando un usuario de Internet envía la información de credenciales a un servidor web, el navegador del usuario accede al certificado digital y puede establecer una conexión segura.

La información que contiene este certificado y que revisa el navegador es: nombre del titular del certificado, el número de serie del certificado y la fecha de vencimiento, una copia de clave pública del titular del certificado y la firma digital de la autoridad de certificación que lo ha emitido.

¿Cómo funcionan los certificados SSL?

Como ya lo hemos mencionado, estos certificados garantizan que todos los datos que circulan en un sentido y otro, es decir la información entre el cliente y el servidor, esté cifrada. Este cifrado se logra mediante un algoritmo simétrico como DES o RC4; este algoritmo utiliza la clave pública contenida en el certificado digital del servidor. A grandes rasgos el protocolo funciona en los siguientes 5 pasos:

  • El cliente envía una petición de sesión segura.
  • El servidor envía un certificado que contiene la clave pública del servidor.
  • El cliente autentica el certificado con una lista de autoridades de certificación.
  • El cliente genera una clave simétrica aleatoria y la cifra utilizando la clave pública del servidor.
  • En este momento el cliente y el servidor conocen la clave simétrica y cifran el usuario final utilizando la clave mientras dura la sesión.

De esta forma toda la información que pase de tu página al servidor viaja encriptada, así si es interceptada por un hacker este no la podrá leer, porque solo tu página y el servidor tienen la clave que la puede descifrar.

¿Cómo obtener un certificado SSL?

Estos certificados solo son otorgados por una empresa o servicios de autoridad acreditado para esto, llamadas Autoridades de Certificación (CA). Algunas de las más famosas e importantes son GoDaddy, GlobalSign, Symantec, DigiCert, StartCom, Entrust y Trustwave.

Los precios varían bastante entre empresa y empresa y también entre los 3 tipos de SSL que te pueden otorgar, pero en promedio el costo oscila entre los 50 dólares y los 1,500 dólares.

Los tipos de SSL que te puede ofrecer un proveedor son:

  • Domain SSL. Son certificados más baratos, se expiden muy rápido y se validan electrónicamente. La mayoría de los sitios web tienen este tipo de certificados.
  • Organization SSL. Son un poco más complicados que los anteriores, y suelen tardar un poco más en el proceso de validación pues solo se otorgan a organizaciones identificadas adecuadamente.
  • Extended SSL. Son los certificados más caros, con una validación mucho más profunda. Son el tipo de certificados que usan sitios como Twitter, Mozilla, Facebook.

Como ves esta clasificación depende del precio y la velocidad de validación, pero al final todos ofrecen el mismo nivel de seguridad.

El primer paso para adquirir este certificado es enviar a la CA la solicitud de Firma de Certificado, que vamos a obtener de nuestro propio servidor mediante un OpenSSL, mediante la extensión CSR. Luego tendremos que verificar nuestra identidad, aquí va a depender de los métodos de la Autoridad de certificación quien te hará una llamada o te enviará un correo para comprobar tu identidad.

Al final obtendremos el certificado, para subirlo a nuestro servidor, por último, debemos modificar el archivo de configuración para aceptar peticiones mediante el puerto 443 (HTTPS).

Opciones gratuitas

En la actualidad hay varios proyectos para otorgar certificados SSL totalmente gratuitos a las webs o blogs que no pueden pagar por uno, estos proyectos buscan hacer del Internet un lugar mucho más seguro.

Una de estas opciones es con CloudFlare, es posible porque el sitio funciona como un firewall entre el sitio web original y el navegador del usuario. También, existen las opciones Let’s Encrypt  y CFSSL, pero para usarlas hay que tener conocimientos técnicos muy avanzados.

¿Por qué son necesarios?

Seguramente te estás preguntando si realmente necesitas este tipo de certificados en tu página web, aunque no sea una tienda en línea, la respuesta a esta pregunta es un rotundo sí, por dos sencillas razones: confianza y posicionamiento.

En otras ocasiones ya hemos hablado de la importancia de tener un sitio web confiable y hoy lo volvemos a reiterar: un sitio seguro es un sitio confiable que te ayuda a aumentar el porcentaje de conversión y en general te hace quedar mejor frente a tu competencia, porque el cliente se siente seguro y siente protegidos sus datos.

Por otro lado, en últimas fechas Google ha tomado la certificación SSL como un punto clave para el posicionamiento de una página  en los resultados de búsqueda, con lo que al estar certificado garantiza que aparezcas sobre otras páginas que no lo están. De hecho, desde 2017 ha empezado a sancionar las páginas que no estén certificadas con este protocolo con una advertencia de no segura, cuando se abren desde su navegador Google Chrome.

Certificado SSL/TLS

Cabe aclarar que en la actualidad los certificados SSL están estrechamente relacionados con otro tipo de seguridad, la Seguridad de la Capa de Transporte o TLS por su acrónimo, que no es otra cosa más que la versión más actualizada del protocolo SSL original, de hecho lo más seguro es que al contratar un certificado SSL en realidad estarás contratando un certificado TLS, pero por convencionalismo se le sigue llamando de esta manera o como SSL/TLS, pero no te preocupes porque los certificados no dependen realmente del protocolo específico en su nombre.

HTTPS y SSL

Seguramente ahora que estás interesado en instalar un certificado, también te habrás topado con las siglas HTTPS en relación con SSL y no entiendes muy bien la relación entre ambas.

Las siglas HTTPS son derivadas de las siglas HTTP acrónimo de Hypertext Transfer Protocol, son protocolos que establecen cómo se transfiere la información alrededor del Internet, básicamente es el protocolo que especifica la comunicación de datos en internet. Cuando se agrega la letra “S” estamos convirtiendo este protocolo a un protocolo seguro de transferencia de hipertexto, a través de TLS.

Esperamos que este post te sirva para entender mejor cómo funciona un certificado SSL y por qué es tan importante. Recuerda que si tu página aún no cuenta con uno es importante que lo instales cuanto antes, no solo para obtener los beneficios de esta capa de seguridad, sino para evitar las sanciones impuestas por Google, a través de Google Chrome.

Pero cuéntanos, como usuario de Internet ¿alguna vez has abandonado una página porque tenía la leyenda de “página no segura”?

¡No te quedes atrás!

El siguiente paso es registrar tu dominio .MX