Muchas personas no tienen idea de qué es SSL. Sin embargo, es un certificado de gran importancia para la seguridad de nuestros datos en internet. Gracias a él, es posible establecer conexiones seguras con los sitios web que visitamos.
Sin saberlo, ya has tenido algunas experiencias con este tipo de credenciales. Los sitios web empresariales se aseguran de que las veas cuando accedes a ellos. Es una señal que indica autenticidad y que inspira confianza en los clientes.
Debido a su importancia, aquí te contaremos qué es el certificado SSL, por qué es necesario y cómo reconocerlo.
¿Qué es un certificado SSL?
El término SSL viene de las siglas de Secure Sockets Layer. Este es un protocolo de seguridad que utiliza la criptografía asimétrica. De esa manera, se establecen conexiones seguras entre tu navegador y el servidor del sitio web que deseas visitar. Así, si algún hacker intenta interceptar la transmisión de información, no encontrará ningún dato útil. Solo verá una gran cantidad de caracteres aleatorios.
Un certificado seguro de SSL se le otorga a un sitio web cuando emplea dicho protocolo. Esta credencial es una señal de que el portal es auténtico y de que pertenece a la empresa que indica. Además, les garantiza a los usuarios que la conexión es segura. Por ello, las páginas que pretendan solicitar datos personales o de pago, deben contar con la certificación.
¿Cómo funciona un certificado SSL?
Un certificado SSL funciona mediante el uso de algoritmos y claves criptográficas que protegen la información. A todo el proceso de comunicación que ocurre entre el navegador y el servidor se le llama “Enlace SSL”. Este comienza cuando se accede a una dirección con HTTPS. A partir de allí, el procedimiento es el siguiente:
- Tu navegador hace una petición al servidor que aloja al sitio web protegido con SSL.
- El servidor le enviará a tu navegador su certificado de seguridad SSL junto con la versión del protocolo.
- Tu navegador recibe el certificado y verifica su autenticidad y vigencia. En caso de que todo esté en orden, se le envía una confirmación al servidor.
- El servidor enviará un reconocimiento con su firma digital y la clave criptográfica que se utilizará. En este punto, la conexión segura mediante el cifrado SSL queda establecida.
- Finalmente, el navegador y el servidor web pueden intercambiar información.
¿Por qué es necesaria la seguridad SSL?
El intercambio de datos es una actividad muy común en internet. Es algo cotidiano iniciar sesión con tus credenciales en alguna cuenta de red social. Al igual que las compras en línea con tarjeta de crédito son muyfrecuentes.
Se puede deducir que existen muchas razones de seguridad y comerciales para utilizar el cifrado SSL. Algunos de ellas son:
- Los certificados de SSL indican a los usuarios que el sitio web es autentico. Así, aumenta la confianza y la probabilidad de que los clientes hagan compras a través de una página.
- Sin un certificado de SSL, es poco probable que puedas realizar transacciones mediante tarjetas de crédito en un sitio web. Con frecuencia, las empresas emisoras solicitan que tu página sea segura para permitir la recopilación de los datos.
- Sin la seguridad SSL, los usuarios no podrán saber si tu sitio web es fiable. Como consecuencia, podrían acceder a portales creados por terceros y ser víctimas de estafas. Aunque esto no sea culpa de la empresa, afectará seriamente su imagen.
- En la actualidad, Google y otros grandes motores de búsqueda priorizan a las URLs con HTTPS. Por lo tanto, si un sitio web no posee la certificación SSL, no aparecerá entre los primeros resultados.
¿Cómo puedo saber si un sitio está protegido por SSL?
Un certificado de SSL puede funcionar como una señal que inspire confianza en los visitantes de una página. Juega un papel determinante en la toma de decisiones de los usuarios, ya sea realizar una compra o llenar un formulario. Por ello, es lógico pensar que cualquier sitio web querrá asegurarse de que su credencial es visible.
El primer paso para asegurarte de que un portal está protegido mediante SSL es chequear su dirección URL. Si el sitio web tiene el certificado vigente, el enlace deberá comenzar con “https://”. En caso contrario, observarás “http://” al inicio.
Otra clara señal, y un poco más visible, la podrás encontrar al lado izquierdo de los certificados HTTPS. Allí, verás que aparece un icono en forma de candado cerrado y de color verde. Este símbolo indica que las conexiones son cifradas y seguras.
Existen certificados SSL con mejor grado de seguridad y validación que otros. En caso de que el sitio web utilice uno de los que tenga mayor rango, se presentará un indicativo adicional. Así, podrás observar al lado del candado, el nombre de la empresa que es dueña del portal. También verás la abreviatura del país donde se encuentra la compañía. Toda esta información estará encerrada en un recuadro de color verde muy visible.
Identifica los sitios no seguros
Hay ciertas señales que indican que un sitio web no está protegido mediante el protocolo SSL. La más común es un candado de color rojo en la barra de direcciones. Otro indicativo es que la dirección URL comienza con “https://” atravesado por una línea en medio.
En algunas ocasiones podrías recibir un mensaje en tu navegar que diga «este sitio web no puede proporcionar una conexión segura».
Tipos de certificado SSL
El primer grupo de estas credenciales se clasifica según el grado de validación. Para este caso, tenemos los siguientes ejemplos de certificados SSL:
- Certificado de validación de dominios: estos requieren el proceso de verificación menos riguroso. Ofrecen un menor grado de protección y un cifrado no muy avanzado. Por dichas razones, este tipo no es adecuado para páginas donde se recopilará información confidencial.
- Certificado de validación de organizaciones: este tipo requiere que la compañía demuestre que está registrada de forma legal. Por ello, es la certificación mínima que necesita un sitio web que pretenda recopilar información personal o de pago. A partir de esta credencial podrás observar el nombre del propietario al lado de “https://” en la dirección URL.
- Certificado de validación extendida: esta es la certificaron de mayor nivel y es la más costosa de tramitar. Para obtenerla, la empresa debe demostrar que está registra legalmente. Además, tiene la obligación de comprobar que su actividad ha sido respetable desde sus inicios.
El segundo grupo clasifica a la credenciales según la cantidad de dominios que permita validar. Así, podemos encontrar los siguientes ejemplos de certificados SSL:
- Certificado de un solo dominio: este tipo permite certificar un sitio web independiente. Es el más económico, pero, si te interesa validar varios portales no es conveniente.
- Certificado comodín: este tipo de certificación funciona de forma similar a la anterior. La diferencia es que permite validar los subdominios correspondientes al sitio web base.
- Certificado de varios dominios: las certificaciones anteriores solo permitían validar un sitio web independiente. Este tipo de certificación te permite garantizar la legitimidad de múltiples páginas que no están relacionadas entre sí. Además, puedes incluir los subdominios correspondientes.
¿Cómo obtener un certificado SSL?
El proceso para comprar certificado SSL variará un poco según lo que necesites y la autoridad emisora que elijas. Sin embargo, el procedimiento general es el mismo y es el siguiente:
- Elije una autoridad emisora de certificación según tus necesidades.
- Actualiza la información de tus servidores en el directorio WHOIS. Los datos que aparezcan allí deben ser los mismos que enviarás a la autoridad de certificación.
- Genera una petición de firma de certificado mediante el servidor que deseas certificar.
- La solicitud generada en el paso anterior, junto a la información de tu empresa, deberás enviarla a la autoridad de certificación.
- Configura el certificado que recibirás en el servidor correspondiente. En caso de que uses una empresa de hosting, puedes hacer la configuración a través de su sitio web.
¿Los certificados SSL caducan?
Los certificados de SSL caducan luego de un cierto plazo de tiempo. En ese caso los propietarios de los sitios web se ven en la obligación de revalidar la autenticación. Esto se hace con el fin de mantener la información de los portales lo más actualizada posible. Así, las autoridades estarán al tanto de los cambios relevantes que puedan ocurrir en la página de la empresa.
Antiguamente, un certificado de SSL emitido podía estar vigente durante 5 años. Hoy en día, el organismo regulador encargado establece que la credencial solo será válida por 27 meses. Sin embargo, tienes la opción de revalidar el certificado de SSL antes de que se venza el plazo. En ese caso, puedes sumarle hasta 3 meses de la credencial anterior a la nueva.
Es muy sencillo comprobar cuando se está accediendo a un sitio web cuyo certificado de SSL ha expirado. En este caso, antes de acceder, el navegador te mostrará una página que te advierte sobre la situación. Pero, si lo deseas, puedes ignorar la advertencia y entrar al portal bajo tu propio riesgo.
Sin embargo, no es recomendable ignorar los mensajes de advertencia. Si el certificado expiró, quiere decir que el protocolo SSL/TLS ya no está activo en el sitio web. Eso implica que las conexiones ya no estarán cifradas de extremo a extremo. Por ello, la información que proporciones podría ser interceptada por un hacker.
Relación entre SSL, TLS y HTTPS
Si entiendes lo que es SSL, sabrás qué es TLS: las siglas de Transport Layer Security. En realidad, se trata de una versión actualizada de SSL. El cambio de nombre se debe a que una nueva empresa se hace cargo del proyecto. Pero, a grandes rasgos, no hay una diferencia marcada, más allá de unas cuantas mejoras de seguridad.
Ahora, ¿qué significa HTTPS? Las siglas HTTPS significan Hypertext Transfer Protocol Secure. Lo cual, se traduce al español como Protocolo Seguro de Transferencia de Hipertexto. Este es el encargado de permitir las transferencias de información de forma segura entre un cliente y un servidor.
En realidad, el protocolo HTTPS no existe formalmente. Este simplemente consiste en usar HTTP y utilizar SSL como una capa de protección que cifre el texto plano.
La presencia de HTTPS:// en la dirección URL indica que los datos se transmiten mediante un túnel cifrado. Para lograrlo, el protocolo utiliza los protocolos TLS/SSL, los cuales se encargan de encriptar la información. Así, el texto plano se convierte en una serie de caracteres que serán indescifrables sin la clave correcta.
SSL vs TLS
Lógicamente, si se comparan ambos certificados, ganará TLS. Es el más actualizado y, de hecho, es el único que se maneja en el mercado hoy en día. Principalmente, porque utiliza un mejor cifrado y es compatible con una gran cantidad de sistemas operativos.
Ahora, a pesar de estar obsoleto, muchos proveedores aún utilizan el certificado SSL. Pero, debes saber que, en realidad, lo que usas es el protocolo TLS. Para evitar confusiones, es frecuente que las empresas especifiquen ambos nombres al mismo tiempo.
Las VPN SSL
Una VPN SSL es una red privada virtual que utiliza TLS como protocolo de seguridad. Esta crea una conexión de área local entre el ordenador del cliente y el servidor de la empresa. Así, todos los datos se transmiten a través de un túnel cifrado y seguro.
Este programa basado en SSL permite que sus usuarios accedan a contenido que no se encuentra en su localidad. Para ello, ocultan la dirección IP del cliente y hacen parecer que está conectado desde la red local.
Con frecuencia, las empresas u organizaciones les proporcionan una VPN SSL a sus trabajadores o clientes. Esto se ha implementado, sobre todo, debido a la creciente popularidad del trabajo remoto. Así, estas personas pueden acceder a los recursos internos de la compañía.
La diferencia primordial entre una red virtual privada con SSL y una convencional son los niveles a los que trabajan. La primera funciona mediante navegadores web. En cambio, la segunda opción trabaja según el sistema operativo donde se instale.
Beneficios de las VPN SSL
- Las VPN SSL se puede configurar para proporcionar túneles de acceso específicos a ciertos fragmentos de una red. De esta manera, los usuarios que se conecten solo accederán al contenido para el cual tengan permiso.
- Con frecuencia, las VPN SSL pueden utilizar la función de túneles divididos. Se podrían configurar para acceder a ciertos sitios mediante un túnel privado. Pero, en cambio, se accederá de forma normal a las aplicaciones que lo requieran, como las plataformas de banca móvil.
- El proceso de instalación de una red virtual privada con SSL es más sencillo que el de una convencional. Sobre todo, porque no requerirá de la descarga de software adicional ni paquetes de configuración.
- Utilizar la aplicación con SSL elimina los problemas de compatibilidad. Esto se debe a que para utilizarla solo se requiere un navegador que esté actualizado.
Desventajas de las VPN SSL
- Puede ocurrir que el ordenador del usuario esté infectado con algún tipo de malware. El programa malicioso puede utilizar el túnel privado para introducirse dentro de la red privada de la empresa.
- Un atacante puede acceder al dispositivo del usuario. Esto solo podría ocurrir si utiliza túneles divididos y el hacker accede mediante una ruta no protegida. Una vez allí, tiene la opción de propagarse a la red privada de la empresa.
- Se corre un riesgo significativo al utilizar una VPN SSL en un computador que sea de acceso público. En esos casos, las credenciales de usuario podrían ser registradas y utilizadas posteriormente por otra persona. Si esto pasa, el intruso podrá acceder a la red de toda la organización.
- Las VPN SSL están basadas en el protocolo de seguridad TLS. Aunque es muy seguro, no tiene la robustez de OpenVPN.
VPN SSL vs VPN Ipsec
En cuanto a facilidad de uso, una VPN SSL es superior. Su instalación y configuración es muy sencilla. Además, solo requiere de un navegador actualizado. Por su parte, instalar y usar el protocolo IPsec puede ser llegar a ser más complejo.
Además, una VPN basada en IPsec le daría al usuario acceso a toda la red empresarial. Lo cual podría exponer algunos datos de carácter privado. Por su parte, la aplicación con SSL/TLS se puede configurar para crear túneles que enruten al cliente hacia contenidos específicos.
Sin embargo, las VPNs que funcionan con IPsec tienen una ventaja con respecto a las que usan SSL/TLS. La primera opción proporciona una mayor seguridad y grado de personalización que la segunda. Además, protegerá todas las aplicaciones del dispositivo.
Las VPN más seguras para proteger tus datos y conexiones en internet
En resumen
Aunque muchos proveedores han mantenido el nombre, en la actualidad, el protocolo SSL ha sido sustituido por TLS. Ambos cumplen la misma función: cifrar la información que intercambian un navegador y el sitio web al que se desea acceder. Por esta razón, se ha convertido en un requisito para cualquier página que quiera solicitar datos personales a sus usuarios.
Cuando un sitio web utiliza el protocolo de seguridad SSL, se le concede el certificado correspondiente. El mismo simboliza la autenticidad y privacidad que proporciona la página. Por ello, los propietarios se encargan de que certificación sea visible para los usuarios. Si hay una página en la que no puedas verla, es recomendable que no accedas.
Otra excelente manera de aprovechar el protocolo es como una herramienta que provea acceso remoto de forma segura. Así, una VPN con SSL será ideal para que los empelados a distancia accedan a la red empresarial.