¿Qué es un certificado SSL?
Es un archivo que contiene una llave criptográfica capaz de codificar mensajes que pasan a través de una red. Éste se instala en su servidor Web, normalmente Apache o IIS. Así, los navegadores Web reconocen de inmediato que es un certificado válido (emitido por una Autoridad Certificadora (CA) reconocida a nivel mundial) y la comunicación puede ser cifrada.
¿Qué es una autoridad certificadora (CA)?
La explicación más simple es que es un tercero de confianza, es decir, son empresas que se dedican a certificar personas y empresas en internet.
Ampliemos la explicación, normalmente uno accede a productos y servicios en páginas Web de empresas locales que conocemos incluso físicamente, hemos estado en sus oficinas o llevan años operando en nuestra ciudad o país, por lo tanto, somos capaces de ingresar datos, comprar o pagar sin mayores problemas de confianza con esos sitios Web.
Pero ¿Qué pasa cuando debe hacerlo en otra ciudad, país o incluso continente? ¿Cómo saber que esa Web es confiable? ¿Cómo saber que esa Web es de la empresa que dice ser? ¿A quién le podríamos preguntar si podemos confiar en ese sitio Web?
Para esto están las certificadoras que hacen el trabajo de verificación por nosotros y le entregan un Certificado SSL a esas empresas para que lo instalen en su sitio Web y puedan acreditar en Internet quienes son.
¿Para que sirve un certificado SSL?
Tienen 2 funciones:
-
Cifrar el canal entre el navegador Web y el
servidor: La comunicación por defecto en internet no
es encriptada, cuando usted navega por páginas
web lo hace a través de una serie de
servidores de terceros (confiables en
general). Los problemas se generan cuando esos
terceros no son confiables (fueron hackeados o
definitivamente el tercero ya no es de
confianza) y sus datos que no van encriptados
son leídos y almacenados por un
ciberdelincuente. Esto se agrava si esos datos
son usuarios, passwords, números de tarjetas
de crédito, entre otros. Un segundo caso
bastante frecuente es que los usuarios se
conectan desde cualquier Wifi libre, esto
implica nuevamente que alguien pueda leer su
información no encriptada fácilmente.
- Para identificar el sitio Web: como ya explicamos, el certificado SSL es un certificado de un tercero que confirma que ese sitio es de una empresa, para esta autenticación el certificado SSL nos entrega distintos niveles de confianza en esa empresa, dependiendo si el certificado es DV, OV o EV (que explicaremos más adelante).
¿Cómo funciona un certificado SSL?
De la misma manera que bloquea y desbloquea las puertas con una llave, el cifrado hace uso de las llaves para bloquear y desbloquear su información. A menos que tenga la clave correcta, no podrá «abrir» la información.
Cada sesión SSL consta de dos claves:
- La clave pública: la cual se utiliza para cifrar (codificar) la información.
- La clave privada: que se usa para descifrar (decodificar) la información y restaurarla a su formato original para que pueda leerse.
El proceso: cada certificado SSL emitido por una entidad certificadora (CA), se emite para un servidor específico y un dominio de sitio web (ej: www.infraseg.com). Cuando una persona utiliza su navegador para ir a la dirección de un sitio web con un certificado SSL, se produce un protocolo de enlace SSL (saludo o handshake) entre el navegador y el servidor. Se solicita información al servidor, que luego se hace visible para la persona en la ventana de su navegador.
Gráficamente entre el navegador y el servidor se produce esto:
¿Necesito un certificado SSL para mi página Web?
Siempre, ya que como usted no puede controlar de donde acceden sus usuarios debe tenerles un canal seguro con su servidor, aunque ellos se conecten desde redes no seguras usted debe siempre intentar proteger la información que ellos ingresan.
Además, a esos usuarios externos debe darle la confianza que su página es realmente la Web verdadera y no un intento de fraude o suplantación.
¿Qué son los Certificados SSL DV, OV y EV??
La diferencia radica en el nivel de validación que nos ofrece cada uno de ellos, no todos entregan el mismo nivel de profundidad en la validación de quien es la empresa que está detrás de un determinado sitio Web.
- DV (Domain Validation o Validación de Dominio): La certificadora sólo acredita que el solicitante es dueño de ese dominio, este tipo de certificados sólo nos sirve para cifrar ya que el nivel de validación es muy bajo y no entrega mayor información de la empresa que está detrás. Las validaciones que hacen las certificadoras son automáticas y por lo mismo su precio es bajo ya que no hay mayores costos asociados.
- OV (Organization Validation o Validez de la Organización): La certificadora es capaz de validar el dominio y además valida que existe una empresa detrás del mismo. Esto ya nos entrega un nivel de confianza mucho más alto, ya que un tercero verificó que es una empresa real. En vista de que existe un proceso de validación manual por parte de la certificadora (incluyendo un llamado telefónico en muchos casos), el certificado es más costoso.
- EV (Extended Validation o Validación Extendida):para un certificado EV de barra verde, la certificadora confirma que la empresa es dueña del dominio, que existe una empresa detrás de ese dominio, que la empresa es real y que conoce a 2 personas que trabajan dentro de esa empresa. Con este nivel de conocimiento la certificadora tiene la confianza para emitir un certificado EV o barra verde que le permite a la empresa acceder al máximo nivel de confianza en Internet. Los navegadores reconocen este status y activan una barra verde que indica el nombre de la empresa o la razón social de la organización acreedora de ese dominio.
Ejemplo:
Chrome
Internet Explorer
En general este certificado es el recomendado para todos los sitios Web, pero debido a todo el proceso extenso de validación que hay detrás, el costo es mayor y a veces prohibitivo para empresas que están empezando. Como en general los usuarios comunes entienden poco o nada de un certificado SSL el certificado de barra verde les da una confianza visual distinta, ya que están acostumbrados que al entrar a las páginas de los bancos o sitios e-commerce, aparece esta barra verde y se sienten seguros. En resumen, los certificados EV son el estándar más alto actual en confianza en Internet.
¿Qué tipo de Certificados SSL comprar?¿ DV, OV y EV?
Esta respuesta depende principalmente de su presupuesto, ya que según lo que hemos aprendido, el certificado recomendado para cualquier página Web es un certificado EV.
Si usted posee un presupuesto acotado debe analizar la estructura de su sitio, por ejemplo, si usted tiene “www.misitio.com” sin subdominios, puede instalar un certificado SSL DV, OV o EV de la marca que más se ajuste a su presupuesto. En cambio, si tiene muchos subdominios, por ejemplo:
- www.misitio.com (notar que el www es un subdominio del dominio misitio.com)
- portal.misitio.com
- correo.misitio.com
- intranet.misitio.com
- extranet.misitio.com
- ftp.misitio.com
En este caso si compra certificados EV u OV de manera individual el costo será alto, ya que deberá comprar 6 certificados. En este tipo de estructura con un presupuesto acotado debería usar un sólo certificado Wildcard, los cuales cubren *.sitio.com. Los certificados Wildcard pueden ser DV u OV (si necesitamos la barra verde deberíamos escoger un certificado SSL Multidominio)
Los certificados Multidominio que en general se usan cuando tenemos a lo más 1 dominio con 4 subdominios y queremos barra verde en todos ellos. Este certificado SSL es muy usado para cubrir la estructura de Exchange, por ejemplo:
- autodiscover.misitio.com
- correo.misitio.com
- owa.misitio.com
- www.misitio.com
¿Qué marca de Certificados SSL elegir?
Infraseg como empresa de seguridad es agnóstica a las marcas, por supuesto representamos las que nos dan más confianza y que por nuestra experiencia han sido más robustas y poseen la mejor relación precio calidad para nuestros clientes. Si deseas conocer el ranking de las certificadores mas grandes a nivel mundial lo encuentras acá: https://w3techs.com/technologies/history_overview/ssl_certificate/ms/q
Al ser agnósticos podemos ofrecer certificados Digicert(con todas sus submarcas incluidas Geotrust, Thawte y RapidSSL), Sectigo o Globalsign.