¿Qué es un certificado SSL?

¿Qué es un certificado SSL?

La Capa de Conexión Segura (Secure Sockets Layer), comúnmente conocida como SSL, es un estándar de seguridad para encriptar la comunicación entre un servidor web y el navegador web del cliente. Aunque el término todavía se utiliza en el lenguaje común, el protocolo SSL ha sido sustituido por el protocolo TLS, que significa Transport Layer Security.

Cualquier sitio web con una dirección web HTTPS utiliza el protocolo SSL/TLS. Cada vez que el navegador web ve un certificado SSL válido, muestra un icono de un candado verde junto a la dirección. Esto es una señal visual para el usuario de escritorio de que toda la comunicación entre su navegador y el servidor web se está llevando a cabo a través de un canal cifrado.

Toda la información que se envía por Internet pasa por varias computadoras intermediarias antes de llegar al servidor web de destino. Esto significa que cualquiera de estas computadoras intermediarias puede acceder a los datos transmitidos, que pueden incluir información como nombres de usuario y contraseñas, y otra información sensible. Los certificados SSL mitigan este riesgo asegurando que toda la información enviada a través de la Internet está cifrada de tal manera que sólo el destinatario previsto puede acceder a ella.

De hecho, ciertos sitios web, como los portales bancarios y de pagos, están obligados por ley a adoptar ciertas medidas antes de poder solicitar a los usuarios información delicada. Uno de esos requisitos es utilizar certificados SSL debidamente validados.

Incluso si no está pidiendo a los usuarios información confidencial, vale la pena utilizar un certificado SSL. En 2014, Google anunció que en su apuesta por hacer la web más segura, el motor de búsqueda había empezado a usar HTTPS como señal de clasificación. Esto significa que los sitios que utilizan un certificado SSL válido se consideran mejores y obtienen una mayor clasificación en los resultados de búsqueda, lo que hace que un certificado SSL sea efectivamente una herramienta de SEO básica pero esencial.

Técnicamente hablando, un certificado SSL es un archivo de datos en el servidor web que contiene varias piezas de información. El aspecto más crucial del certificado es la clave pública del sitio web.

Esto va acompañado del nombre de dominio para el que se emitió el certificado y de detalles sobre la persona o la organización a la que se emitió. El certificado también contiene detalles sobre la autoridad que lo emitió junto con su firma digital. Otros detalles importantes son la fecha de emisión del certificado, la duración de su validez, junto con la fecha de expiración del certificado.

La clave pública (y su correspondiente clave privada) son esencialmente largas cadenas de caracteres que ayudan a cifrar y descifrar los datos que se transmiten. Es importante señalar que los datos cifrados con la clave pública sólo pueden descifrarse con la clave privada.

Cuando un navegador de Internet intenta comunicarse con el servidor, invocará el certificado para verificar la identidad del servidor y luego obtendrá su clave pública. Luego lo usa para crear un canal encriptado entre él y el servidor web. Todos los datos transmitidos a través de este canal sólo pueden ser descifrados por el servidor web que tiene la clave privada.

Los certificados SSL son emitidos por una autoridad de certificación (CA) de confianza. Los navegadores web, los sistemas operativos y hoy en día incluso los dispositivos móviles mantienen una lista de certificados raíz de CA de confianza.

Un certificado raíz es muy valioso, ya que cualquier certificado SSL firmado con su clave privada será automáticamente confiado por los navegadores web. Por el contrario, si la CA no es de confianza, el navegador presentará mensajes de error no confiables al usuario final.

Empresas como DigiCert, IdenTrust, GlobalSign y Let's Encrypt son conocidas como Autoridades de Certificación de confianza. Los navegadores web y los desarrolladores de sistemas operativos como Microsoft, Mozilla, Google, Opera, etc., confían en estas CAs y por extensión en cualquiera de los certificados SSL firmados por sus claves privadas.

Hay algunos tipos diferentes de certificados SSL que pueden clasificarse ampliamente en tres categorías.

Los certificados validados por dominio (DV) son los certificados de nivel inicial que abarcan el cifrado básico y la verificación de la propiedad de los registros de registro de nombres de dominio. Este tipo de certificado es el más barato y puede ser emitido en pocos minutos.

A continuación se encuentran los certificados validados por la Organización (VO) que, además de la codificación y verificación básicas, también autentican detalles sobre el propietario, como su nombre y dirección. Teniendo en cuenta la verificación manual que conlleva, se tardará entre unas horas y varios días en obtener un certificado VO.

Por último, están los certificados de Validación Extendida (EV) que son los más confiables ya que también verifican la existencia física y operativa del propietario del sitio web. Siguen un estricto conjunto de directrices para el proceso de verificación, que puede llevar varias semanas.

Además, todos los tipos de certificado SSL también tienen dos variaciones. Hay un único certificado de dominio que asegura un nombre de dominio completamente calificado. Es más barato que un certificado comodín que protege varios subdominios.

De nuevo, técnicamente hablando, cualquiera puede crear su propio certificado SSL generando un par de claves públicas y privadas. Estos certificados se denominan certificados autofirmados porque la firma digital utilizada no es de una tercera CA, sino de la propia clave privada del sitio web.

Aunque son más convenientes y pueden generarse instantáneamente, dado que no hay verificación de terceros, los navegadores web no consideran fiables los certificados autofirmados. Por eso, aunque la comunicación esté encriptada, los navegadores web seguirán marcando el sitio web como "no seguro". La mayoría de los navegadores web, como mínimo, se asegurarán de que entienda que el sitio web utiliza un certificado autofirmado, antes de mostrar el contenido del sitio web.

Gracias a su papel en el ranking de los motores de búsqueda, es una buena idea que todo el mundo se consiga un certificado SSL.

El primer paso es determinar qué tipo de certificado necesita, dependiendo en gran medida del número de dominios y subdominios que necesite asegurar. El proceso es mucho más crucial para las empresas de sectores regulados como el bancario, que necesitan asegurarse de que su certificado SSL cumple los requisitos definidos.

Existen varios proveedores de certificados SSL y, dependiendo del tipo de certificado y de la reputación y confianza de la autoridad de certificación emisora, los costes de los certificados SSL pueden variar desde unos pocos dólares hasta varios cientos de dólares al año.

Sin embargo, hoy en día también puedes conseguir uno gratis, gracias al Let's Encrypt CA. Fue fundada por la EFF, Mozilla y la Universidad de Michigan, con Cisco y Akamai como patrocinadores fundadores.

Let's Encrypt es una organización sin fines de lucro que ha estado entregando certificados SSL sin costo alguno desde abril de 2016. Sus certificados son válidos por 90 días, y pueden ser renovados en cualquier momento durante este período de validez. Según la propia investigación de Let's Encrypt, sus certificados han sido adoptados en gran medida por usuarios preocupados por los costes, entre los que se incluyen sitios más pequeños, como blogs personales, y pequeñas empresas.