Un certificado de capa de sockets seguros (SSL), también conocido como certificado de clave pública, es un archivo criptográfico instalado en su servidor web que ayuda a establecer una comunicación en línea segura y cifrada. Los certificados SSL tienen dos finalidades principales:
Cuando el navegador de un visitante se conecta a su sitio web mediante SSL, el intercambio de información se encripta y resulta indescifrable para los delincuentes informáticos que intenten realizar una interceptación.
Un certificado SSL adquirido a una autoridad de certificación de renombre proporciona autenticación y confianza. Esto significa que sus visitantes pueden estar seguros de que han llegado al sitio web correcto y saber que la información personal que comparten está protegida.
Cuando un visitante intenta conectarse a su sitio web a través de Internet, ambas partes —cliente y servidor— validan la identidad de cada uno mediante una serie de pasos antes de establecer la conexión y compartir la información. Este proceso se denomina "negociación SSL". También es durante este proceso cuando se genera una clave de sesión, que proporciona un cifrado simétrico de la sesión específica después de que ambas partes se hayan autenticado correctamente.
A continuación se muestra la secuencia de pasos que tienen lugar en segundo plano durante una negociación SSL:
El cliente envía al servidor una solicitud para establecer una conexión, incluyendo una lista de sus conjuntos de cifrado y versiones SSL/TLS compatibles.
El servidor recibe la solicitud, comprueba los conjuntos de cifrado y las versiones SSL, y elige de la lista un conjunto de cifrado y una versión SSL mutuamente compatibles. El servidor también envía su certificado junto con la clave pública.
El cliente recibe el certificado, extrae la clave pública y crea una nueva clave llamada "clave pre-maestro" y la envía al servidor.
El servidor descifra la clave pre-maestro utilizando su clave privada.
Tanto el servidor como el cliente utilizan ahora la clave pre-maestro y calculan un secreto compartido denominado clave de sesión (clave de cifrado simétrica).
El cliente envía al servidor un mensaje de prueba cifrado con la clave de sesión.
El servidor recibe el mensaje, lo descifra utilizando la clave de sesión y envía una confirmación al cliente, también cifrada con la clave de sesión, solicitando el inicio de la sesión.
La sesión comienza, y tanto el cliente como el servidor utilizan la clave de sesión para cifrar su comunicación durante el resto de la sesión.
Un certificado SSL permite a los usuarios confiar en su sitio web y en la información proporcionada en la página. Hace saber a los usuarios que el sitio web está cifrado de extremo a extremo y que cualquier información personal se conservará de forma segura. Además, los certificados SSL protegen los datos durante el tránsito y evitan que los intermediarios manipulen y hagan una interceptación en el sitio web.
Los certificados SSL suelen estar firmados y emitidos por terceras entidades de confianza denominadas autoridades de certificación (CA) para que los navegadores confíen en la legitimidad de su sitio web. Una vez que haya instalado un certificado SSL en su servidor web, su sitio web utilizará el protocolo HTTPS para proteger todas las comunicaciones con sus visitantes. Siga leyendo para saber cómo puede establecer SSL en su sitio web y las ventajas que un sitio activado con HTTPS puede tener para su imagen de marca.
Para empezar, debe investigar qué tipo de certificado se adaptará mejor a su aplicación web. He aquí algunos criterios importantes que deberá tener en cuenta:
Nivel de confianza: Las autoridades de certificación comerciales ofrecen tres tipos de certificados, cada uno de los cuales implica un nivel diferente de verificación de su organización:
Este tipo de certificado protege y cifra un nombre de dominio concreto validando la legitimidad del propietario del dominio.
Este tipo de certificado se genera después de que las CA de confianza examinen a la organización que solicita el certificado, por lo que proporciona un mayor nivel de credibilidad de marca para los usuarios finales que un certificado validado por dominio.
Este tipo de certificado ofrece el máximo nivel de seguridad e implica una verificación rigurosa de la organización que lo solicita. La verificación se realiza de acuerdo con las normas establecidas por el Foro CA/Browser. Tener un SSL con EV en su sitio web activa la barra de direcciones y muestra el nombre de su organización en el omnibox del navegador. Los certificados EV suelen ser utilizados por los principales minoristas y bancos en línea, así como por organizaciones que pretenden generar confianza inmediata con sus usuarios finales.
Número de dominios: En función del número de dominios que desee proteger con un certificado SSL, puede clasificar los certificados en los tres tipos siguientes:
Estos certificados permiten a los usuarios proteger un nombre de dominio completo mediante un único certificado. Por ejemplo, un único certificado de dominio para el nombre de dominio www.yourdomain.com protegerá todas las páginas web de www.yourdomain.com/. Este tipo de certificado es ideal para pequeñas y medianas empresas que gestionan un número limitado de páginas web en su sitio.
Los certificados multidominio, también denominados certificados SAN, utilizan Nombres Alternativos de Sujeto (SAN) para proteger hasta 100 nombres de dominio, subdominios o IP públicas distintos con un único certificado. Otra ventaja notable de estos certificados es que no requieren direcciones IP dedicadas para los nombres de host y pueden instalarse en una única dirección IP.
Estos certificados pueden proteger un número ilimitado de subdominios de un dominio de nivel superior (TLD), y son una gran opción para las organizaciones que gestionan varias páginas en el mismo dominio. Aunque este tipo de certificado es altamente efectivo para reducir costos y facilitar la gestión, una gran desventaja es que la revocación del certificado en un subdominio lo revocará también en todos los demás subdominios.
Aparte de estos dos criterios principales, también debe tener en cuenta la velocidad de emisión, el precio, el servicio de atención al cliente y otros factores a la hora de elegir un certificado SSL para el sitio web de su organización.
Una vez que haya elegido el tipo de certificado adecuado para su aplicación web, tiene que generar una solicitud de certificado a una CA de terceros e implementar el certificado en su servidor web correspondiente. Esto se hace generando y enviando una Solicitud de Firma de Certificado (CSR) a la CA. Una vez que la CA valide su dominio, generará el certificado.
Por otro lado, también puede configurar una CA interna dentro de su red, como la Microsoft Certificate Authority, y solicitar e implementar certificados en los servidores de su red. Sin embargo, este método es más adecuado para aplicaciones web internas y no para sitios web de cara al público, ya que los navegadores comerciales no confían en los certificados autofirmados.
Generar una CSR es el primer paso para solicitar un certificado SSL a una CA de terceros. Normalmente generada en el mismo servidor en el que se instala el certificado, la CSR es un archivo criptográfico que contiene detalles sobre su organización y nombre de dominio, así como una clave pública. Las CSR suelen estar firmadas con su clave privada.
Una vez que haya enviado la CSR a una CA de terceros, la CA comenzará a validar su dominio. El proceso de validación depende del tipo de certificado que haya solicitado y del organismo emisor. Por ejemplo, si ha solicitado un SSL DV, el proceso de validación es bastante sencillo; la CA puede verificar el correo electrónico de su organización o comprobar la información del registrador web. Por otro lado, el procedimiento de validación de los SSL OV y EV es más riguroso e implica una comprobación de los antecedentes de la identidad de su organización.
Una vez completado el proceso de validación, la CA emite el certificado que usted instala en sus servidores finales. El proceso de instalación es diferente según el tipo de servidor. Tras la instalación, reinicie el servidor para que el certificado surta efecto.
También debe analizar sus certificados SSL después de la implementación para asegurarse de que no existan vulnerabilidades de configuración y de que la confianza que proporcionan esté intacta.
Todo el proceso de establecer SSL, desde la generación de CSR hasta la implementación en servidores de endpoints, puede realizarse manualmente. Sin embargo, a medida que crece el número de certificados, resulta desalentador para los administradores de TI agilizar el proceso y mantenerlo libre de errores. Los profesionales de la seguridad recomiendan encarecidamente a las empresas que adopten un enfoque centralizado para gestionar el ciclo de vida de los certificados con el fin de evitar el riesgo de caducidad inesperada y el uso indebido de privilegios.
SSL, sin duda, constituye la única base de la seguridad de los sitios web. Dicho esto, también hay otras muchas ventajas que su organización puede obtener al establecer SSL en sus sitios web.
Google anunció HTTPS como una señal de posicionamiento en 2014 y, desde entonces, los sitios con protección HTTPS han disfrutado de un impulso en el posicionamiento del motor de búsqueda sobre los sitios HTTP.
Dado que los sitios HTTPS se posicionan mejor en los resultados de los motores de búsqueda, es probable que produzcan mejores tasas de conversión que los sitios protegidos con HTTP.
Como indicador de seguridad, los motores de búsqueda muestran el icono del candado ( ) en el omnibox de su navegador para los sitios HTTPS, lo que ayuda a los visitantes a saber que están en un sitio de confianza.
Aparte de marcar los sitios HTTPS como más seguros, los motores de búsqueda también lanzan advertencias de seguridad para los sitios HTTP, lo que puede mermar mucho la credibilidad de una marca.
Entonces, ¿qué está esperando? Haga el cambio a HTTPS si aún no lo ha hecho y centralice la gestión del ciclo de vida del certificado SSL de inmediato.
SSL es la versión más antigua del protocolo de cifrado que gestiona de forma segura el acceso a los sitios web y protege los datos durante el tránsito. Sin embargo, la seguridad de la capa de transporte (TLS) adopta un enfoque más gradual de la seguridad de los sitios web. La negociación cliente-servidor se produce con procesos más integrados y automatizados, por lo que es más rápido y fiable que SSL. Las organizaciones han pasado de los protocolos de autenticación SSL a TLS, lo que da una idea clara de la necesidad de avances significativos en la gestión de las interacciones en línea y el intercambio de información crítica.
Cuando los certificados SSL caducan, suponen una amenaza para la información sensible disponible en una página web. El túnel cifrado ya no está disponible para las interacciones seguras cliente-servidor y esto da paso a posibles exploits. Esto afecta a la seguridad y reputación de la organización y a la información crítica que contiene.
La implementación de una herramienta de gestión de certificados permite notificar rápidamente a los clientes la caducidad de los certificados, lo que da margen para renovarlos a tiempo. ManageEngine Key Manager Plus es una solución integral de gestión de certificados que le ayuda a gestionar los certificados y las acciones que giran en torno a ellos.
Teniendo en cuenta que la seguridad del usuario es uno de los principales requisitos para acceder a los sitios web, es importante saber si el sitio web cuenta con certificación SSL. La URL de un sitio web que contiene el símbolo de un candado permite al usuario saber que el sitio web es legítimo y permite una interacción segura. Los sitios web sin esta indicación pueden carecer de medidas de seguridad adecuadas para gestionar las interacciones de usuarios y clientes.
Lograr la seguridad de las sesiones en línea es un proceso continuo. Los certificados desempeñan un rol fundamental a la hora de determinar la seguridad de los sitios web a los que acceden los usuarios. Son las claves de la autenticidad de un sitio web, y la falta de certificados válidos puede acarrear graves consecuencias para la seguridad. Acoplar la gestión de certificados con rutinas seguras de gestión de contraseñas facilita una comunicación efectiva entre el servidor y el cliente y garantiza la gestión segura de sus sesiones en línea.