¿Qué son los certificados para sitios web?
La sigla SSL refiere a Secure Socket Layer, que no es otra cosa que un protocolo de seguridad que permite que sus datos viajen de manera íntegra y segura a través de Internet. Además, optimiza la transmisión de datos entre un servidor y un usuario web la cual, en retroalimentación, es totalmente cifrada o encriptada.
Si una organización requiere tener un sitio web seguro que use encriptación, necesita un sitio o un host validado por un certificado. Hay dos elementos que indican que un sitio usa cifrado:
El icono del candado cerrado que, dependiendo de su navegador, se encuentra localizado en la barra de direcciones en la parte superior de la ventana. Este icono aparece habilitado y activo cuando se ejecuta un sitio web que posee activo «https:».
Al asegurarte de que el sitio web encripta la información y tiene un certificado válido, se logra protección contra los atacantes que crean sitios maliciosos para recopilar información.
Un certificado SSL implementa el modelo preferido de seguridad, contiene claves digitales que protegen la integridad de los datos al momento de enviar y de recibir información. Los servidores que permiten implementar SSL crean una vía con un cifrado único para las sesiones privadas a través de Internet. Es por eso que utilizan una clave pública y una clave privada: la pública es para cifrar la información, mientras que la privada es para descifrarla.
Si un sitio web tiene un certificado válido, significa que una autoridad de certificación ha tomado medidas para verificar que la dirección web realmente pertenece a esa organización. Cuando escriben una URL o sigas un enlace a un sitio web seguro, el navegador verificará en el certificado las siguientes características:
1. La dirección del sitio web coincide con la dirección en el certificado.
2. El certificado está firmado por una autoridad certificadora que el navegador reconoce como una autoridad «confiable».
Si el navegador detecta un problema, puede mostrarse mediante un cuadro de diálogo que hay un error con el certificado del sitio. Esto puede ocurrir si el nombre con el que está registrado el certificado no coincide con el nombre del sitio. El usuario tienes la opción de no confiar en la compañía que lo ha emitido, o si el certificado ha expirado.
Por lo general, se presentará la opción de examinar el certificado, después de lo cual podrás ser aceptado para siempre, aceptado solo para esa visita en particular o elegir no aceptarlo. La confusión a veces es fácil de resolver debido a que, quizás, el certificado se emitió para un departamento en particular dentro de la organización, en lugar del nombre en el archivo). Si no estás seguro con ese certificado, no envíes información personal.
Incluso si la información está encriptada, asegurate siempre de leer primero la política de privacidad de la organización para saber qué está haciendo con esa información.
¿Puedo confiar en un certificado?
El nivel de confianza que depositás en un certificado está relacionado con el nivel de confianza en la organización y en la autoridad de certificación. Si la dirección web coincide con la dirección que figura en el certificado, está firmado por una autoridad de certificación confiable y la fecha es válida, podés estar seguro de que el sitio web que navegás es en realidad el sitio que estás visitando. Sin embargo, a menos que verifiques personalmente la huella digital única de ese certificado, no hay forma de estar absolutamente seguro.
Cuando confías en un certificado, básicamente confías en la autoridad de certificación para verificar la identidad de la organización. Sin embargo, es importante darse cuenta de que las autoridades de certificación varían en cuán estrictos son para validar toda la información en las solicitudes, y para asegurarse de que sus datos estén seguros.
De forma predeterminada, el navegador contiene una lista de más de 100 autoridades de certificación confiables. Eso significa que, por extensión, confiás en todas esas autoridades de certificación para verificar y validar adecuadamente la información.
¿Cómo hago para verificar un certificado?
Hay dos formas de verificar el certificado de un website. Una opción es hacer clic en el icono del candado. Sin embargo, es posible que la configuración de tu navegador no esté configurada para mostrar la barra de estado que contiene el icono. Además, los atacantes pueden crear sitios web maliciosos que falsifican un icono de candado y muestran una ventana de diálogo falsa.
Una forma segura de encontrar información sobre el certificado es localizándola mediante el navegador. Generalmente esta información se encuentra en las opciones de seguridad dentro de la página.
A continuación te mostraremos un ejemplo para localizar esta información.
Por ej. en Google Chrome:
1- En la parte superior izquierda encontrarás en candadito que indica que cuenta con certificado SSL; hacé click allí:
2- Ahora hacé click en “Certificate”:
3- Verás la siguiente información:
Verás información relevante como:
- Quién emitió el certificado: deberás asegurarte que el emisor sea una autoridad de certificación legítima y confiable. Algunas organizaciones también tienen sus propias autoridades de certificación que utilizan para emitir certificados a sitios internos como intranets.
- A quién se expide el certificado: el certificado debe emitirse a la organización propietaria del sitio web. No confíes en el certificado si el nombre no coincide con el nombre de la organización o persona.
- Fecha de vencimiento: la mayoría de los certificados se emiten por uno o dos años. Una excepción es el certificado emitido para la propia autoridad de certificación que, debido a la cantidad de participación necesaria para distribuir la información a todas las organizaciones que poseen sus certificados, puede ser de diez años. Tené cuidado con certificados que son válidos por más de dos años, o con certificados que han expirado.
Al elegir un certificado SSL, tenés que tomar en cuenta los alcances deseados del website, la audiencia que accederá y el tipo de sesión que el usuario realizará. En la actualidad, la mayoría de los servidores y de las aplicaciones web soportan este tipo de certificados. Baehost brinda a todos sus clientes la posibilidad de contratar diversos tipos de certificados SSL, dependiendo de sus necesidades y requerimientos.
Para mayor información podés acceder en https://www.baehost.com/servicios/ssl/ o enviarnos un mail a soporte@baehost.com