Instalando un Certificado SSL

El cifrado HTTPS protege la comunicación entre su equipo de cómputo y el sitio web que usted está visitando, logrando que nadie pueda entrar a alterar los datos, seguridad que es implementada a través del uso de un certificado SSL.

 

Google impulsa la seguridad en Internet

A partir de julio del 2018, Google Chrome marcará todos los sitios HTTP como "no seguros", según comunicado del gerente de productos de seguridad de Chrome, Emily Schechter. Actualmente, Chrome muestra sólo un icono de alerta, pero a partir de la siguiente versión, el navegador advertirá a los usuarios con una notificación adicional en la barra de direcciones cuando la navegación no sea encriptada. Chrome marca actualmente los sitios con encriptación HTTPS con un ícono de candado color verde y un letrero "Seguro".

Google ha estado alejando a los usuarios de sitios sin encriptar durante años, pero ésta es la acción más contundente hasta el momento. El buscador de Google comenzó a bajar la calificación de sitios sin encriptar en el 2015, y al año siguiente implementó una advertencia similar para los campos de contraseña no encriptados.

El equipo de Chrome informó que tal acción se debió principalmente a una mayor adopción del protocolo HTTPS. Ochenta y uno de los principales cien sitios en la web tiene por defecto HTTPS, y una gran mayoría del tráfico de Chrome ya está encriptado. "En base a la increíble tasa de migración de sitios hacia HTTPS y la marcada tendencia durante este año", dijo Schechter, "creemos que en Julio próximo el balance será lo suficientemente bueno como para marcar todos los sitios HTTP como inseguros".

El cifrado HTTPS protege el canal entre su equipo de cómputo o dispositivo móvil y el sitio web que está visitando, asegurando que nadie pueda entrar a alterar los datos o espiar lo que está usted haciendo. Sin ese cifrado, alguien con acceso a su enrutador o ISP podría interceptar la información enviada a sitios web o inyectar malware en páginas legítimas.

El protocolo HTTPS se ha vuelto mucho más fácil de implementar a través de servicios automatizados como Let's Encrypt, por lo que los sitios no tienen ya excusa para no adoptarla. Como parte de la misma publicación, Google señaló su propia herramienta Lighthouse, que incluye herramientas para migrar un sitio web a HTTPS.

 

Qué es el HTTPS

Todas las comunicaciones enviadas a través de conexiones HTTP convencionales se dan en 'texto sin formato' y pueden ser leídas por cualquier pirata informático que se las ingenie para entrar en la conexión entre su navegador y el servidor web. Esto representa un peligro si la comunicación se trata de un formulario de pedido e incluye los detalles de su tarjeta de crédito y datos personales. Con una conexión HTTPS, todas las comunicaciones están encriptadas de forma segura. Esto significa que incluso si alguien logra romper la conexión, no podrá descifrar ninguno de los datos que pasan entre usted y el sitio web.

Hyper Text Transfer Protocol Secure (HTTPS) es la versión segura de HTTP, el protocolo bajo el que se envían los datos entre su navegador y el sitio web al que está usted conectado. La 'S' al final de HTTPS significa 'Seguro'. Esto quiere decir que todas las comunicaciones entre su navegador y el sitio web están encriptadas. HTTPS a menudo se usa para proteger transacciones en línea altamente confidenciales como la banca en línea y los formularios de órdenes de compra en línea.

Los navegadores web como Edge, Firefox y Chrome también muestran un ícono de candado en la barra de direcciones para indicar visualmente que la comunicación con el servidor está cifrada, esto es, que una conexión HTTPS está siendo usada.

 

Cómo funciona el HTTPS

Las páginas HTTPS generalmente usan uno de los dos protocolos seguros que existen para encriptar comunicaciones: SSL (Secure Sockets Layer) o TLS (Transport Layer Security). Tanto el protocolo TLS como el protocolo SSL utilizan lo que se conoce como sistema de infraestructura de clave pública (PKI) asimétrico. Un sistema asimétrico utiliza dos claves para encriptar comunicaciones, una clave "pública" y una clave "privada". Cualquier cosa cifrada con la clave pública solo se puede descifrar con la clave privada y viceversa.

Como sugieren los nombres, la clave privada debe mantenerse estrictamente protegida y sólo debe ser accesible para su propietario. En el caso de un sitio web, la clave privada permanece protegida de manera segura en el servidor web. Por el contrario, la clave pública está destinada a distribuirse a cualquiera y a todos los que necesiten descifrar la información cifrada con la clave privada.

 

Que es un certificado SSL

Los certificados Secure Sockets Layer (SSL), a veces llamados certificados digitales, son pequeños archivos de datos que vinculan una clave criptográfica con una organización y se utilizan para establecer una conexión encriptada entre un navegador o la computadora del usuario y un servidor o sitio web. La conexión SSL protege los datos confidenciales intercambiados durante una sesión, de ser interceptados por terceros no autorizados.

Cuando se solicita una conexión HTTPS hacia una página web, el sitio web enviará primeramente el certificado SSL a su navegador. Este certificado contiene la clave pública necesaria para comenzar la sesión segura. En función de este intercambio inicial, su navegador y el sitio web en cuestión inician el "protocolo de enlace SSL". Este protocolo implica la generación de claves secretas compartidas para establecer una conexión segura única entre su equipo o dispositivo y el servidor web.

Cuando se utiliza un certificado digital SSL confiable durante una conexión HTTPS, los usuarios verán un icono de un candado en la barra de direcciones del navegador. Cuando se instala un certificado de validación extendida en un sitio web, la barra de direcciones se volverá verde.

 

Beneficios del SSL

Los principales beneficios de un certificado SSL son:

  • La información del cliente, como los números de tarjetas de crédito, está encriptada y no puede ser interceptada
  • Los visitantes pueden verificar que se trata de un negocio registrado y que son propietarios del dominio
  • Es más probable que los clientes confíen y completen las compras en los sitios que usan HTTPS

 

Tipos de certificados SSL

Ahora que ya sabe de la importancia de un certificado SSL, describimos a continuación los tipos de certificados SSL disponibles, los cuales pueden ser clasificados de acuerdo al nivel de validación, número de dominios que abarcan y esquema comercial.

 

Tipos de certificados por nivel de validación

Las autoridades de certificación (CA) emiten certificados a las organizaciones sólo después de que sus identidades han sido validadas, para asegurarnos de saber con quién estamos conectados cuando enviamos información privada.

Domain Validation (DV)

  • Es el certificado más sencillo y económico.
  • La autoridad de certificación o CA simplemente verifica que la organización tiene control sobre el dominio en cuestión.
  • El navegador simplemente muestra que la conexión HTTPS es segura.

Organization Validated (OV)

  • La CA investiga a la organización que realiza la solicitud aunque no muy profundamente. Se contactarán con la organización para asegurarse de que es auténtica.
  • El navegador muestra la información de la compañía en los detalles del certificado.

Extended Validation (EV)

  • Éste es el nivel más estricto.
  • La CA valida la propiedad, la información de la organización, ubicación física y la existencia legal de la empresa. También valida si la organización conoce acerca de la solicitud de certificado SSL antes de aprobarla.
  • El navegador presentará una barra de direcciones en color verde con el nombre de la empresa.

 

Tipos de certificados por número de dominios

Sobre la base del número de dominios y subdominios, hay tres tipos de certificados:

Certificados SSL individuales

  • Protege un sólo subdominio/hostname.

Certificados SSL Wildcard

  • Protege una cantidad ilimitada de subdominios bajo un solo dominio.

Certificados SSL Unificados /Certificados SSL Multi-Dominio/Certificados SAN

  • Permite a los clientes proteger hasta 100 dominios con la ayuda del mismo certificado.
  • Están especialmente diseñados para proteger entornos de Microsoft Exchange y Office Communications.
  • Protege diferentes dominios con un solo certificado con la ayuda de la extensión SAN.

 

Tipos de certificados por esquema comercial

Es importante que evalúe sus preferencias cuando se trata de certificados comerciales o gratuitos.

Certificados SSL comerciales (pagados)

Ésta es la opción más indicada para muchos propietarios de sitios web. Pagarle a una Autoridad Certificadora (o su empresa de alojamiento) a menudo le brindará los beneficios de un soporte técnico expedito y confiable. El nivel de encriptación es el mismo que con los certificados SSL gratuitos. El diferenciador clave radica más bien en el nivel de soporte que obtiene con su certificado.

Certificados SSL gratuitos

Estos están siendo liderados por la iniciativa Let's Encrypt, una colaboración abierta entre varias organizaciones globales enfocadas en hacer que los certificados SSL sean accesibles para todos los propietarios de sitios web.

 

Evaluación de requerimientos de seguridad SSL

Los certificados SSL son una buena inversión, sin embargo, al analizar las necesidades de su negocio puede hacer una mejor elección. Algunas de las preguntas que debe hacerse antes de comprar un certificado son:

  • ¿Cuántos dominios necesito asegurar?
  • ¿Qué tipo de sitio web necesito asegurar?
  • ¿Qué tan importante es para usted la confianza del cliente?
  • ¿Cuál es mi presupuesto?

Dado que los requisitos de las certificaciones varían, desde el seguro rápido a precio económico (certificados DV), hasta la validación empresarial altamente costosa y estricta (Certificados EV), debe tomar una decisión basado en los requerimientos, ubicación de su empresa, documentos, presupuesto, entre otros. No corra riesgos, tome una decisión racional, ya que se trata de implementar una solución de seguridad empresarial.

 

Cómo elegir un proveedor de certificado SSL

Algunos de los factores que afectan la elección de un proveedor son:

  • Marca
  • Tipo de Validación
  • Tiempo de emisión
  • Dominios incluidos
  • Licencia de servidor
  • Herramientas de instalación
  • Navegadores compatibles
  • Compatibilidad con móviles
  • Soporte para scan
  • Sello del sitio
  • Nivel de confianza
  • Garantía
  • Precio

 

Dónde adquirir un certificado SSL

Para adquirir un certificado SSL, lo conducente es acudir en primera instancia a su proveedor de hospedaje. Es posible que su plan de hosting contratado ya incluya un certificado y usted lo desconoce. Si es ese el caso, lo único que tendría que hacer es activarlo y comenzarlo a utilizar. Los planes de hosting pueden incluir certificados comerciales o gratuitos. Consulte las distintas opciones que su proveedor ofrece.

En caso de no disponer de un certificado SSL como parte de su plan de hospedaje contratado y si usted no desea invertir en un certificado premium, pregúntele a su proveedor de hosting si admiten Let's Encrypt o si puede usted adquirir el certificado con otro proveedor. No olvide buscar las mejores ofertas disponibles en el mercado.

Todos los servicios de alojamiento dedicado y compartido admiten la instalación de certificados digitales, adquiridos directamente con su proveedor de hospedaje o con otras empresas. La aceptación de certificados emitidos por terceros dependerá del servicio de hosting que usted tenga contratado. Tenga en cuenta que en caso de que sea posible instalar un certificado SSL adquirido con terceros, su actual proveedor de hosting no colaborará en la instalación del mismo.

Aquí está la lista de los proveedores de certificados SSL más importantes en 2018:

  • The SSL Store
  • Comodo SSL Store
  • DigiCert
  • GeoTrust
  • RapidSSLonline
  • Namecheap
  • GoDaddy
  • SSL.com
  • Network Solutions
  • GlobalSign

Tras solicitar un certificado, la Autoridad Certificadora valida que efectivamente usted controle el nombre de dominio que está procurando proteger. Después de que haya verificado su solicitud de certificado, podrá descargar los archivos de certificado y luego instalarlos en su servidor web.

 

Cómo puedo instalar un certificado SSL

Las siguientes acciones deberán ser llevadas a cabo al implementar un certificado SSL en su sitio web:

  1. Defina sus requerimientos
  2. Consulte a su proveedor de hosting
  3. Seleccione el tipo de certificado
  4. Compre el certificado
  5. Instale el certificado
  6. Active el certificado
  7. Actualice su sitio para usar HTTPS
  8. Tome nota de la fecha de vencimiento
  9. Esté al pendiente de la renovación

 

Experiencia

Años de Experiencia

Somos expertos en tecnologías de información y contamos con una experiencia de más de tres décadas.

Nuestro objetivo es optimizar la comunicación entre compañías y sus mercados, impulsar las ventas y tener clientes más satisfechos.

Leer más...

Estrategias Efectivas

Estrategias Efectivas

Milenium es una firma especializada en servicios de posicionamiento en buscadores, conocido internacionalmente como SEO.

Su compañía puede generar mayores oportunidades de negocio que sus competidores, apareciendo en Google.

Leer más...

Recursos

Estamos Para Ayudarle

Nuestra página web ofrece una gran cantidad de recursos e información que pueden resultar de gran utilidad para usted.

El Marketing pot Internet es bastante especializado y hemos publicado una serie de guías prácticas sobre diversos temas.

Leer más...

Soluciones

Tenemos la Solución

Nuestra firma provee diversas soluciones tecnológicas y sistemas de información estratégicos para su empresa.

Ponemos a su disposición diversas soluciones tecnológicas para distintas áreas de actividad en su negocio.

Leer más...

© 2024 Informática Milenium SA de CV