Hoy en día los certificados SSL se han convertido en elementos imprescindibles para la navegación web. Nos protegen contra el robo de contraseñas, números de tarjeta, datos personales… de cualquier dato que enviemos u obtengamos de una web.
¿Para qué sirven?
Los certificados SSL son necesarios para cifrar el tráfico entre el usuario y el sitio web al que está conectado. No sólo cifrará las contraseñas, si no que todos los datos que intercambiemos con el sitio estarán protegidos. Y lo cierto es que no sólo sirven para cifrar tráfico en servicios web pero en este artículo nos centraremos en ese aspecto.
¿Cómo funcionan?
Las siglas SSL vienen de «Secure Socket Layer» y es un protocolo de seguridad que hace lo que su nombre indica: añade una capa de protección en las comunicaciones. El protocolo SSL se encarga de cifrar la información entre web y usuario de forma bidireccional.
Un certificado SSL contiene la información referente a la identidad del sitio web y gracias a esta información, entre otras cosas, podemos saber si el sitio que estamos visitando es legítimo o no.
¿La web que visitamos está protegida con un certificado?
Para saber si estamos visitando una web segura, deberemos tener en cuenta dos puntos importantes:
- Primero y muy importante: que la URL de la página que estamos visitando empiece por https:// en vez de http://. Esto nos garantizará que el tráfico está siendo cifrado.
- Pero además, para saber si la web que visitamos es legítima, deberá tener su dominio validado por un certificado SSL en vigor y que haya sido expedido de forma segura. Para esto deberá aparecer un icono de un candado, dependiendo del navegador, a izquierda o derecha de la barra de dirección como se muestra aquí.
¿Qué certificados SSL necesito?
Hay muchos tipos de certificados SSL y aunque cualquier certificado emitido por una entidad emisora será válido para proteger una web, según la naturaleza de nuestro negocio nos decantaremos por un tipo u otro. Ya hemos comentado que su función básica es la de cifrar el tráfico pero el cifrado se puede realizar con diferentes características como el nivel de encriptación o los grados de validación.
Los certificados se pueden emitir también para un dominio en particular, para un subdominio o para todos los subdominios, este último conocido como Wildcard.
Si tenemos una tienda, querremos estar protegidos también contra fraudes, por eso hay entidades de certificación que emiten certificados con ciertas garantías de responsabilidad civil. Lo mismo para sites con información sensible.
¿Qué sucede si mi página no lo tiene?
No existe ningún tipo de obligatoriedad, pero en casos como el de tener una tienda, tratar información sensible o de intercambiar datos de pago es más que recomendable.
En otros casos como por ejemplo un blog, una landing page, un micro-site o cualquier proyecto que no refiera el párrafo anterior, no es estrictamente necesario, pero es altamente aconsejable si no queremos que el navegador del visitante muestre una advertencia de seguridad.
Y es que hacia el 2017, como medida de seguridad, Google empezó a alertar a los usuarios de Chrome cuando visitaban páginas no certificadas o con certificados autogenerados. Un poco más tarde fue Mozilla Firefox quien le siguió y hoy en día la práctica totalidad de los navegadores alertan de un modo u otro del estado del certificado de la página que se visita.
Además, Google también penaliza el posicionamiento de tu página si ésta no está usando un certificado válido o, peor aún, si no está usando ningún tipo de encriptación. Y finalmente, cada día es más común que las plataformas que ofrecen servicios que pueden ser incrustados en tus páginas te exijan que tu web esté bajo protocolo SSL para funcionar.
¿Cómo conseguir un certificado?
Las autoridades de certificación (CA) son las únicas que pueden emitir certificados que sean globalmente aceptados y son las encargadas de certificar, verificar y mantener la situación de los certificados emitidos.
Algunas de las más conocidas son VeriSign, Thawte, GeoTrust, RapidSSL o Symantec. Éstas son las que nos pueden ofrecer más grados de validación y más garantías de que el certificado será reconocido como válido por todos los navegadores. Cada una de estas empresa tiene una gama diferente de certificados y sus precios pueden ir desde sólo 30€ hasta los miles de euros.
Por otra parte, desde mediados de 2016 podemos conseguir instalar un certificado SSL en nuestro site sin tener que hacer ningún desembolso gracias a la iniciativa LetsEncrypt, pero debes tener en cuenta que este certificado sólo cumple con las funciones básicas para que aparezcamos en todos los navegadores como un sitio seguro.
¿Cómo se instala?
El proceso de instalación dependerá de dónde tengamos hospedada nuestra web. Paneles de control como «Plesk» o «CPanel» tienen opciones muy fáciles e intuitivas de instalar certificados digitales. En sus versiones más recientes permiten instalar automáticamente certificados LetsEncrypt.
Para webs hospedadas en servidores sin ninguno de los paneles de control más extendidos o con paneles de control propios del alojamiento, deberemos buscar cómo realizar el proceso entre las páginas de ayuda del servidor. Y si tienes una web hospedada en un servidor propio (físico o virtual) y lo has configurado tu, instalarlo no te será una tarea difícil.