¿Qué es SSL?

Cuando imagina la transacción comercial promedio, ¿qué ve? ¿La fila de caja de su supermercado local? ¿O tal vez el puesto de limonada al final de la calle?

Con toda probabilidad, posiblemente no esté pensando en un sitio web. Y, sin embargo, se están realizando más transacciones digitalmente que nunca. De hecho, las ventas globales de comercio electrónico están en camino de superar los 8000 millones de dólares para 2027, un aumento del 42 % en comparación con 2023.

Este es el problema: Las transacciones en línea a menudo involucran información confidencial que viaja a través de dispositivos y redes potencialmente inseguros. A su vez, las interacciones digitales deben mantenerse privadas y seguras. Afortunadamente, eso es exactamente para lo que están hechos los certificados digitales y Secure Sockets Layer (SSL).

¿No le resulta familiar? No se preocupe: estamos aquí para ponerlo al día. Continúe leyendo para obtener más información sobre la seguridad SSL, la importancia del cifrado y cómo elegir el certificado digital adecuado para su organización.

¿Qué es la seguridad de la capa de transporte (TLS)?

Para todos los efectos, la Seguridad de la capa de transporte es el sucesor moderno del protocolo de seguridad SSL original. Sin embargo, muchas personas todavía usan el nombre "SSL" cuando en realidad se refieren a TLS. Hoy en día, es posible que incluso vea una combinación de las siglas: Cifrado SSL/TLS.

Dicho esto, no son necesariamente intercambiables, ya que existe una diferencia notable.

En términos simples, el cifrado TLS es más seguro que su predecesor. Ha habido varias versiones de seguridad SSL a lo largo de los años, cada una con vulnerabilidades que luego se revelarían. Esta es la razón por la que SSL no se ha actualizado desde 1996 y ahora se considera "obsoleto".

Por lo tanto, TLS es el protocolo de seguridad predeterminado en el mercado actual, aunque todavía se lo conoce comúnmente como "SSL". Transport Layer Security 1.3, la última versión, corrige muchas de las debilidades existentes de las versiones anteriores, convirtiéndola en la conexión más segura disponible. Sin ir más lejos, el Instituto Nacional de Estándares en Tecnología (NIST) requiere que todos los servidores TLS gubernamentales y los clientes admitan TLS 1.2 y recomienda que las agencias adopten TLS 1.3 en 2024.

¿Qué son los certificados digitales?

Un certificado digital es un documento electrónico que prueba la autenticidad de un dispositivo, servidor web, usuario u otra entidad mediante criptografía e infraestructura de clave pública (PKI). Los certificados digitales son herramientas valiosas para ayudar a las organizaciones a garantizar que solo entidades confiables accedan a sus redes.

Como explicaremos, también se usan comúnmente para confirmar la autenticidad de un sitio web en un navegador web, lo que permite que SSL establezca una conexión cifrada. Este tipo particular de certificado se conoce como “certificado SSL” o “certificado TLS”, pero hablaremos de eso más adelante.

Como propietario de un sitio web, los certificados SSL y TLS son necesarios para proteger a su organización, a sus clientes y a sus empleados de los vectores de amenazas cada vez más atrevidos que desafían la ciberseguridad moderna. Los sitios web y servidores que carecen de cifrado son susceptibles de sufrir ataques. Eso significa que un tesoro escondido de datos confidenciales podría estar en riesgo.

De hecho, la propiedad del dominio de un sitio web no debe tomarse a la ligera. Hay varias razones para implementar un certificado SSL o TLS:

• Seguridad de los datos: La seguridad SSL garantiza que usuarios no autorizados no puedan acceder a la información confidencial, solo los destinatarios previstos. Esto es especialmente importante para salvaguardar las credenciales de inicio de sesión, los datos financieros, la información personal y otros objetivos de alto valor.
• Resistencia al phishing: Los certificados digitales también previenen ciertos tipos de ciberataques, como el phishing. Los piratas informáticos suelen intentar engañar a víctimas desprevenidas para que introduzcan sus datos confidenciales en un sitio web falsificado, creyendo que es real. Sin embargo, un certificado TLS puede autenticar el servidor web y alertar a los usuarios si el dominio es legítimo o no.
• Seguridad de identidad: La seguridad SSL cifra los nombres de usuario, las contraseñas y los formularios utilizados para enviar información personal, creando así experiencias más seguras para sus clientes.
• Retención y conversión de clientes: Es más probable que los clientes potenciales que visitan su sitio web completen una compra si saben que el proceso de pago está protegido a través de una conexión segura. La seguridad SSL puede ahorrarle la vergüenza de una filtración de datos, que se sabe que ahuyenta al menos al 83 % de los consumidores.
• Clasificaciones en los motores de búsqueda: De hecho, Google castiga a los sitios sin certificados SSL marcándolos como no seguros, lo que puede afectar negativamente las clasificaciones de optimización de motores de búsqueda (SEO) y la visibilidad del sitio web.
• Cumplimiento: Los crecientes requisitos están presionando a las empresas a tomarse en serio la comunicación segura. Por ejemplo, el Reglamento General de Protección de Datos (GDPR) de Europa implementa estándares estrictos para el cifrado. Las empresas que infringen las normas del GDPR están sujetas a multas de 20 millones de euros o el 4 % de los ingresos anuales mundiales de la empresa del año financiero anterior (el monto que sea mayor).

Está claro que el cifrado SSL es importante, pero ¿cómo funciona SSL? Profundicemos y expliquemos paso a paso.

En términos generales, el proceso es el siguiente:

1. Un navegador o servidor intenta conectarse a un sitio web (es decir, un servidor web), protegido con un certificado SSL. El cliente web envía un mensaje al servidor para iniciar el proceso.
2. En respuesta, el sitio web devuelve una copia de su certificado SSL conocido como clave pública.
3. El navegador/servidor comprueba si confía o no en el certificado SSL. Si es así, crea y envía una clave privada cifrada al sitio web.
4. El servidor web recibe y descifra la clave privada. Luego, crea una conexión cifrada y devuelve el contenido al cliente.
5. Finalmente, el cliente descifra el contenido y puede iniciar la sesión de forma segura.

Este proceso a menudo se denomina "apretón de manos SSL". ¿Por qué? Porque es básicamente un acuerdo entre las dos partes, que establece confianza entre sí. A primera vista, puede parecer una prueba larga, pero en realidad sucede en cuestión de milisegundos. De hecho, prácticamente no tiene ningún impacto en la experiencia del usuario final.

En particular, SSL solo lo pueden agregar sitios web que tengan un certificado SSL o TLS. Estos certificados actúan como una insignia que autentica y verifica al propietario del sitio web. Un aspecto importante del certificado TLS es la clave pública del sitio web, un mecanismo que hace posible el cifrado.

Los dispositivos ven la clave pública y la utilizan para crear claves de cifrado seguras con el servidor web. Al mismo tiempo, el servidor web tiene una clave privada que siempre se mantiene en secreto, ya que es la que se utiliza para descifrar los datos cifrados con la clave pública.

Son muchas claves. Entonces, para resumir todo, aquí están nuevamente esas definiciones:

• Protocolo de enlace SSL: Una negociación entre dos partes (normalmente un navegador/servidor y un servidor web) que establece una conexión segura.
• Clave pública: Clave criptográfica utilizada para cifrar mensajes destinados a un destinatario en particular, descifrable sólo mediante el uso de una segunda herramienta, es decir, la clave privada.
• Clave privada: También conocida como clave secreta, se utiliza para cifrar y descifrar datos, iniciando así una sesión segura.

Los certificados digitales se pueden desglosar por tipo y nivel de validación. Primero examinemos los tres tipos principales de certificados SSL y TLS:

1. Dominio único: Como su nombre lo indica, un certificado SSL de dominio único se aplica a un solo sitio web. No se puede utilizar para autenticar ningún otro dominio, incluidos los subdominios del sitio web para el que se emite.
2. Comodín: De manera similar, un certificado comodín se aplica a un solo dominio, pero también puede incluir sus subdominios. Por lo tanto, puede utilizarlo para salvaguardar información confidencial y autenticar todo lo que se encuentre bajo el dominio general.
3. Multidominio: Por el contrario, un SSL multidominio puede enumerar varios dominios no relacionados en una certificación SSL.

Los certificados digitales también vienen con diferentes niveles de validación, que utiliza una autoridad certificadora (CA) para demostrar la propiedad del dominio. Existen en un espectro que va desde una validación mínima hasta verificaciones de antecedentes rigurosas. Echemos un vistazo más de cerca a cada uno con más detalle:

Validación extendida (certificado EV SSL)

La mayoría de los usuarios en línea prefieren los certificados EV SSL debido a que cuentan con la función de verificación más completa, que incluye la verificación de dominio como también las verificaciones cruzadas que vinculan a la entidad con una ubicación física determinada.

Este tipo de verificación registra lo sucedido y cuándo se ha producido de forma detallada y proporciona a los clientes los recursos en caso de que se produzca una situación de fraude mientras se llevan a cabo las transacciones en ese sitio web.

Validación de la organización (certificado OV SSL)

Los dominios que obtienen un certificado OV se someten a un proceso ligeramente menos riguroso. La CA se comunica con la persona o empresa que solicita el certificado, pero no completa una verificación de antecedentes completa sobre el tema.

Además de la propiedad del dominio, se valida la empresa y se pueden observar los detalles en el certificado en la mayoría de los navegadores web, lo cual les brinda a los usuarios en línea la oportunidad de decidir si el sitio en el que se encuentran es legítimo.

Validación de dominio (certificado DV SSL)

Un sitio web protegido con un certificado validado por dominio (DV) ofrece solo la imagen de un candado cerrado en la barra de direcciones, pero no muestra detalles de la organización, porque no existen. Estos certificados, que solo validan la propiedad del dominio, se pueden adquirir de forma anónima y no vinculan un dominio a una persona, lugar o entidad.

Los certificados digitales vienen en todas las formas y tamaños y ofrecen varios niveles de protección y seguridad. Es importante seleccionar el certificado SSL/TLS adecuado para las necesidades de su negocio, o puede correr el riesgo de una mayor exposición a posibles ataques e infracciones de cumplimiento.

En primer lugar, considere el nivel de validación requerido de su organización. ¿Su industria tiene estándares estrictos de protección y cifrado de datos? ¿Qué tipo de garantía buscan sus clientes objetivo? ¿Qué tipo de información personal recopila? Estas preguntas deberían encaminarlo por el camino correcto.

A continuación, deberá seleccionar el tipo de certificado requerido para sus propósitos específicos. Pregúntese: ¿Cuál es su uso clave? ¿Tiene una solicitud de servidor web estándar o un grupo de servicios de intercambio que cubrir? ¿Necesitará un certificado multidominio?

¿Todavía no está seguro? Pruebe nuestra Herramienta de selección de certificados SSL para obtener más orientación.

Adquirir su certificado

Una vez que haya reducido sus opciones, deberá enviar una Solicitud de firma de certificado (CSR) a una autoridad certificadora autorizada, como Entrust.

Además, se requiere permiso del propietario del dominio para cada dominio incluido en un certificado. Una CA no puede procesar solicitudes de certificado si el nombre de dominio no está registrado a nombre de la empresa solicitante, su organización matriz o una de sus subsidiarias. Deberá proporcionar un número de teléfono comercial y la información de contacto de un líder senior. En total, necesitará:

• Información de pago válida
• Información de contacto de autorización
• Información de contacto técnico
• Información de contacto de facturación
• Un CSR completo
• Una lista de todos los dominios

En Entrust, brindamos acceso flexible y conveniente a una amplia gama de certificados SSL/TLS, lo que le permite tomar la mejor decisión para su organización.

Entrust es miembro fundador del Consejo de Seguridad de la Autoridad Certificadora (CA) y del Foro CA/Browser. Nuestros expertos en seguridad digital contribuyen activamente al desarrollo de estándares industriales para TLS/SSL, firma de documentos, certificados de firma de código y gestión de certificados.

Más que solo liderazgo, ofrecemos una sólida cartera de confianza de certificados digitales para una amplia gama de requisitos empresariales. Con la galardonada plataforma de certificados de Entrust, usted obtiene:

• Soporte galardonado
• Compatibilidad de navegador universal
• Reemisiones ilimitadas
• Licencias ilimitadas para los servidores
• Cifrado de 128 a 256 bits
• Todos los certificados Entrust se ajustan a la infraestructura de clave pública (PKI) x.509 ampliamente aceptada.