Descubre qué diferencias hay entre los certificados SSL emitidos por Let’s Encrypt y los emitidos por autoridades de certificación tradicionales.
Tal y como os explicábamos hace unas semanas, la iniciativa Let’s Encrypt ha hecho posible solicitar e instalar certificados SSL de manera gratuita. Este servicio ofrece un cifrado SSL básico y tiene puntos muy interesantes como la rapidez de obtención, pero, como cualquier producto gratuito, se deja por el camino muchas de las ventajas que ofrecen los servicios de pago.
En esta entrada queremos ayudar a resolver las dudas de quienes se preguntan si realmente vale la pena pagar para obtener un certificado SSL de una Autoridad de certificación (AC).
Para ello, vamos a valorar varios aspectos de un SSL que detallamos a continuación.
Velocidad de emisión
Uno de los motivos por los que los certificados de Let’s Encrypt son gratis es que el proceso de emisión es completamente automático, es decir, que las comprobaciones se llevan a cabo en segundos mediante un software basado en el protocolo ACME. Esto implica que el certificado se recibe al momento. Sin embargo, no tiene lugar ninguna verificación sobre el titular de la web: certifican la web como segura, pero no hay una comprobación de la empresa que hay detrás de la web.
Por el contrario, para conseguir un certificado SSL de las autoridades tradicionales primero se debe realizar una petición y, a continuación, efectuar una serie de pasos, cosa que puede llevar de unas horas a unos días, en función del tipo de certificado deseado. Sin embargo, la Autoridad emisora de un SSL de pago realiza una verificación de la empresa que hay detrás de la web, lo que hace que estos SSL certifican que tanto la web como la empresa que hay detrás sean fiables.
Periodo de validez
La mayoría de los certificados SSL tradicionales son válidos por lo menos durante un año y ofrecen la opción de prolongar este periodo hasta los tres años. Por su parte, los certificados de Let’s Encrypt duran 90 días y se actualizan automáticamente. En ocasiones, esta instalación frecuente totalmente automatizada causa problemas y deja al certificado fuera de servicio.
Garantía
Mientras que los certificados de Let’s Encrypt no incluyen garantía alguna en caso de fallo, los tradicionales sí suelen contar con una para que, en caso de haber problemas, puedas reclamar la compensación correspondiente.
Asistencia técnica
Al comprar un certificado SSL de un proveedor de calidad, se gana acceso a personal con formación que nos puede guiar en el proceso de solicitud e instalación de los certificados SSL. En cambio, Let’s Encrypt no dispone de una plantilla para facilitar ayuda técnica. Esto en sí mismo solo es una desventaja si no se tienen los conocimientos técnicos necesarios.
Variedad de certificados SSL
Si tu sitio web necesita la seguridad añadida de un certificado de validación extendida (EV), deberás adquirirlo necesariamente en un proveedor tradicional, ya que Let’s Encrypt solamente ofrece certificados de validación de dominios (DV). Además, tampoco ofrece certificados multidominio ni wildcard, lo que significa que, si tenemos subdominios, Let’s Encrypt nos obligará a pedir un certificado para cada uno (ojo: debemos saber el subdominio exacto cuando solicitamos el certificado).
También cabe tener en cuenta que el límite de este certificado SSL gratis es de 20 por dominio en un periodo de 7 días, de modo que, si tenemos más de 20 subdominios, la tarea puede volverse difícil de gestionar. Tampoco ofrece mecanismo de anulación, por lo que una vez que se alcanza el límite, se debe esperar 7 días para volver a empezar.
Confianza y compatibilidad
Los navegadores y sistemas operativos tienen un repositorio por defecto que contiene una lista de las autoridades de certificación aprobadas que utilizan para comprobar si un certificado es de confianza o no.
Let’s Encrypt se lanzó oficialmente en abril de 2016, por lo que todavía se puede considerar una iniciativa joven. De aquí que no cuente con la universalidad de las autoridades de larga trayectoria y pueda tener problemas de compatibilidad con algunos navegadores y sistemas operativos antiguos.
¿Vale la pena pagar por un certificado SSL?
Como siempre, la respuesta a esta pregunta depende del tipo de negocio, los conocimientos técnicos que se tengan y el tiempo que podamos invertir.
Los certificados SSL de Let’s Encrypt son gratis, por lo que resultan idóneos para quienes tienen un presupuesto ajustado, pero en realidad el gasto medio mensual de un certificado SSL premium es muy reducido. Por lo que quizás la pregunta sea: ¿compensa pagar esos pocos euros por ahorrarse posibles problemas?
A continuación, hemos resumido en puntos las características que definen cada servicio, para ayudarte a tomar esta decisión más fácilmente.
Certificado SSL gratis de Let’s Encrypt
- Solo certificado SSL estándar (conocido como certificado de validación de dominio).
- Aún hay navegadores móviles y web que no lo reconocen.
- Válido 90 días desde la emisión del certificado. Se debe volver a solicitar e instalar pasados 90 días.
- Solo muestra «HTTPS» en la dirección.
Certificado SSL de pago de un certificador
- Certificados SSL de validación extendida (EV), dominio y entidad (OV) y validación de dominio (DV).
- Reconocidos por todos los navegadores.
- Tecnología punta de cifrado para encriptar la información del navegador al servidor.
- Compra con validez de 1 año, 2 años o 3 años.
- Muestra HTTPS + barra de dirección en verde + nombre de la empresa en la barra (EV).
- Sello de confianza.
Nominalia vende 8 tipos de certificados de seguridad SSL distintos: SSL 123, SSL Web Server, SSL Web Server EV, SSL Web Server Wildcard, Secure Site, Secure Site Pro, Secure Site con EV y Secure Site Pro con EV.