Desde siempre, la seguridad de las transacciones por internet es una de las principales preocupaciones de los usuarios y de allí la necesidad de los certificados digitales.
El protocolo SSL que usan los certificados de seguridad digitales, actualmente denominado TLS, permite establecer conexiones seguras entre usuarios y sitios web.
El protocolo SSL se convirtió en una herramienta indispensable en el momento de explosión del comercio electrónico, a mediados de la segunda década del 2000.
El uso de protocolo HTTPS es uno de los criterios utilizados por Google en el posicionamiento natural
En agosto de 2014, Google publicó en su blog para los webmasters, una entrada titulada « HTTPS as a ranking signal«. En el artículo, el gigante de Mountain View explicaba que favorecía los sitios web que utilizaban el protocolo HTTPS para ofrecer conexiones seguras.
Los especialistas en posicionamiento se tomaron muy en serio esta información. De hecho, Google no acostumbra a publicar los factores que condicionan su algoritmo para el posicionamiento de los sitios web, por ello, este criterio puede y debe ser visto no como una simple recomendación, sin o como una consigna de obligado complimiento para optimizar el posicionamiento natural en el principal motor de búsqueda de la red.
Si bien es cierto que el protocolo SSL/TLS está ya implementado en muchas tiendas online, su presencia todavía es inexistente en otros tipos de webs. Al pedir a la comunidad de webmasters que garanticen la seguridad de los web que gestionan, lo que Google intenta e mejorar la seguridad general de la Red.
Este objetivo bien intencionado, en ocasiones pude ser visto como coerción. Es cierto que los certificados SSL son necesarios para la seguridad, pero también los es que estos certificados se deben pagar. Solamente el servicio Let’s Encrypt permite obtener gratuitamente un certificado de calidad. Para poder disfrutar de este servicio, el webmaster debe tener le control de su hosting y debe poder modificar la configuración de acceso a su sitio web. Existen paquetes de alojamiento que permiten, a menudo pagando algo más, instalar un certificado SSL en un clic y activar la transmisión segura de los datos.
¿Cómo elegir un certificado SSL?
Las garantías de los certificados SSL
SSL (Secure Sockets Layer) designa un protocolo para proporcionar comunicaciones seguras en internet. A menudo se utiliza este acrónimo para designar a su sucesor, el protocolo TLS (Transport Layer Security).
SSL fue desarrollado en su momento por Netscape. La IETF, Internet Engineering Task Force, una organización internacional abierta que se dedica a la estandarización de Internet, ha continuado el desarrollo de SSL y en un momento determinado tuvo que cambiar el nombre de su versión de SSL a TLS. Habitualmente, se tiende confundir un nombre con otro.
Ambos protocolos garantizan la autenticación del servidor, la confidencialidad y la integridad de los datos intercambiados. Pueden ser implementados fácilmente en HTTP (HyperText Transfer Protocol), el principal protocolo de comunicación cliente/servidor de la Red. Una vez instalado el TLS, el intercambio de datos pasa a ser HTTPS.
La mayor parte de los navegadores soportan, por lo menos, la versión 1.0 de TLS. Para el internauta es muy fácil saber si la conexión a un sitio es segura o no, ya que los navegadores muestran una llave o un candado a la izquierda de la barra de la dirección o en la barra de estado. Hay navegadores que incluso muestran la barra de direcciones en verde.
La emisión de certificados y la elección de la autoridad de certificación (AC)
Para garantizar la seguridad de los intercambios, TLS encripta los datos intercambiados entre el navegador del usuario y el servidor. Para realizar dicha encriptación el servidor debe disponer de un certificado digital emitido por una Autoridad de Certificación (CA).
Para emitir un certificado digital, la CA realiza una série de verificaciones para garantizar que el certificado se entrega al usuario legítimo.
Los certificados digitales vienen firmados por la CA lo cual garantiza su validez.
Los editores de software incorporan de orígen todos la mayoría de los certificados raíz autorizados. De esta manera, ciertos programas, como los navegadores web, pueden controlar fácilmente la validez de un certificado comprobando la firma de la CA.
Los usuarios de Google Chrome , por ejemplo, pueden consultar la lista de autoridades de certificación accediendo a «Administrar certificados» en el panel de «Configuración» de Chrome.
El certificado SSL que se desee instalar en un sitio web público debe, obligatoriamente, estar firmado por una autoridad de certificación reconocida por los principales navegadores de internet. Una simple búsqueda antes de realizar la compra, permite determinar si la autoridad de certificación elegida goza de buena reputación.
Las recomendaciones de Google para la instalación de SSL:
- Utilizar certificados privada de al menos 2048 bits
- Determinar si el tipo de certificado deberá ser Wildcard (para proteger subdominios de un mismo nombre de dominio), multi-domino (para proteger distintos nombres de dominio con un único certificado SSL llamado certificado SAN o UCC) o sencillo (para un único nombre de dominio)
- Utilizar URLs relativas en los recursos ubicados bajo el dominio protegido
- No bloquear la indexación del sito HTTPS con ficheros txt
- No bloquear la indexación de las páginas atribuyendo « noindex» a la metatag «robots».
Google recomienda esta herramienta de ssllabs.com para comprobar si un sitio web utiliza el protocolo SSL.
Las autoridades de certificación no siempre son irreprochables
Google y en general los grandes operadores de la Red, como Microsoft, a menudo se ven obligados a señalar la falta de seriedad o las deficiencias de determinadas autoridades de certificación.
A principios de 2016, Microsoft, por ejemplo, decidió retirar de su lista de certificados seguros los certificados emitidos por una veintena de autoridades de certificación. Y Google, por su parte, amenazó de retirar Symantec de su Lista Blanca, a causa de una serie de malas prácticas. El motor de búsqueda exigió a Symantec una actualización y adecuación a los estándares de Certificate Transparency, del cual es promotor.
Por todo ello, antes de instalar un certificado es muy importante, como hemos comentado anteriormente, informarse sobre la reputación de la autoridad de registro con la que queremos trabajar.
Si el certificado no es válido o no está instalado correctamente, los navegadores avisaran del problema al usuario. El navegador Google Chrome advierte a los usuarios con el mensaje «El certificado de seguridad del sitio no es de confianza» (en inglés «The site’s security certificate is not trusted»).
Distintos tipos de certificados digitales
Al momento de comprar un certificado de seguridad, descubre la oferta de certificados SSL/TLS que Nominalia ha creado para adaptarse a cualquier necesidad.
