Hoy en día, si montas una tienda online, una web o un blog, transmitir confianza juega un papel muy relevante. Por eso es fundamental garantizar la seguridad online utilizando certificados SSL en un negocio online.
¿Qué es un certificado SSL?
Un certificado SSL se define como un protocolo de seguridad que aloja un archivo de datos en el servidor de origen de un sitio web, con la finalidad de proteger la clave pública del sitio web y su identidad. Los dispositivos que intentan comunicarse con el servidor de origen harán referencia a este archivo para obtener la clave pública y verificar la identidad del servidor, descubriendo así que el sitio web es legítimo.
SSL (Secure Sockets Layer) es un estándar de seguridad global que permite la transferencia de datos cifrados entre un navegador y un servidor web. Es utilizado por millones de empresas e individuos en línea con el fin de disminuir el riesgo de robo y manipulación de información confidencial por parte de hackers y ladrones de identidades. Está información puede ser números de tarjetas de crédito, nombres de usuario, contraseñas, correos electrónicos, etc.
Básicamente, la capa SSL permite que dos partes tengan una «conversación» privada.
Para establecer esta conexión segura, se instala en un servidor web un certificado SSL (también llamado «certificado digital») que cumple dos funciones:
- Autenticar la identidad del sitio web, garantizando a los visitantes que no están en un sitio falso.
- Cifrar la información transmitida.
El Certificado SSL sirve para que la información clave que se comparte entre las dos partes se transmita de forma segura y otorgar confianza y seguridad.
¿Cómo funciona un certificado SSL?
El protocolo SSL funciona como si le pusieras una clave a la información que inviamos a una persona que no conocemos. De esta manera nadie más que nosotros y la persona que recibe la información puede leerla.
Cuando las dos partes empiezan a compartir información clave, a través de un sistema de seguridad SSL, estamos asegurando que lo que hemos transmitido a la otra persona es seguro y nadie más va a poder consultarlo. De esta forma, nadie puede compartir, descifrar, leer, ni copiar la información transmitida.
La información podría tratarse del email o la cuenta bancaria, ya que son datos que facilitan a menudo a las empresas los clientes.
Traducido a términos más técnicos, lo que ocurre es que cuando el usuario accede a una web y establece una conexión con el servidor, el protocolo SSL genera una clave. Esta clave sólo la comparten ese servidor y ese usuario. De esta manera, cualquier conversación entre ambas queda cifrada para que solo ellos sepan la información que están aportando mediante un sistema de clave pública y privada.
¿Cómo saber si mi web es segura?
Si tu web no tiene este certificado, puede no inspirar la confianza de tus visitantes. Es algo imprescindible si quieres venderles algo o recoger datos personales.
Prácticamente todos los navegadores informan de cuándo los usuarios entran en una página web protegida con el certificado SSL, haciendo que los internautas sepan cómo interactuar de forma segura en la web.
Si no sabes lo que es una web segura, te darás cuenta de ello cada vez que al entrar en ella encuentres en el navegador que empieza por https en lugar de http. También verás un candado verde en el lado izquierdo de la url, con un mensaje que pone “es seguro”.
Los certificados SSL no solo protegen la web, sino que también pueden estar presentes en diferentes servicios de internet protegiendo incluso correo electrónico, como http, ftp, smtp y más. Tenlo en cuenta en las comunicaciones online de tu empresa.
Tipos de certificados de seguridad
Existen diferentes tipos de certificados, se pueden agrupar según:
- El número de dominios que certifica.
- El tipo de validación de dominio.
1) Certificados SSL según el número de dominios
- Dominio Simple
En este tipo de certifica, sólo se protege un dominio. Por ejemplo, si has comprado el dominio “nombrededominio.com”, sólo vas a proteger dicho dominio, y no estará protegido por ejemplo “blog.nombrededominio.com”, o “nombrededominio.es”.
- WildCard
Es un proceso sencillo que básicamente cubre lo que no cubre el anterior dominio simple: la protección de cualquier subdominio.
Si tienes varios tipos de webs bajo un único dominio, o utilizas un dominio corporativo y necesitas añadir varias herramientas extras, las cuales podrán usarse mediante subdominios, este es el tipo de certificado que te interesa.
- Multi-dominio
Aquí entramos de nuevo en el terreno de las grandes corporaciones, que requieren tener todo bien atado y asegurado.
Sea por el motivo que sea, una empresa o corporación de gran calibre, suele tener varias extensiones para un único dominio (nombrededominio.com, nombrededominio.es, nombrededominio.co.uk, nombrededominio.org).
En lugar de contratar varios certificados SSL diferentes, lo que optan es por contratar un certificado SSL Multidominio. Dichos certificados protegen hasta 100 dominios diferentes bajo el mismo certificado.
Como dominio diferente me refiero a las diferentes extensiones, para normalmente el mismo nombre. Este certificado es también útil si tienes una tienda online que vende en diferentes países, por lo que tienes varios dominios comprados, con varias tiendas distintas pero iguales.
El claro ejemplo es Amazon, que tiene una tienda específica para USA, otra para UK, otra para España, etc., pero siempre bajo la marca Amazon.
- Certificados autoafirmados
Los certificados autoafirmados son otro tipo de certificados más enfocados a webs internas, tipo una intranet, y en definitiva a webs que no son visibles o públicas.
Otro uso fuera de lo privado, no es aconsejable, ya que son muy fácilmente hackeables, por lo que no querrás tener un certificado de este tipo, si tu web recibe visitas anónimas (es decir, si la web es pública).
2) Certificados SSL según el nivel de validación
- Certificados de validación de dominio
Los certificados de validación de dominio tienen una validación realmente sencilla. Lo que se hace es validar al propietario del dominio, normalmente por email, tras hacer ciertas comprobaciones automáticas en los registros DNS del dominio en cuestión.
Este proceso de validación tarda desde unos minutos hasta unas horas, y hará que tu dominio ya pueda aparecer con el deseado “https” en lugar del ya no tan atractivo “http”.
- Certificados de validación de organización
El proceso de verificación de este tipo de certificados aumenta un poco a nivel de complejidad. La validación ha de hacerse a nivel de comprobación humana, y para ello se suele contactar con la organización en sí, y verificar con ellos que efectivamente desean crear ese dominio y hacerlo suyo.
Este proceso dura varios días, y ya incluye cierto gasto económico, al tener que hacerse manualmente por una persona responsable de verificar el dominio y la empresa deseada.
Lo bueno es que, una vez todo se haya hecho, se mostrará la información de la empresa en los detalles del certificado SSL en el dominio, y eso generará mucha más confianza a los visitantes de la web. Este certificado es más usado por pequeñas y medianas empresas, para webs corporativas o herramientas oficiales que utilicen con sus clientes.
- Certificados de validación extendidos
Su verificación es mucho más estricta, incluyendo una comprobación legal de los datos de la empresa, presentación de documentos oficiales, e incluso inspección física de la compañía, para ver que efectivamente existe.
Es un proceso bastante más tedioso, que utilizan corporaciones grandes y conocidas. Toda la verificación suele tardar varias semanas, y es mucho más costosa que las dos anteriores.
Una vez finalice el proceso completo, el dominio web que tenga este tipo de certificado SSL, mostrará una bonita barra verde al lado izquierdo, con el nombre oficial de la compañía, e información oficial de la misma al revisar todos los detalles del certificado en cuestión.
¿Cuáles son las ventajas de tener una conexión segura SSL?
- Más profesionalidad
La web se ve más profesional, da una mejor imagen de la empresa que hay tras ella.
La mayor fortaleza del certificado SSL para una tienda online o una web es el plus de seguridad que proporciona.
Además de utilizar contraseñas alfanuméricas, protocolos HTTPS, cortafuegos y otras medidas de seguridad, la instalación del sello Secure Sockets Layer aportará una capa adicional de seguridad, esencial en el comercio electrónico, ya que como se ha mencionado, cada vez son más los consumidores que buscan el símbolo del candado verde en el navegador para determinar la seguridad del sitio web que visitan.
- Información cifrada e íntegra
La información va cifrada, se encuentra protegida ante cualquier usuario que pueda interceptarla y hacer mal uso de ella.
Se asegura la integridad de la información, de forma que los usuarios pueden estar seguros de que la información del servidor llega tal cual al ordenador o dispositivo móvil desde el que acceden los usuarios. Es una buena solución ante el phishing y el malware.
- Mejor posicionamiento en buscadores
Google tiene en cuenta en sus algoritmos de búsqueda que una web sea segura. La mitad de los resultados de búsqueda en el buscador Google utilizan https, y su tendencia para los próximos años será al alza.
Las webs o tiendas online más seguras tendrán un mejor posicionamiento web con respecto a otras de características similares, por lo que puede ser una buena oportunidad de destacar sobre tu competencia.
- Imprescindible para pagos online
Es necesario para aceptar pagos ya que los estándares de pago por internet se aseguran de que el certificado SSL es de una fuente de confianza.
- Mayores beneficios
Se incrementan las conversiones de la web (la confianza es un valor siempre tanto online como offline), lo que supone más registros, inscripciones e incluso ventas, lo que conlleva a que tu empresa no solo no está perdiendo, sino que también gana más dinero.
Google impulsa el uso del Certificado SSL
Google considera que tienes un problema si tu web no tiene instalado un certificado de seguridad SSL.
Desde principios del 2017, el rey de los buscadores considera este hecho como un problema o advertencia pública que se traduce en consecuencias negativas tanto para el posicionamiento como para la imagen de las tiendas online y webs que no tengan el candado verde de seguridad, es decir el protocolo HTTPS.
Desde hace unos años, el Navegador web creado por Google, Chrome, marca las webs HTTP como sitios no seguros. Cuando una persona abre una página sin SSL, en el navegador Chrome verá una advertencia en la parte superior izquierda indicando que la página no es segura. Por el contrario, las que tengan el protocolo HTTPS, es decir, que tengan certificado SSL mostrarán el mensaje «Es seguro».
Este podría reconocerse como uno de los primeros cambios en el navegador de Chrome, y el inicio del gran cambio que está por llegar. Todo esto puede ayudarnos a sentar las bases de lo que viene. A continuación aclararemos los bloqueos en recursos que está introduciendo Google en su navegador.
Bloque de contenido web por Chrome
El contenido se puede denominar de muchas formas, pero en materia de seguridad podemos distinguir 3 tipos de contenido.
- Contenido seguro, podríamos definirlo como todos los recursos que se encuentran en el servidor bajo ese certificado SSL siendo cargados con HTTPS.
- Contenido no seguro, todo el contenido de la web se encuentra ubicado en un servidor y se transmite sin certificados SSL. Esto hace que hace que la comunicación se transmita por HTTP.
- Contenido mixto, se produce en webs que poseen contenido de ambos tipos, y esto se puede dar por varias razones. La existencia de recursos que se transmiten en HTTP pueden generar errores de visualización, aparte de suponer una brecha de seguridad en tu web. Puede que tu sitio web sea HTTPS, pero si existen recursos cargados mediante HTTP, dejarán de visualizarse.
El bloqueo de estos recursos por parte de Google va a ser gradual, es decir, estos se irán alternando haciendo que los sitios webs parezcan caídos o no seguros.
Queda bastante claro que la recomendación de Google sobre esto ya no es un consejo sino una advertencia o problema y marcará como no seguras todas las páginas que no estén encriptadas con el certificado de Seguridad SSL.
Por lo tanto, si quieres que tu tienda online o web aparezcan siempre con el mensaje de «Es seguro» y que Chrome no te bloquee los recursos que no se transmiten en protocolo seguro HTTPS necesitas instalar un Certificado de Seguridad SSL.
En Acerkate Tecnologías podemos ayudarte a integrar tu certificado SSL con tu web, tienda online o blog.
