Certificados HTTPS y SSL: haga que su sitio web sea seguro (y por qué debería hacerlo)

Cuando se trata de enviar información personal a través de Internet (ya sea información de contacto, credenciales de inicio de sesión, información de cuenta, información de ubicación o cualquier otra cosa que pueda ser objeto de abuso), el público está, en general, francamente paranoico con respecto a los piratas informáticos y los ladrones de identidad. Y con razón. El temor de que su información pueda ser robada, manipulada o malversada está lejos de ser irracional. Los titulares sobre filtraciones y violaciones de seguridad de las últimas décadas lo demuestran. Pero a pesar de este miedo, la gente sigue conectándose para realizar operaciones bancarias, compras, llevar un diario, tener citas, socializar y otros asuntos personales y profesionales en la web. Y hay una pequeña cosa que les da la confianza para hacerlo. Te lo mostraré:

Aunque no todos entienden cómo funciona, ese pequeño candado en la barra de direcciones indica a los usuarios de la web que tienen una conexión confiable a un sitio web legítimo. Si los visitantes no ven eso en la barra de direcciones cuando acceden a su sitio web, usted no conseguirá (ni debería) conseguir su negocio.

Para obtener ese pequeño candado de la barra de direcciones para su sitio web, necesita un certificado SSL. ¿Cómo se consigue uno? Sigue leyendo para descubrirlo.

Esquema del artículo:

• ¿Qué es SSL/TLS?
• ¿Cómo utilizar HTTPS?
• ¿Qué es un certificado SSL y cómo obtengo uno?
• Guía de compra de certificados SSL
  • Autoridad certificada
  • Validación de dominio versus validación extendida
  • SSL compartido versus SSL privado
  • Sellos de confianza
  • Certificados SSL comodín
  • Garantías
  • Certificados SSL gratuitos y certificados SSL autofirmados
• Instalación de un certificado SSL
• Pros y contras de HTTPS

¿Qué es SSL/TLS?

En la web, los datos se transfieren mediante el Protocolo de transferencia de hipertexto. Es por eso que todas las URL de páginas web tienen “http://” o “http s ://” delante.

¿Cuál es la diferencia entre http y https? Esa pequeña S adicional tiene grandes implicaciones: seguridad.

Dejame explicar.

HTTP es el "lenguaje" que utilizan su computadora y el servidor para comunicarse entre sí. Este lenguaje es universalmente comprendido, lo cual es conveniente, pero también tiene sus inconvenientes. Cuando se pasan datos entre usted y un servidor a través de Internet, éste hará algunas paradas en el camino antes de llegar a su destino final. Esto plantea tres grandes riesgos:

• Que alguien pueda escuchar a escondidas su conversación (algo así como una intervención telefónica digital).

• Que alguien pueda hacerse pasar por una (o ambas) de las partes en cualquiera de los extremos.

• Que alguien pueda alterar los mensajes que se transfieren.

Los piratas informáticos y los idiotas utilizan una combinación de lo anterior para una serie de estafas y atracos, incluidas estrategias de phishing, ataques de intermediario y buena publicidad a la antigua. Los ataques maliciosos podrían ser tan simples como rastrear las credenciales de Facebook interceptando cookies no cifradas (escucha), o podrían ser más sofisticados. Por ejemplo, podría pensar que le está diciendo a su banco: "Por favor, transfiera $100 a mi ISP", pero alguien en el medio podría alterar el mensaje para que diga: "Por favor, transfiera $100 de todo mi dinero a mi ISP Peggy en Siberia" (manipulación de datos). y suplantación de identidad).

Entonces, esos son los problemas con HTTP. Para resolver esos problemas, HTTP se puede superponer con un protocolo de seguridad, lo que da como resultado HTTP Seguro (HTTPS). Por lo general, la S en HTTPS la proporciona el protocolo Secure Sockets Layer (SSL) o el protocolo más nuevo Transport Layer Security (TLS). Cuando se implementa, HTTPS ofrece cifrado bidireccional (para evitar escuchas ilegales), autenticación de servidor (para evitar suplantación de identidad) y autenticación de mensajes (para evitar la manipulación de datos).

Cómo utilizar HTTPS

Al igual que un idioma hablado, HTTPS sólo funciona si ambas partes eligen hablarlo. En el lado del cliente, la elección de utilizar HTTPS se puede realizar escribiendo "https" en la barra de direcciones del navegador antes de la URL (por ejemplo, en lugar de escribir http://www.facebook.com, escriba https://www.facebook .com) o instalando una extensión que fuerce automáticamente HTTPS, como HTTPS Everywhere para Firefox y Chrome . Cuando su navegador web utilice HTTPS, verá un ícono de candado, una barra verde del navegador, un pulgar hacia arriba o alguna otra señal tranquilizadora de que su conexión con el servidor es segura.

Sin embargo, para utilizar HTTPS, el servidor web debe admitirlo. Si es un webmaster y desea ofrecer HTTPS a los visitantes de su web, necesitará un certificado SSL o un certificado TLS. ¿Cómo se obtiene un certificado SSL o TLS? Sigue leyendo.

Lectura adicional: algunas aplicaciones web populares te permiten elegir HTTPS en tu configuración de usuario. Lea nuestros artículos en Facebook , Gmail y Twitter .

¿Qué es un certificado SSL y cómo obtengo uno?

Para utilizar HTTPS, su servidor web debe tener instalado un certificado SSL o un certificado TLS. Un certificado SSL/TLS es como una identificación con fotografía para su sitio web. Cuando un navegador que utiliza HTTPS accede a su página web, realizará un "apretón de manos", durante el cual la computadora cliente solicita el certificado SSL. Luego, el certificado SSL es validado por una autoridad certificadora (CA) confiable, que verifica que el servidor sea quien dice ser. Si todo está bien, el visitante de su web obtendrá la tranquilizadora marca de verificación verde o un icono de candado. Si algo sale mal, recibirán una advertencia del navegador web indicando que no se puede confirmar la identidad del servidor.

Comprar un certificado SSL

Cuando se trata de instalar un certificado SSL en su sitio web, hay una gran cantidad de parámetros sobre los que decidir. Repasemos lo más importante:

Autoridad certificada

La autoridad certificadora (CA) es la empresa que emite su certificado SSL y es la que validará su certificado cada vez que un visitante visite su sitio web. Si bien cada proveedor de certificados SSL competirá en precio y características, lo primero que se debe considerar al examinar a las autoridades certificadoras es si tienen o no certificados que vienen preinstalados en los navegadores web más populares. Si la autoridad certificadora que emite su certificado SSL no está en esa lista, se le advertirá al usuario que el certificado de seguridad del sitio no es confiable. Por supuesto, esto no significa que su sitio web sea ilegítimo; simplemente significa que su CA no está en la lista (todavía). Esto es un problema porque la mayoría de los usuarios no se molestan en leer la advertencia ni en investigar la CA no reconocida. Probablemente simplemente harán clic.

Afortunadamente, la lista de CA preinstaladas en los principales navegadores es bastante grande. Incluye algunas marcas importantes, así como CA menos conocidas y más asequibles. Los nombres más conocidos incluyen Verisign , Go Daddy , Comodo, Thawte, Geotrust y Entrust.

También puede buscar en la configuración de su navegador para ver qué autoridades de certificación vienen preinstaladas.

• Para Chrome, vaya a Configuración -> Mostrar configuración avanzada... -> Administrar certificados.
• Para Firefox, haga Opciones -> Avanzado -> Ver certificados.
• Para IE, Opciones de Internet –> Contenido –> Certificados.
• Para Safari, vaya al Finder y elija Ir -> Utilidades -> Acceso al llavero y haga clic en Sistema.

Validación de dominio versus validación extendida

Un certificado SSL está destinado a demostrar la identidad del sitio web al que envía información. Para garantizar que las personas no obtengan certificados SSL falsos para dominios que no controlan legítimamente, una autoridad certificadora validará que la persona que solicita el certificado es efectivamente el propietario del nombre de dominio. Por lo general, esto se hace mediante una validación rápida por correo electrónico o llamada telefónica, similar a cuando un sitio web le envía un correo electrónico con un enlace de confirmación de cuenta. Esto se denomina certificado SSL validado por dominio . El beneficio de esto es que permite emitir certificados SSL casi de inmediato. Probablemente pueda obtener un certificado SSL de dominio validado en menos tiempo del que le tomó leer esta publicación de blog. Con un certificado SSL validado por el dominio, obtienes el candado y la capacidad de cifrar el tráfico de tu sitio web.

Las ventajas de un certificado SSL validado por dominio es que son rápidos, fáciles y económicos de obtener. Este es también su inconveniente. Como puedes imaginar, es más fácil engañar a un sistema automatizado que a uno dirigido por seres humanos vivos. Es como si un chico de secundaria entrara al DMV diciendo que era Barack Obama y quisiera obtener una identificación emitida por el gobierno. La persona en el escritorio lo miraría y llamaría a los federales (o al manicomio). Pero si fuera un robot trabajando en un quiosco de identificación con fotografía, podría tener algo de suerte. De manera similar, los phishers pueden obtener “identificaciones falsas” para sitios web como Paypal, Amazon o Facebook engañando a los sistemas de validación de dominios. En 2009, Dan Kaminsky publicó un ejemplo de una forma de estafar a las CA para obtener certificados que harían que un sitio web de phishing pareciera una conexión segura y legítima. Para un humano, esta estafa sería fácil de detectar. Sin embargo, la validación automatizada del dominio en ese momento carecía de las comprobaciones necesarias para evitar algo como esto.

En respuesta a las vulnerabilidades de SSL y de los certificados SSL con validación de dominio, la industria ha introducido el certificado de validación extendida . Para obtener un certificado EV SSL, su empresa u organización debe someterse a una investigación rigurosa para garantizar que esté al día con su gobierno y controle legítimamente el dominio que está solicitando. Estos controles, entre otros, requieren un elemento humano y, por tanto, tardan más y son más caros.

En algunas industrias, se requiere un certificado EV. Pero para otros, el beneficio sólo llega hasta donde sus visitantes reconocerán. Para los visitantes habituales de la web, la diferencia es sutil. Además del icono del candado, la barra de direcciones se vuelve verde y muestra el nombre de su empresa. Si hace clic para obtener más información, verá que se ha verificado la identidad de la empresa, no solo el sitio web.

A continuación se muestra un ejemplo de un sitio HTTPS normal:

Y aquí hay un ejemplo de un sitio HTTPS con certificado EV:

Dependiendo de su industria, es posible que no valga la pena obtener un certificado EV. Además, debe ser una empresa u organización para obtener uno. Aunque las grandes empresas están tendiendo hacia la certificación de vehículos eléctricos, notarás que la mayoría de los sitios HTTPS todavía tienen el sabor que no es de vehículos eléctricos. Si es lo suficientemente bueno para Google, Facebook y Dropbox, quizás lo sea para usted.

Una cosa más: existe una opción intermedia llamada certificación validada por una organización o validada por una empresa . Esta es una investigación más exhaustiva que la validación de dominio automatizada, pero no llega tan lejos como para cumplir con las regulaciones de la industria para un certificado de Validación extendida (¿observe cómo la Validación extendida está en mayúsculas y la “validación organizacional” no?). Una certificación OV o validada por una empresa cuesta más y lleva más tiempo, pero no le proporcionará la barra de direcciones verde ni la información de identidad verificada de la empresa. Francamente, no se me ocurre ningún motivo para pagar un certificado OV. Si se te ocurre alguno, por favor ilumíname en los comentarios.

SSL compartido versus SSL privado

Algunos servidores web ofrecen un servicio SSL compartido, que suele ser más asequible que un SSL privado. Aparte del precio, el beneficio de un SSL compartido es que no necesita obtener una dirección IP privada ni un host dedicado. La desventaja es que no puedes utilizar tu propio nombre de dominio. En cambio, la parte segura de su sitio será algo como:

https://www.hostgator.com/~tudominio/secure.php

Compare eso con una dirección SSL privada:

https://www.tudominio.com/secure.php

Para los sitios públicos, como los sitios de comercio electrónico y los sitios de redes sociales, esto obviamente es un lastre ya que parece que lo han redirigido desde el sitio principal. Pero para áreas que normalmente no son vistas por el público en general, como las entrañas de un sistema de correo o un área de administrador, entonces un SSL compartido podría ser una buena opción.

Sellos de confianza

Muchas autoridades certificadoras le permiten colocar un sello de confianza en su página web después de haberse registrado para obtener uno de sus certificados. Esto proporciona prácticamente la misma información que daría al hacer clic en el candado en la ventana del navegador, pero con mayor visibilidad. No es necesario incluir un sello de confianza, ni amplifica su seguridad, pero si les da a sus visitantes la cálida sensación de saber quién emitió el certificado SSL, por supuesto, tírelo allí.

Certificados SSL comodín

Un certificado SSL verifica la identidad de un dominio. Por lo tanto, si desea tener HTTPS en varios subdominios (por ejemplo, groovypost.com, mail.groovypost.com y forum.groovypost.com ), deberá comprar tres certificados SSL diferentes. En cierto punto, un certificado SSL comodín se vuelve más económico. Es decir, un certificado para cubrir un dominio y todos los subdominios, es decir, *.groovypost.com.

Garantías

No importa cuán duradera sea la buena reputación de una empresa, existen vulnerabilidades. Incluso las CA confiables pueden ser atacadas por piratas informáticos, como lo demuestra la violación en VeriSign que no se informó en 2010. Además, el estado de una CA en la lista confiable puede revocarse rápidamente, como vimos con el problema de DigiNotar en 2011. Suceden cosas .

Para mitigar cualquier inquietud sobre la posibilidad de que se produzcan actos aleatorios de libertinaje SSL, muchas CA ofrecen ahora garantías. La cobertura varía desde unos pocos miles de dólares hasta más de un millón de dólares e incluye pérdidas resultantes del mal uso de su certificado u otros percances. No tengo idea de si estas garantías realmente agregan valor o no, o si alguien alguna vez ganó un reclamo con éxito. Pero están ahí para su consideración.

Certificados SSL gratuitos y certificados SSL autofirmados

Hay dos tipos de certificados SSL gratuitos disponibles. Un autofirmado, utilizado principalmente para pruebas privadas y certificados SSL públicos completos emitidos por una autoridad certificadora válida. La buena noticia es que, en 2018, existen algunas opciones para obtener certificados SSL válidos de 90 días, 100 % gratuitos, tanto de SSL for Free como de Let's Encrypt . SSL gratis es principalmente una GUI para la API Let's Encrypt. La ventaja del sitio SSL gratis es que es fácil de usar ya que tiene una interfaz gráfica de usuario agradable. Let's Encrypt, sin embargo, es bueno ya que puede automatizar completamente la solicitud de certificados SSL. Es ideal si necesita certificados SSL para varios sitios web/servidores.

Un certificado SSL autofirmado es gratuito para siempre. Con un certificado autofirmado, usted es su propia CA. Sin embargo, debido a que usted no se encuentra entre las CA confiables integradas en los navegadores web, los visitantes recibirán una advertencia de que el sistema operativo no reconoce la autoridad. Como tal, realmente no hay garantía de que usted sea quien dice ser (es como emitirse una identificación con fotografía e intentar hacerla pasar en la licorería). Sin embargo, la ventaja de un certificado SSL autofirmado es que permite el cifrado del tráfico web. Podría ser bueno para uso interno, donde puede hacer que su personal agregue su organización como una CA confiable para deshacerse del mensaje de advertencia y trabajar en una conexión segura a través de Internet.

Para obtener instrucciones sobre cómo configurar un certificado SSL autofirmado, consulte la documentación de OpenSSL. (O, si hay suficiente demanda, escribiré un tutorial).

Instalación de un certificado SSL

Una vez que haya comprado su certificado SSL, deberá instalarlo en su sitio web. Un buen proveedor de alojamiento web se ofrecerá a hacer esto por usted. Algunos incluso podrían ir tan lejos como para comprárselo. A menudo, esta es la mejor manera de hacerlo, ya que simplifica la facturación y garantiza que esté configurada correctamente para su servidor web.

Aún así, siempre tienes la opción de instalar un certificado SSL que hayas comprado por tu cuenta. Si hace eso, es posible que desee comenzar consultando la base de conocimientos de su proveedor de alojamiento web o abriendo un ticket de asistencia técnica. Le indicarán las mejores instrucciones para instalar su certificado SSL. También debe consultar las instrucciones proporcionadas por la CA. Estos le brindarán una mejor orientación que cualquier consejo genérico que pueda brindarle aquí.

Es posible que también desee consultar las siguientes instrucciones para instalar un certificado SSL:

• Cómo implementar SSL en IIS (Windows Server)
• Cifrado Apache SSL/TLS

Todas estas instrucciones implicarán la creación de una Solicitud de firma de certificado SSL (CSR). De hecho, necesitará un CSR solo para obtener un certificado SSL. Nuevamente, su proveedor de alojamiento web puede ayudarlo con esto. Para obtener información más específica sobre cómo crear un CSR, consulte este artículo de DigiCert .

Pros y contras de HTTPS

Ya hemos establecido firmemente las ventajas de HTTPS: seguridad, seguridad, seguridad. Esto no sólo mitiga el riesgo de una filtración de datos, sino que también infunde confianza y añade reputación a su sitio web. Es posible que los clientes inteligentes ni siquiera se molesten en registrarse si ven un "http://" en la página de inicio de sesión.

Sin embargo, HTTPS tiene algunas desventajas. Dada la necesidad de HTTPS para ciertos tipos de sitios web, tiene más sentido pensar en ellos como “ consideraciones ” y no como aspectos negativos.

• HTTPS cuesta dinero . Para empezar, está el costo de comprar y renovar su certificado SSL para garantizar la validez año tras año. Pero también existen ciertos “requisitos del sistema” para HTTPS, como una dirección IP dedicada o un plan de alojamiento dedicado, que pueden ser más costosos que un paquete de alojamiento compartido.
• HTTPS puede ralentizar la respuesta del servidor. Hay dos problemas relacionados con SSL/TLS que pueden ralentizar la velocidad de carga de su página. Primero, para comenzar a comunicarse con su sitio web por primera vez, el navegador del usuario debe pasar por el proceso de protocolo de enlace, que regresa al sitio web de la autoridad certificadora para verificar el certificado. Si el servidor web de la CA está lento, habrá un retraso en la carga de su página. Esto está en gran medida fuera de su control. En segundo lugar, HTTPS utiliza cifrado, lo que requiere más potencia de procesamiento. Esto se puede solucionar optimizando el ancho de banda de su contenido y actualizando el hardware de su servidor. CloudFare tiene una buena publicación de blog sobre cómo y por qué SSL podría ralentizar su sitio web.
• HTTPS puede afectar los esfuerzos de SEO. Cuando realiza la transición de HTTP a HTTPS; te estás mudando a un nuevo sitio web. Por ejemplo, http://www.groovypost.com no sería lo mismo que https://www.groovypost.com . Es importante asegurarse de haber redirigido sus enlaces antiguos y haber escrito las reglas adecuadas bajo el capó de su servidor para evitar perder el valioso enlace.
• El contenido mixto puede generar una señal de alerta . Para algunos navegadores, si tiene la parte principal de una página web cargada desde HTTPS, pero las imágenes y otros elementos (como hojas de estilo o scripts) cargados desde una URL HTTP, puede aparecer una ventana emergente advirtiendo que la página incluye contenido no seguro. . Por supuesto, tener contenido seguro es mejor que no tener ninguno, aunque esto último no genere una ventana emergente. Pero aun así, puede que valga la pena asegurarse de no tener ningún "contenido mixto" en sus páginas.
• A veces, es más fácil conseguir un procesador de pagos de terceros . No es ninguna vergüenza dejar que Google Checkout, Paypal o Checkout by Amazon se encarguen de sus pagos. Si todo lo anterior parece demasiado para discutir, puede permitir que sus clientes intercambien información de pago en el sitio seguro de Paypal o en el sitio seguro de Google y ahorrarse el problema.

¿Tiene alguna otra pregunta o comentario sobre los certificados HTTPS y SSL/TLS? Déjame escucharlo en los comentarios.