Protocolos SSL. Certificados de seguridad ¿es segura mi web?

Desde hace ya un tiempo google esta priorizando en los resultados de búsqueda de sus motores las webs que usan protocolos de seguridad para encriptar la información. Todos los navegadores actuales nos muestran un aviso, mas o menos llamativo, en caso de que estemos viendo una web sin SSL, sin protocolo de seguridad. Antes de la url de la web que estamos viendo veremos https:// en lugar del http:// tradicional, lo que nos indica que estamos bajo un protocolo de cifrado. Además en casi todos los navegadores aparece un símbolo, un candado normalmente que nos indica que estamos baja una conexión cifrada.

Si hacemos click en ese candado podemos ver información acerca del certificado, quien lo emitió, y dependiendo del tipo de certificado para quien ha sido emitido y otros datos relevantes.

 

¿Que implica ver una web con protocolo https?

Pues implica que toda la información que estemos viendo, y sobre todo la que nosotros enviemos, como formularios con datos personales, emails para solicitudes de registro, palabras introducidas para realizar búsquedas en esa web, …, van cifradas y por lo tanto solo nosotros y el sistema de la web donde estamos puede saber que información es. Los datos por lo tanto ‘viajan seguros’ por internet.

Es importante en webs donde introducimos datos personales y sobre todo datos bancarios o con claves/contraseñas personales.

Pero además, pero esto ya dependiendo del tipo de certificado de la web, este certificado puede llegar a servir para garantizar la legitimidad y autenticidad de dominio/web que estamos viendo.

 

Tipos de certificados

Podemos dividir en tres modalidades los tipos de certificados de seguridad, atendiendo a sus tipos de validación:

  • Validación por dominio
    Las ventajas principales de los certificados de validación de dominio es la rapidez de emisión, pues solamente precisan de la verificación del dominio para realizar el procedimiento y además son los más económicos. Son ideales para proyectos web sencillos, págs. informativas ó corporativas.
  • Validación por empresa
    Los certificados de validación por empresa precisan de datos adicionales para completar su emisión, presentar documentos de empresa y por lo tanto se tarda mucho más en realizar la gestión de emisión.
  • Validación extendida
    Es el nivel más alto de validación. Los certificados de Validación Extendida o Extended Validation (EV) proporcionan un alto grado de confianza a tus visitantes gracias a que mostrarán la barra verde en el momento de acceder a tu sitio web.Este tipo de certificados precisan además de la verificación de datos del dominio y la empresa, del envío de formularios firmados para poder obtenerla.

Luego hay variaciones, por ejemplo el certificado de validación de dominio solamente vale para un dominio en su versión con y sin las 3 w, es decir, ejemplo para: www.novomilenio.com y novomilenio.com, pero para los subdominios (blog.novomilenio.com) ya no sirve, hay que contratar un extra que permita subdominios.

¿Que certificado necesito para mi web?

Es una pregunta dificil de responder ya que depende de los contenidos de la web y del grado de confiabilidad que queramos darle al usuario. Los certificados más básicos (incluso los que son gratuitos) ofrecen un nivel de cifrado más que suficiente, que garantizan la transferencia segura de la información. Pero otro tema muy distinto es la confianza que le puede generar al usuario el certificado de nuestra web. Un certificado de pago estará emitido por un empresa de seguridad archiconocida y con reputación en el sector. Si además del certificado es de validación de empresa o validación extendida, la empresa que emite el certificado exigirá documentación al usuario/empresa que solicita el mismo, y esa información estar reflejada en los datos del certificado y si un usuario lo ve (desde el navegador haciendo click en el candado) verá que el certificado ha sido emitido para la empresa de manera explícita y por lo tanto aumentará la confianza del mismo en ese sitio web.

Esto se ilustra perfectamente en estas capturas a modo de ejemplo:

 

Página sin certificado

Certificado de validación de dominio (de pago anual)

Certificados de validación por empresa y extendida

 

Como se ve es un tema de imagen y confianza. Como es puede apreciar en las capturas, en certificado de validación de dominio no sabemos realmente a nombre de quien está ese dominio ni quien lo registró, mientras que en los de validación de empresa vemos a quien se le concedió ese certificado, porque además la empresa que emite el certificado exigirá documentación a la empresa que los solicita. De esta manera la confianza generada por nuestra web será mucho mayor. Es decir, si tenemos una tienda on-line, y un usuario quiere comprar un producto y ve nuestro certificado, estará mucho más tranquilo si ve que el certificado ha sido emitido explicitamente para la empresa.

 

¿Y los certificados gratuitos o de bajo coste sirven?

Hay varias alternativas bien de bajo coste bien gratuitas que permite que nuestra web disponga de un certificado de seguridad. El ejemplo más claro es Let’s Encrypt, certificado gratuitos (se suele cobrar solo por su instalación en el servidor, el certificado en sí es gratis) de fácil instalación en la mayoría de los servidores.

¿Es suficiente con este certificado para mi web? En teoría sí porque a nivel de encriptación, no hay apenas diferencia con los otros. De hecho nosotros tenemos bastantes dominios con este certificado instalado y no ha habido ningún tipo de problema. Pero claro la garantía y soporte técnico que nos ofrecen las empresas certificadores (con certificados de pago) como Comodo,Thawte, Symantec,…, en este certificado no existe ya que su instalación es automática y ante problemas y dudas no se puede reclamar ni preguntar a nadie, es decir que el de pago tiene una garantías que let´s encrypt no da. No es lo mismo que un usuario vaya a ver los datos de un certificdado y ponga: Verificado por: Let’s Encrypt a que ponga Verificado por: COMODO CA limited, esta es una reconocida empresa de seguridad informática, la otra no. Y si el certificado es de empresa o extendido más aún ya que se ve la info de empresa en el propio certificado, como se puede ver en las capturas.

Por otro lado las empresas que emiten certificados de pago nos ofrencen unas garantías así como un soporte técnicno en la instalación y mantenimiento del certificado que no tenemos con certificados gratuitos ya que su instalación está automatizada.

La respuesta a la pregunta  del título por lo tanto es sí y no. Sí sirven para garantizar la encriptación de la información sin ninguna duda. No sirven o estan limitados a la hora de dar confianza al usuario, o al menos no tanta confianza como los certificados de pago.

 

Precios y disponibilidad

Los precios de estos certificados están variando constantemente, sobre todo con la alta demanda que hay ahora. Nosotros trabajamos con varias entidades certificadores de reconocido prestigio, y los precios pueden rondar desde los 55€ hasta los 270€ al año, precio de certificado + instalación del mismo depende del tipo de certificado que se quiera instalar. Decir que no es un precio fijo, variar en función de las propias certificadoras y muchas de de ofertas puntuales que nos ofrecen.

 

Si tienes dudas acerca de este tema, y quieres un presupuesto para un certificado no dudes en ponerte en contacto con nosotros mediante nuestra web www.novomilenio.com o en el 988 245 778

Escriba una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


*