¿Qué es SSL, TLS y HTTPS?

¿Qué es un certificado SSL?

SSL es el acrónimo de Secure Sockets Layer (capa de sockets seguros), la tecnología estándar para mantener segura una conexión a Internet, así como para proteger cualquier información confidencial que se envía entre dos sistemas e impedir que los delincuentes lean y modifiquen cualquier dato que se transfiera, incluida información que pudiera considerarse personal. Los dos sistemas pueden ser un servidor y un cliente (por ejemplo, un sitio web de compras y un navegador) o de servidor a servidor (por ejemplo, una aplicación con información que puede identificarse como personal o con datos de nóminas).

Esto lo lleva a cabo asegurándose de que todos los datos que se transfieren entre usuarios y sitios web o entre dos sistemas sean imposibles de leer. Utiliza algoritmos de cifrado para codificar los datos que se transmiten e impedir que los hackers los lean al enviarlos a través de la conexión. Esta información podría ser cualquier dato confidencial o personal, por ejemplo, números de tarjeta de crédito y otros datos bancarios, nombres y direcciones.

El protocolo TLS (Transport Layer Security, seguridad de la capa de transporte) es solo una versión actualizada y más segura de SSL. Si bien aún denominamos a nuestros certificados de seguridad SSL porque es un término más común, al comprar certificados SSL en DigiCert, en realidad se compran los certificados TLS más actualizados con la opción de cifrado ECC, RSA o DSA.

HTTPS (Hyper Text Transfer Protocol Secure o protocolo seguro de transferencia de hipertexto) aparece en la dirección URL cuando un sitio web está protegido por un certificado SSL. Los detalles del certificado, por ejemplo la entidad emisora y el nombre corporativo del propietario del sitio web, se pueden ver haciendo clic en el símbolo de candado de la barra del navegador.

Comparar precios de SSL

Introducción al SSL

Obtenga información sobre cómo funciona la tecnología SSL para proteger la información online e incrementar la confianza en los sitios web.

En los casos de sitios web o negocios online que aceptan pagos con tarjeta de crédito o débito, o en los que se tramita la transferencia de información personal o confidencial como nombres y direcciones, es necesario un certificado SSL para la seguridad del sitio web. Es una de las formas esenciales de hacer que los sitios sean seguros y de que sus clientes estén protegidos, pero especialmente añade la imagen de seguridad en los sitios web.

Un certificado SSL se instala en el servidor pero muestra indicaciones visuales en el navegador, lo que indica a los usuarios que se encuentran protegidos con SSL. Para empezar, si en el sitio está presente SSL, los usuarios verán https:// al principio de la dirección web en lugar de http:// (la "s" extra significa "seguro"). Dependiendo del nivel de validación que un certificado otorga a un negocio, una conexión segura puede mostrarse a través de la presencia de un icono de un candado o una barra de direcciones con una señal verde.

Google aboga ahora por que HTTPS o SSL se usen en toda la red y, desde el año 2014, el motor de búsqueda ha recompensado los sitios web seguros con posiciones mejoradas en la web, otra buena razón para que cualquier sitio instale SSL.

El protocolo TLS (Transport Layer Security, seguridad de la capa de transporte) es el protocolo sucesor de SSL. TLS es una versión mejorada de SSL. Funciona de un modo muy parecido a SSL, utilizando cifrado que protege la transferencia de datos e información. Los dos términos se utilizan con frecuencia indistintamente en la industria, aunque el término SSL sigue siendo el término mayoritario. Cuando usted compra un certificado SSL de DigiCert, puede utilizarlo tanto con protocolos SSL como TLS.

Niveles de autenticación de negocios

Las Autoridades de Certificación (CAs) pueden autenticar la identidad del propietario de un sitio web, al igual que el cifrado, lo que añade otra capa de seguridad. El certificado SSL se utiliza luego como prueba de la identidad de una empresa. Los certificados pueden dividirse en tres grupos de autenticación según el nivel de autenticación, y estos son:

Certificados de validación de dominios

Certificados de validación de organizaciones

Certificados de validación extendida

Estos varían ligeramente en objetivo y función. Vale la pena saber un poco más sobre el funcionamiento de cada uno antes de decidir cuál es el más adecuado.

Certificados SSL de validación de dominios

Estos certificados solo requieren que los negocios demuestren su control sobre el nombre del dominio. El certificado contiene el nombre de un dominio que se proporcionó a la autoridad emisora como parte de la petición. Debido a que aquí no se comprueba la identidad de la organización, los certificados de validación de dominios son los certificados SSL de nivel más básico, y son solamente adecuados para los servidores de pruebas y los enlaces internos.

Certificados SSL de validación de organizaciones

Este certificado requiere no solo que el solicitante demuestre que es propietario del nombre del dominio que quiere que sea seguro, sino también demostrar que su compañía está registrada y es legalmente responsable como negocio. El certificado emitido es, entonces, prueba de dominio y de nombre de la empresa. Este nivel de autenticación es adecuado para sitios web de cara al público que recogen datos personales de los usuarios del sitio. Tenga en cuenta que las personas físicas no pueden obtener tales certificados, sino solo las organizaciones y empresas.

Certificados SSL de validación extendida

El certificado SSL de validación extendida ayuda a proteger a los usuarios de proporcionar sus datos a sitios web falsos que pueden ser posteriormente usados por delincuentes para estafas de phising. Estos certificados requieren las dos validaciones anteriores, de dominio y empresa, así como varios pasos de verificación adicionales relacionados con demostrar que el certificado SSL pertenece a una empresa registrada. Esta información extra de la empresa se representa luego en el certificado emitido en la barra de direcciones y puede accederse a él desde varios navegadores Web haciendo clic en el icono de un candado. Al visitar un sitio con EV SSL, la mayoría de navegadores presentan una barra de direcciones de color verde como señal altamente visual de confianza de un sitio y empresa para gestionar la información personal. Este tipo de certificados solo están disponibles para organizaciones y empresas.

Certificados SSL

Optimice su sitio web con seguridad de confianza con los certificados SSL y Norton Seal.

Comparar Certificados SSL

¿Como funciona un certificado SSL?

El principio básico es que, cuando instala un certificado SSL en el servidor y un navegador se conecta a él, la presencia del certificado SSL activa el protocolo SSL (o TLS), que cifrará la información que se envía entre el servidor y el navegador (o entre servidores); por supuesto, los detalles son un poco más complejos.

El protocolo SSL funciona directamente encima del protocolo de control de transmisión (TCP) y actúa como una especie de capa de seguridad. Permite que las capas de protocolo superiores se mantengan sin cambios y, al mismo tiempo, se proporciona una conexión segura. Así, debajo de la capa de SSL, las demás capas de protocolo pueden funcionar con normalidad.

Si un certificado SSL se utiliza correctamente, lo único que podrá ver un atacante será el puerto y la dirección IP que están conectados, y la cantidad aproximada de datos que se envían. Quizá sean capaces de cortar la conexión, pero el servidor y el usuario podrán percatarse de que esto se debe a un tercero. Sin embargo, como el atacante no puede interceptar ningún dato, esta acción no tiene prácticamente ninguna utilidad.

El hacker puede llegar a averiguar el nombre de host al que está conectado el usuario, pero lo importante es que no podrá identificar el resto de la URL. Como la conexión está cifrada, la información importante queda a salvo.

El protocolo SSL comienza a actuar después de establecerse la conexión TCP e inicia lo que se denomina el protocolo de enlace de SSL.

El servidor envía su certificado al usuario junto con una serie de especificaciones, como la versión de SSL/TLS y los métodos de cifrado que se utilizarán.

A continuación, el usuario comprueba la validez del certificado, selecciona el nivel de cifrado más alto admitido por ambas partes e inicia una sesión segura con estos métodos. Hay una amplia variedad de series de métodos, denominados conjuntos de cifrado, con diferentes puntos fuertes.

Para garantizar la integridad y la autenticidad de todos los mensajes que se transfieren, los protocolos SSL y TLS también incluyen un proceso de autenticación que utiliza códigos de autenticación de mensajes (MAC, Message Authentication Code). Todo esto parece largo y complicado, pero en realidad se efectúa casi de manera instantánea.

Administrar certificados SSL

Optimice su sitio web con seguridad de confianza con los certificados SSL y Norton Seal.

Cómo saber si SSL es necesario

El hecho de que Google esté implementando los HTTPS por toda la web y dando prioridad a sitios que tienen un certificado SSL probablemente indica lo necesario que es el SSL, pero hay otras razones principales por las cuales es necesario obtener un certificado SSL.

Compras seguras

Según Business Insider, el 74 % de los carritos de compra son abandonados, pero hasta el 64 % pueden recuperarse con una mejor seguridad y flujo de salida. Gran parte de este 64 % es más susceptible de completar una compra si sabe que el área de salida es segura. Tal cantidad no puede ignorarse por parte de las empresas. Incluso si solo utilizan SSL para su área de salida, les sale a cuenta.

Ofrecer subscripciones

Si un sitio ofrece la subscripción o cualquier otra operación que implique la recopilación de direcciones electrónicas u otra información confidencial, SSL es una buena idea. Siempre es buena idea mantener la información de los clientes de la forma más segura posible.

Si se utilizan formularios

Lo mismo sucede si se utiliza cualquier tipo de formulario con el que los usuarios enviarán información, documentos o imágenes. Es sorprendente la cantidad de información que se recoge sobre los visitantes de una página web, así que vale la pena protegerla.

Si se trata simplemente de un blog o un sitio informativo estándar, HTTPS puede ayudar a proteger la seguridad de los sitios, reduciendo el riesgo de manipulación y de intrusos que añadan anuncios a la página para destruir la experiencia del cliente. Además, no le hará daño en términos de clasificación en los motores de búsqueda.

¿SSL funciona en todos los dispositivos?

Resumiendo, la respuesta es sí. Por supuesto, hay algunas configuraciones que no funcionarán al 100 %, así que puede resultar útil hablar con el equipo de ventas de la Autoridad certificadora si no se está seguro.

Sistemas operativos y dispositivos

De nuevo, son compatibles con todos los grandes sistemas operativos para ordenadores, tablets y móviles. Sin embargo, en el caso de los móviles, puede ocurrir que algunos dispositivos antiguos no sean compatibles con los protocolos SSL o TLS más nuevos, así que vale la pena indagar para garantizar la máxima compatibilidad. El proveedor de certificados SSL puede ayudarle si tiene alguna duda.

Compatibilidad con los navegadores

La gente usa varios navegadores (Chrome, Firefox, Safari, etc.) para acceder a los contenidos de la web. Del mismo modo que los sitios son creados para funcionar con todas las plataformas de navegadores, los SSL/TLS de un proveedor con buena reputación funcionarán en el 99 % de los casos. Si no es que los usuarios estén accediendo al sitio desde navegadores muy especializados, todos los nombres grandes quedarán cubiertos.

Servidores

Gracias al modo en que funciona SSL, los servidores no necesitan tener certificados raíz integrados, pero sí que necesitará instalar el(los) certificado(s) intermedio(s) correspondiente(s). Si el certificado está instalado correctamente, será compatible con cualquier servidor. Dependerá del navegador determinar si es de confianza o no durante el proceso del protocolo de enlace.

Servicios y funciones clave

Obtenga más información sobre cómo nuestros servicios le ayudan a ampliar la seguridad en su sitio web más allá de SSL.

¿Cuáles son las implicaciones visuales de SSL?

Tal y como hemos explicado en varias ocasiones durante esta guía, normalmente el impacto visual de un certificado SSL es lo que causa un mayor efecto en los usuarios y clientes potenciales. ¿Pero cómo funciona exactamente esto y qué forma visual adoptará un SSL en un sitio?

Al igual que ocurre con cualquier compra, online o no, la mayoría de la gente preferirá comprar con un vendedor de confianza. Los certificados que demuestran autenticidad o especialización en un campo determinado contribuyen en gran medida a hacer sentir a los usuarios una mayor seguridad.

Ese es exactamente el impacto visual que un certificado SSL puede tener en clientes potenciales. SSL y TLS son los mejores estándares de la industria y los más aceptados en materia de seguridad y tales certificados deberían mostrarse con orgullo, donde todo el mundo pueda verlos.

Para empezar, aparecerán en la barra de direcciones. La introducción del sitio será https:// y no http://, y los usuarios insisten cada vez con más frecuencia sobre la diferencia.

La presencia del icono del candado en la barra de direcciones es también un gran indicador de seguridad. Proporciona una mayor confianza a los clientes de que su conexión es segura y está cifrada. Y, tal y como hemos dicho, hace que la gente esté más dispuesta a completar una transacción.

Al usar la forma más segura de certificación, el Certificado SSL de validación extendida, el nombre de la empresa aparece en verde en la barra de direcciones. Es otra forma segura de hacer saber a los clientes que su transacción es 100 % legítima.

Por último, muchos certificados SSL vienen con una imagen de un sello que puede usarse en el sitio para mostrar la marca de SSL que se utiliza. Haga saber a sus clientes que su información y seguridad están a salvo y estarán mucho más dispuestos a confiar en el sitio con su dinero. Los estudios de 2013 muestran que el sello SSL de DigiCert SSL es el más reconocido de la web.

¿Qué es un error de conexión SSL?

Un error de conexión SSL ocurre cuando la página a la que se accede tiene problemas de seguridad. Estos errores ocurren para la protección de los usuarios, interrumpiendo el acceso para informar de que pueden producirse incidencias en la seguridad si continúan.

Pueden tomar varias formas, normalmente distintas en función del navegador elegido. En algunos casos, la página puede volverse roja con la introducción https:// también resaltada en rojo. Si se usa Google Chrome, hay varios mensajes que los usuarios pueden ver aparecer en su pantalla. Estos incluyen "su conexión no es privada" o simplemente, "esta página web no está disponible".

Pueden ocurrir como resultado de un código de seguridad caducado en el sitio web y no significan necesariamente que el sitio web accedido sea sospechoso, pero los usuarios deberían tomarse en serio tales errores de conexión, especialmente si no están seguros al 100 % del sitio de destino.

Pese a que hay formas de evadir los errores de conexión SSL, se recomienda encarecidamente a los usuarios que no lo hagan.

Si durante las pruebas de desarrollo del sitio web se detecta que el sitio presenta errores de conexión SSL, entonces es imprescindible hacer algo al respecto. Esto puede incluir la actualización de la configuración de seguridad o simplemente adquirir un certificado SSL más adaptado. Esto ayudará a los navegadores a establecer que el sitio es seguro y permitirá a los usuarios el acceso sin avisos de seguridad.

¿SSL funciona con el correo electrónico?

La mayoría de los grandes proveedores de correo electrónico utilizan el cifrado SSL para cifrar los correos de los usuarios. En la mayoría de los casos, la opción SSL está activada de forma automática en la configuración del correo electrónico. Para recuperar correos que han disparado un mensaje de error es posible que el usuario tenga que desmarcar esta opción.

Si la cuenta en la que los usuarios recuperan el correo es compatible con SSL, pueden seguidamente seleccionar esta opción para que los datos sean enviados a través de una conexión segura.

Si una empresa está configurando su propio servicio de correo electrónico, el equipo de TI probablemente deberá preguntar a su proveedor si también tienen la seguridad SSL. Esto eliminará los problemas de seguridad al enviar correos masivos e individuales.

Cómo implementar un certificado SSL en un sitio

En función de cómo y dónde se hospeda un sitio, hay varias maneras de añadir un certificado SSL. En algunos casos, si hay un elemento de comercio electrónico en el sitio, será obligatorio tener un certificado. Los grandes proveedores de alojamiento ofrecen a menudo paquetes que incluyen certificados SSL.

También puede ser posible transferir un SSL existente de otros proveedores de alojamiento (exportándolo desde el servidor original e importándolo al nuevo servidor). Será necesario seguir las instrucciones específicas en el sitio del proveedor de alojamiento web. Tenga en cuenta que algunas autoridades de certificación requieren que se compre una licencia de servidor para cada servidor que aloje el certificado.

Haga clic aquí para acceder a las instrucciones de instalación completas

La confianza y su negocio

Lea más sobre cómo DigiCert SSL le ayuda a potenciar su negocio al proporcionar a sus clientes la confianza necesaria para hacer clic.

Resumen de SSL

SSL es una importante herramienta de seguridad para los negocios y una de las que está jugando un papel cada vez más importante en el éxito de las transacciones online. No es nada complicado comprarla e instalarla, y dispone de ayuda durante todo el proceso con muchos proveedores de SSL.

Una introducción https:// y un icono de un candado están solo a unos clics de distancia y pueden tener un gran impacto en su negocio; aumentar sus ventas, generar la confianza del consumidor y potenciar su posición en la web, todo con un solo certificado estándar en la industria.

Glosario de SSL

Cifrado de 256 bits El proceso de codificar un documento electrónico usando un algoritmo la clave del cual es de 256 bits de longitud. Cuanto más larga es la clave, más fuerte es.

Criptografía asimétrica Se trata de códigos que implican un par de 2 claves durante los procesos de encriptación y desencriptación. En el mundo de SSL y TLS se conocen como clave privada y clave pública.

Certificate signing request o petición de entrada certificada (CSR) Formato leíble por máquinas de una aplicación de certificado de DigiCert. Una CSR normalmente contiene la clave pública y el nombre distinguido del solicitante.

Autoridad de certificación (CA) Entidad autorizada para emitir, suspender, renovar o revocar certificados bajo un CPS (Certification Practice Statement, Declaración de Prácticas con Certificados). Las CAs se identifican con un nombre distinguido en todos los certificados y CRLs que emiten. Una autoridad de certificación debe publicar su clave pública, o proporcionar un certificado de una CA de nivel mayor que testifique la validez de su clave pública si es subordinada a una autoridad de certificación primaria. DigiCert es una autoridad de certificación primaria (PCA).

Paquete de cifrado Se trata de un conjunto de protocolos de intercambio de claves que incluye los algoritmos de autenticación, encriptación y autenticación de mensajes utilizados en los protocolos SSL.

Nombre común (CN) Valor de atributo dentro del nombre distinguido de un certificado. En el caso de certificados SSL, el nombre común es el nombre de host DNS del sitio a proteger. En el caso de Certificados de Editores de Software, el nombre común es el nombre de la organización.

Error de conexión Cuando se disparan los problemas de conexión que impiden que una sesión segura se inicie al tratar de acceder al sitio.

Certificados SSL de validación de dominio (DV) El nivel más básico de certificado SSL, en el que solo se valida la propiedad del nombre del dominio antes de emitir el certificado.

Criptografía de curva elíptica (ECC) Crea claves de encriptación basadas en la idea de utilizar puntos en una curva para evadir el par de claves privada/pública. Es extremadamente difícil de romper usando los métodos de fuerza bruta que con frecuencia emplean los hackers y ofrece una solución más rápida con menos capacidad informática necesaria que la pura encriptación de cadena RSA.

Encriptación Proceso de transformar datos leíbles (texto simple) en un formato ininteligible (texto cifrado) para que los datos originales no puedan ser recuperados (encriptación unidireccional) o no puedan ser recuperados sin el uso de un proceso de desencriptación inversa (encriptación bidireccional).

Certificados SSL de validación extendida (EV) La forma más exhaustiva de certificado seguro que valida el dominio, requiere una autenticación de la empresa muy estricta y lo resalta en la barra de direcciones.

Intercambio de clave Es el modo en que los usuarios y el servidor establecen de forma segura el número secreto principal preliminar para una sesión.

Número secreto principal El material clave usado durante la generación de claves de encriptación, secretos MAC y vectores de inicialización.

Código de Autenticación por Mensaje (MAC) Una función algorítmica monodireccional dispuesta a través de un mensaje y un secreto.

Certificados SSL de validación de organización (OV) Un tipo de certificado SSL en el que se valida la propiedad del dominio y la existencia de la organización detrás de este.

Secreto principal preliminar El material clave utilizado para la derivación del secreto principal.

Infraestructura de clave pública (PKI) Arquitectura, organización, técnicas, prácticas y procedimientos que dan soporte colectivo a la implementación y funcionamiento de un sistema criptográfico de clave pública basado en un certificado. El PKI consiste en sistemas que colaboran para proporcionar e implementar el sistema criptográfico de clave pública y, posiblemente, otros servicios relacionados.

Servidor seguro Servidor que protege las páginas web del host usando SSL o TLS. Cuando un servidor seguro está en uso, el servidor es autenticado para el usuario. Además, la información del usuario es codificada por el protocolo SSL del navegador web del usuario antes de ser enviado a través de Internet. La información solo puede ser descifrada por el sitio host que la ha solicitado.

Certificados SSL SAN (Subject Alternative Name, nombre alternativo de sujeto) Tipo de certificado que permite que múltiples dominios sean seguros con un solo certificado SSL.

SSL Es el acrónimo de Secure Sockets Layer, capa de sockets seguros. Protocolo para navegadores web y servidores que permite la autenticación, encriptación y desencriptación de datos enviados a través de Internet.

Certificado SSL Certificado del servidor que permite la autenticación del servidor para el usuario, así como activar la encriptación de datos transferidos entre el servidor y el usuario. Los certificados SSL se emiten y venden directamente por DigiCert, a través del PKI gestionado por DigiCert para el Centro SSL.

Protocolo de enlace SSL Un protocolo usado dentro de SSL con el fin de la negociación de la seguridad.

Encriptación simétrica Método de encriptación que implica que la misma clave se utiliza tanto en el proceso de encriptación como en el proceso de desencriptación.

TCP Protocolo de control de transmisión, uno de los protocolos principales de cualquier red.

Wildcard SSL certificates Tipo de certificado utilizado para que múltiples subdominos sean seguros.

Herramientas de administración

CERTIFICADOS SSL/TLS

Certificados de firma de código

PROGRAMAS PARA SOCIOS

Certificados TLS/SSL RENOVAR