¿Qué son SSL, TLS y HTTPS?

¿Qué es un certificado SSL?

SSL son las siglas de Secure Sockets Layer (capa de sockets seguros); en resumen, es la tecnología estándar para mantener segura una conexión a Internet, así como para proteger toda información confidencial que se envía entre dos sistemas, e impedir que los delincuentes lean y modifiquen datos que se transfieran, incluso datos que pudieran considerarse personales. Los dos sistemas pueden ser un servidor y un cliente (por ejemplo, un sitio web de compras y un navegador), o de servidor a servidor (por ejemplo, una aplicación con información que se considere personal o con datos de nóminas).

Esto lo lleva a cabo asegurándose de que todos los datos que se transfieren entre usuarios y sitios web, o entre dos sistemas, sean imposibles de leer. Utiliza algoritmos de cifrado para codificar los datos que se transmiten e impedir que los hackers los lean al enviarlos a través de la conexión. Esta información podría ser cualquier dato confidencial o personal, por ejemplo, números de tarjeta de crédito y otros datos bancarios, nombres y direcciones.

El protocolo TLS (Transport Layer Security o seguridad de la capa de transporte) es solo una versión actualizada y más segura de SSL. Si bien aún denominamos nuestros certificados de seguridad como SSL porque es un término más común, al comprar certificados SSL de Symantec en realidad se compran los certificados TLS más actualizados con la opción de cifrado ECC, RSA o DSA.

HTTPS (Hyper Text Transfer Protocol Secure o protocolo seguro de transferencia de hipertexto) aparece en la dirección URL si un sitio web está protegido por un certificado SSL. Los detalles del certificado, por ejemplo, la entidad emisora y el nombre corporativo del propietario del sitio web, se pueden ver haciendo clic en el símbolo de candado en la barra del navegador.

Comparación de precios de SSL

Introducción a SSL

Obtenga información sobre cómo funciona SSL para proteger la información en línea y aumentar la confianza en los sitios web.

En el caso de las empresas en línea y los sitios web que aceptan pagos con tarjeta de crédito o de débito, o bien, que requieren que se transfieran datos personales delicados, como nombres y direcciones, el certificado SSL es una necesidad por cuestiones de seguridad del sitio web. Se trata de una manera esencial de asegurarse de que los sitios web sean seguros y de que el cliente quede protegido; no obstante, también realza de forma crucial el aspecto de seguridad de los sitios web.

El certificado SSL se instala del lado del servidor, aunque no haya ninguna pista visual en el mismo, la cual indique al usuario que está protegido por el certificado. En primer lugar, si el certificado SSL se encuentra en el sitio, el usuario verá https:// al principio de la dirección web en lugar de http:// (la "s" adicional significa "seguro"). Según el nivel de validación que un certificado da a la empresa, si hay un icono de candado o una señal de barra de dirección verde, quiere decir que hay una conexión segura.

Google ahora impulsa la idea de que HTTPS, o SSL, se deben utilizar en todas partes de la web y, a partir de 2014, el motor de búsqueda recompensa a los sitios con mejores clasificasiones web, la cual es otra buena razón para que los sitios instalen el certificado SSL.

El protocolo de seguridad de la capa de transporte (TLS) es el sucesor del protocolo SSL. El protocolo TLS es una versión mejorada de SSL. En gran medida funciona igual que SSL, al utilizar el cifrado para proteger la transferencia de datos e información. Los dos términos suelen utilizarse de manera intercambiable en la industria, aunque SSL aún se emplea mucho. Al adquirir un certificado 'SSL' de Symantec, por supuesto que puede usarlo con ambos protocolos, SSL y TLS.

Niveles de autenticación empresarial

Así como con el cifrado, las entidades de certificación (CA) también pueden autenticar la identidad del propietario de un sitio web, lo cual agrega otra capa de seguridad. En ese caso, el certificado SSL se utiliza como prueba de la identidad de la empresa. Los certificados se pueden dividir en tres grupos con base en el nivel de autenticación, los cuales son:

Certificados de validación de dominio

Certificados de validación de organización

Certificados de validación extendida

Estos varían ligeramente en propósito y función. Es recomendable saber un poco más sobre la forma en que cada uno de ellos funciona antes de determinar cuál es el más adecuado.

Certificados SSL de validación de dominio

Estos requieren que las empresas demuestren que tienen control solamente sobre el nombre del dominio. El certificado contiene el nombre de dominio que se proporcionó a la entidad emisora como parte de la solicitud. Debido a que la identidad de la organización no se verifica aquí, los certificados validados de dominio son el nivel más básico de certificación SSL y solo son adecuados en servidores de pruebas y vínculos internos.

Certificados SSL de validación de organización

Esto requiere que el solicitante no solo compruebe que es el propietario del nombre de dominio que desee proteger, sino que también debe demostrar que su empresa está registrada y que es legalmente responsable como tal. El certificado que se emite en ese caso es la prueba del nombre del dominio y de la empresa. Este nivel de autenticación es adecuado para sitios públicos que recolectan datos personales de sus usuarios. Cabe mencionar que una persona no puede obtener este tipo de certificados, ya que solo son para organizaciones y empresas.

Certificados SSL de validación extendida

Los certificados de validación extendida SSL ayudan a proteger a los usuarios para que no proporcionen datos a sitios web fraudulentos, los cuales pueden ser utilizados por delincuentes para suplantar la identidad. EV SSL requiere las dos validaciones anteriores de dominio y empresa, así como diversos pasos de verificación a fin de comprobar que el certificado SSL pertenezca a una empresa registrada. Después, esa información adicional de la empresa se incluye en la barra de dirección del certificado que se emite y se puede obtener acceso a ella mediante varios exploradores web, haciendo clic en el icono de candado. Al visitar un sitio con EV SSL, en muchos exploradores se muestra una barra de dirección verde como señal sumamente visible de que se tiene confianza en el sitio web y en la empresa para que manejen datos personales. Este tipo de certificado también se ofrece solamente a organizaciones y empresas.

Certificados SSL

Optimice la confianza en cuanto a la seguridad de su sitio web con certificados SSL y el Norton Seal Seal.

Comparación de certificados SSL

¿Cómo funciona un certificado SSL?

El principio básico es que, al instalar un certificado SSL en el servidor y un navegador se conecta a él, la presencia del certificado SSL activa el protocolo SSL (o TLS), que cifra la información que se envía entre el servidor y el navegador (o entre servidores); por supuesto, los detalles son un poco más complejos.

El protocolo SSL funciona directamente encima del protocolo de control de transmisión (TCP) y actúa como una especie de capa de seguridad. Permite que las capas de protocolo superiores se mantengan sin cambios y al mismo tiempo se proporciona una conexión segura. Así que, debajo de la capa de SSL, las otras capas de protocolo pueden funcionar con normalidad.

Si un certificado SSL se utiliza correctamente, lo único que podrá ver un atacante será el puerto y la dirección IP que están conectados, y la cantidad aproximada de datos que se envían. Quizá puedan cortar la conexión, pero el servidor y el usuario podrán percatarse de que esto se debe a un tercero. Sin embargo, como el atacante no puede interceptar ningún dato, esta acción no tiene prácticamente ninguna utilidad.

Tal vez el hacker llegue a averiguar el nombre del host al que está conectado el usuario, pero lo importante es que no podrá identificar el resto de la URL. Dado que la conexión está cifrada, la información importante queda a salvo.

El protocolo SSL comienza a actuar después de establecerse la conexión TCP e inicia lo que se denomina el protocolo de enlace de SSL.

El servidor envía su certificado al usuario junto con una serie de especificaciones (como la versión de SSL/TLS y los métodos de cifrado que se utilizarán).

A continuación, el usuario comprueba la validez del certificado, selecciona el nivel de cifrado más alto admitido por ambas partes e inicia una sesión segura con estos métodos. Hay una amplia variedad de series de métodos, denominados conjuntos de cifrado, cada uno con diferentes puntos fuertes.

A fin de garantizar la integridad y la autenticidad de todos los mensajes que se transfieren, los protocolos SSL y TLS también incluyen un proceso de autenticación que utiliza códigos de autenticación de mensajes (MAC, Message Authentication Codes). Todo esto parece tedioso y complicado, pero en realidad se efectúa casi de manera instantánea.

Administración de certificados SSL

Optimice la confianza en cuanto a la seguridad de su sitio web con certificados SSL y el Norton Seal Seal.

Cómo saber si se necesita un certificado SSL

El hecho de que Google está empujando el uso de HTTPS en toda la web y dando prioridad a los sitios que tengan un certificado SSL, es probable que sea un indicador de lo mucho que se necesita el protocolo SSL; no obstante, las siguientes son las principales razones para obtenerlo.

Compras protegidas

Según Business Insider, el 74% de los carritos de compra se abandonan, pero hasta un 64% se puede recuperar si se ofrece mejor seguridad y fluidez al momento de pagar. De ese 64%, una gran parte de los usuarios tiene más posibilidades de cerrar la compra si tiene la certeza de que la página para pagar es segura. Es una cifra que muchas empresas no se pueden dar el lujo de pasar por alto. Ya que, aun si solamente utilizan el protocolo SSL en su página de pago, bien vale la pena.

Ofrecimiento de membresías

Si un sitio ofrece membresía o algo que implique recolectar direcciones de correo electrónico y otros datos delicados, entonces el certificado SSL es una buena idea. Siempre es prudente mantener la información del cliente lo más protegida que se pueda.

Si se emplean formularios

Lo mismo aplica si los sitios emplean algún formulario donde el usuario ponga información, documentos o imágenes. Es sorprendente la cantidad de información que se recaba de los visitantes de un sitio, así que vale la pena mantenerla segura.

Si se trata de un blog o un sitio estándar de ‘solo información’, HTTPS puede ayudar a proteger la seguridad de los sitios, reducir el riesgo o la manipulación e impedir que los intrusos inyecten anuncios en las páginas para interrumpir la experiencia del usuario. Además, en realidad no se afecta la clasificación de los motores de búsqueda.

¿Funciona el certificado SSL en todo tipo de dispositivos?

En pocas palabras, la respuesta a esta pregunta es sí. Por supuesto que hay ciertas configuraciones que no funcionan al 100%, así que, si no se tiene certeza, podría ser de utilidad hablar con el equipo de ventas de la entidad de certificación.

Dispositivos y sistemas operativos

Reiteramos, se admiten todos los sistemas operativos principales para computadoras, tabletas y teléfonos moviles. No obstante, en el caso de los dispositivos móviles, existe la posibilidad de que aquellos que sean más antiguos no admitan protocolos SSL o TLS más recientes, así que es recomendable investigar para garantizar la máxima compatibilidad. Si se tienen dudas, el proveedor del certificado SSL puede ayudar.

Compatibilidad con los navegadores

La gente utiliza diversos navegadores (Chrome, Firefox, Safari, etc.) para obtener acceso a contenido en la web. Así como se crean sitios de modo que funcionen en todas las plataformas de navegación, un certificado SSL/TLS que emita un proveedor de renombre también funciona en el 99% de los casos. A menos que el usuario ingrese a un sitio mediante un explorador sumamente especializado, todos los nombres importantes quedarán cubiertos.

Servidores

Gracias a la manera en que funciona SSL, los servidores en realidad no necesitan tener certificados raíz incorporados, aunque lo que sí se necesita es que se instalen los certificados intermedios correspondientes. Siempre y cuando el certificado se instale correctamente, cualquier servidor lo admite. Todo depende de que el navegador determine si le confía o no durante el proceso de enlace.

Servicios y funciones principales

Averigüe más sobre la manera en que nuestros servicios ayudan a ampliar la seguridad de su sitio web más allá de SSL.

¿Cuáles son las implicaciones visuales de SSL?

Como ya se ha mencionado varias veces en esta guía, es a menudo el impacto visual del certificado SSL lo que surte el mayor efecto en el usuario y el cliente potencial. Ahora, ¿cómo funciona esto exactamente y qué forma visual adquiere SSL en un sitio?

Al igual que con todo tipo de compras, ya sea en línea o no, es más probable que la mayoría de la gente compre en un negocio de prestigio. Los certificados que demuestran autenticidad o destreza en cierto campo ayudan muchísimo a que el cliente se sienta más seguro.

Ese es exactamente el impacto visual que puede llegar a tener un certificado SSL en un cliente potencial. SSL y TLS son las mejores y más aceptadas normas de seguridad de la industria, y el certificado se debe colocar con orgullo en un lugar donde cualquiera lo pueda ver.

Primero que nada, se muestra en la barra de dirección. El prefijo del sitio contendrá https:// en lugar de http:// y los usuarios insisten con más frecuencia en la diferencia.

El icono de candado que aparece en la barra de dirección también es una gran indicación de seguridad. Da la certeza al cliente de que su conexión es segura y está cifrada. Además, como se mencionó, aumenta las probabilidades de que la gente termine una transacción.

Al utilizar la forma más segura del certificado, es decir, el certificado SSL de validación extendida, el nombre de la empresa se muestra en verde en la barra de dirección. Es otra manera segura de indicar al cliente que el sitio es 100% legítimo.

Por último, muchos certificados SSL vienen con una imagen de sello, la cual se puede utilizar en el sitio para mostrar la marca de SSL que se emplea. Ponga al tanto a sus clientes de que su seguridad e información están protegidas, y eso aumentará las posibilidades de que depositen su confianza en el sitio para gastar su dinero. Estudios realizados en 2013 muestran que el sello SSL de Symantec SSL es el más reconocido en la web.

¿En qué consiste el error de conexión SSL?

Un error de conexión SSL es aquel que sucede cada vez que se ingresa a una página y esta tiene problemas de seguridad. Se presenta con el fin de proteger al usuario, de modo que se interrumpe el acceso para informar a la persona que podrían haber riesgos de seguridad si se continúa avanzando en la página.

Se puede presentar de diversas formas, las cuales a menudo difieren del navegador de preferencia. En otros casos, la página tal vez se ponga de color rojo con el prefijo https:// también resaltado en rojo. Con Google Chrome, hay una cantidad de mensajes que el usuario podría ver abrirse en la pantalla. Entre ellos uno que dice ‘su conexión no es privada’ y otro que indica ‘esta página web no está disponible’.

Podría tratarse de un código de seguridad obsoleto y no significa necesariamente que el sitio al que se desee ingresar sea sospechoso; no obstante, el usuario debe tomar los errores de conexión con seriedad, sobre todo si no está 100% seguro en cuanto al sitio de destino.

Si bien hay maneras de circunnavegar los errores de conexión SSL, se recomienda ampliamente no intentarlo.

Si en las pruebas de desarrollo de un sitio web se encuentra que el mismo tiene errores de conexión SSL, entonces es imperativo hacer algo al respecto rápidamente. Eso podría implicar la actualización de la configuración de seguridad o simplemente adquirir un certificado SSL más adaptado. De ese modo se permite que el navegador establezca que el sitio es seguro y que el usuario obtenga acceso sin advertencias de seguridad.

¿Funciona el certificado SSL en el correo electrónico?

La mayoría de los principales proveedores de correo electrónico utiliza cifrado SSL en el correo de los usuarios. En muchos casos, la opción SSL se marca de forma automática en la configuración del correo electrónico. Para recuperar mensajes que hayan sido marcado con un mensaje de error, puede que el usuario tenga que desmarcar esta opción.

Si la cuenta donde el usuario recupera los mensajes admite SSL, entonces puede seleccionar esta opción para que los datos sean enviados a través de una conexión segura.

Si una empresa configura su propio servicio de correo, es posible que el equipo de TI tenga que consultar con el proveedor para ver si cuenta con protección por SSL. Con eso se eliminan los problemas de seguridad al enviar imágenes y correo individual.

Cómo implementar el certificado SSL en un sitio

Hay diversas maneras de agregar un certificado SSL, pero todo depende de la forma en que el sitio esté alojado y dónde se aloje. En algunos casos, si existe un elemento de comercio electrónico en el sitio, será requisito contar con un certificado. Los principales proveedores ofrecen paquetes de alojamiento que incluyen certificados SSL.

También podría ser posible transferir un certificado SSL ya existente de otro host (exportarlo del servidor original e importarlo al nuevo servidor). Para ello será necesario seguir las instrucciones específicas del sitio web del host. Cabe mencionar que algunas entidades de certificación piden que se adquiera una licencia para cada servidor que aloje el certificado.

Para ver todas las instrucciones de instalación, haga clic aquí

La confianza y su empresa

Averigüe la forma en que Symantec SSL le ayuda a impulsar su negocio al infundir confianza al cliente para que haga clic.

1Peligros ocultos que acechan en el comercio electrónico: Cómo reducir el fraude con el certificado SSL adecuado
2El nuevo Norton Seal

3La sicología de la confianza en los sitios web
4Para el consumidor: Protéjase en Internet

Resumen de SSL

SSL es una importante herramienta de seguridad para las empresas y una que tiene una función cada vez más vital en las transacciones en línea. En realidad no es tan complicado adquirirla e instalarla, y muchos proveedores de SSL brindan ayuda a lo largo del camino.

El prefijo https:// y el icono de candado se encuentran a solo unos clics, y podrían tener un gran impacto en la empresa, aumentar las ventas, infundir confianza al cliente y aumentar la clasificación en la web, todo con un solo certificado estándar de la industria.

Glosario de SSL

Cifrado de 256 bits Proceso de mezclar un documento electrónico mediante un algoritmo cuya clave tiene 256 bits de longitud. Mientras más larga sea la clave, más sólido es el cifrado.

Criptografía asimétrica Cifrados que implican un par claves durante el proceso de cifrado y descifrado. En el mundo de SSL y TLS, las llamamos claves públicas y privadas.

Solicitud de firma de certificado (CSR) Formulario legible por máquina de una solicitud de certificado de Symantec. Una CSR normalmente contiene la clave pública y el nombre característico del solicitante.

Entidad de certificación (CA) Entidad autorizada para emitir, suspender, renovar o revocar certificados según una CPS (declaración de práctica de certificación). Las CA se identifican con un nombre distintivo en todos los certificados y CRL que emiten. Una entidad de certificación tiene que publicar su clave pública, o bien, proporcionar un certificado de una CA de mayor nivel en la que se dé fe de la validez de su clave pública, si es que es subordinada de una entidad de certificación primaria. Symantec es una entidad de certificación primaria (PCA).

Suite de cifrado Conjunto de protocolos de intercambio de claves que incluye algoritmos de autenticación, cifrado y autenticación de mensajes que se usan dentro de los protocolos SSL.

Nombre común (CN) Valor de atributo que hay dentro del nombre distintivo de un certificado. En los certificados SSL, el nombre común es el nombre de host DNS del sitio que se protegerá. En el caso de los certificados de editores de software, el nombre común es el nombre de la organización.

Error de conexión Cuando se marca un problema de seguridad que impide que se inicie sesión de forma segura al tratar de obtener acceso a un sitio.

Certificados SSL de validación de dominio (DV) Nivel más básico de un certificado SSL, se valida solamente la titularidad del nombre del dominio antes de que se emita el certificado.

Criptografía de curva elíptica (ECC) Crea claves de cifrado con base en la idea de utilizar puntos en una curva para denegar el par de claves públicas/privadas. Es sumamente difícil de romper haciendo uso de métodos de fuerza bruta a los que a menudo recurren los hackers, y ofrece una solución con menos potencia informática que el cifrado de cadena RSA puro.

Cifrado Proceso de transformar datos legibles (de texto) a una forma ilegible (texto cifrado) a fin de que los datos originales no se puedan recuperar (cifrado de una vía) o no se puedan recuperar sin utilizar un proceso de descifrado inverso (cifrado de dos vías).

Certificados SSL de validación extendida (EV) Forma más completa de certificados de seguridad que valida un dominio, se requiere una autenticación sumamente estricta de la empresa y se resalta en la barra de dirección.

Intercambio de claves Manera en que los usuarios y el servidor establecen con seguridad un secreto premaestro en una sesión.

Secreto maestro Material clave que se emplea para generar cifrado de claves, secretos MAC y vectores de inicialización.

Código de autenticación de mensajes (MAC) Función hash de una vía sobrepuesta en un mensaje y un secreto.

Certificados SSL de validación de organización (OV) Tipo de certificado SSL que valida la titularidad de un dominio y la existencia de la organización que hay detrás de él.

Secreto premaestro Material clave que se utiliza para la derivación del secreto maestro.

Infrasetructura de clave pública (PKI) Arquitectura, organización, técnicas, prácticas y procesos que de forma colectiva respaldan la implementación y operación de un sistema criptográfico de clave pública basado en certificado. La PKI consiste en sistemas que colaboran para proporcionar e implementar el sistema criptográfico de clave pública y posiblemente otros servicios relacionados.

Servidor de seguridad Servidor que protege páginas web del host mediante SSL o TLS. Cada vez que un servidor se seguridad está en uso, se autentica el servidor al usuario. Además, la información del usuario es cifrada por el protocolo SSL del navegador web del usuario antes de enviarse a la Internet. La información solo puede ser cifrada por el sitio host que la solicitó.

Certificados SSL SAN (nombre alternativo de asunto) Tipo de certificado que permite que varios dominios se protejan con un certificado SSL.

SSL Significa Secure Sockets Layer (capa de sockets seguros). Protocolo para navegadores y servidores web que permite la autenticación, el cifrado y el descifrado de datos que se envían por la Internet.

Certificado SSL Certificado de servidor que hace posible la autenticación del servidor al usuario, así como el cifrado de datos que se transfieren entre el servidor y el usuario. Symantec vende y emite certificados SSL de forma directa y por medio de Symantec Managed PKI for SSL Center.

Enlace SSL Protocolo que se emplea dentro de SSL para la negociación de seguridad.

Cifrado simétrico Método de cifrado que implica que se utilice la misma clave durante los procesos de cifrado y descifrado.

TCP Protocolo de control de transmisión, uno de los principales protocolos de cualquier red.

Certificados SSL comodines Tipo de certificado que se emplea para proteger varios subdominios.

Herramientas de administración

Certificados SSL/TLS

Code Signing Certificates

PROGRAMAS PARA PARTNERS

Certificados TLS/SSL RENOVAR