Qué es un certificado SSL: definición y explicación

¿Qué es un certificado SSL?

Un certificado SSL es un certificado digital que autentica la identidad de un sitio web y habilita una conexión cifrada. La sigla SSL significa Secure Sockets Layer (Capa de sockets seguros), un protocolo de seguridad que crea un enlace cifrado entre un servidor web y un navegador web.

Las empresas y las organizaciones deben agregar certificados SSL a sus sitios web para proteger las transacciones en línea y mantener la privacidad y seguridad de la información del cliente.

En resumen: el certificado SSL mantiene seguras las conexiones a Internet y evita que los delincuentes lean o modifiquen la información transferida entre dos sistemas. Cuando veas un ícono de candado junto a la URL en la barra de direcciones, significa que hay un certificado SSL que protege el sitio web que estás visitando.

Desde su creación hace aproximadamente 25 años, ha habido varias versiones del protocolo SSL, las cuales en algún momento se encontraron con problemas de seguridad. Posteriormente, se lanzó una versión renovada y con un nuevo nombre: TLS (Transport Layer Security, Seguridad de capa de transporte), que sigue en uso actualmente. Sin embargo, las iniciales SSL se mantuvieron, por lo que la nueva versión del protocolo se sigue llamando con el nombre antiguo.

¿Cómo funcionan los certificados SSL?

Los certificados SSL funcionan garantizando que los datos transferidos entre usuarios y sitios web, o entre dos sistemas, sean imposibles de leer. Utiliza algoritmos de cifrado para cifrar los datos en tránsito, lo que evita que los hackers la información que se envía a través de la conexión. Estos datos incluyen información potencialmente confidencial, como nombres, direcciones, números de tarjetas de crédito u otros detalles financieros.

El proceso funciona de la siguiente manera:

1. Un navegador o servidor intenta conectarse a un sitio web (es decir, un servidor web) protegido mediante certificados SSL.
2. El navegador o servidor solicita que el servidor web se identifique.
3. En respuesta el servidor web envía al navegador o servidor una copia de su certificado SSL.
4. El navegador o servidor evalúa si el certificado SSL es confiable. En caso afirmativo, envía una señal al servidor web.
5. A continuación, el servidor web devuelve un reconocimiento firmado digitalmente para iniciar una sesión cifrada mediante SSL.
6. Los datos cifrados se comparten entre el navegador o servidor y el servidor web.

Este proceso a veces se conoce como “enlace SSL”. Aunque parece ser un proceso largo, se lleva a cabo en milisegundos.

Cuando un sitio web está protegido mediante un certificado SSL, en la URL aparece la sigla HTTPS (que significa HyperText Transfer Protocol Secure, protocolo de transferencia de hipertexto seguro). Sin un certificado SSL, solo aparecerán las letras HTTP, es decir, sin la S de “seguro”. También se mostrará un ícono de candado en la barra de dirección URL. Esto indica que se trata de un sitio web confiable y brinda tranquilidad a quienes lo visitan.

Para ver los detalles de un certificado SSL, puedes hacer clic en el símbolo de candado ubicado en la barra del navegador. Estos son algunos de los detalles que generalmente se incluyen en los certificados SSL:

• El nombre de dominio asociado al certificado emitido
• A qué persona, organización o dispositivo se emitió
• Qué autoridad de certificación lo emitió
• La firma digital de la autoridad de certificación
• Subdominios asociados
• Fecha de emisión del certificado
• La fecha de vencimiento del certificado
• La clave pública (no se revela la clave privada)

Por qué necesita un certificado SSL

Los sitios web necesitan certificados SSL para mantener la seguridad de los datos del usuario, verificar la propiedad del sitio web, evitar que los atacantes creen una versión falsa del sitio y para transmitir confianza a los usuarios.

Si un sitio web solicita a los usuarios que inicien sesión, ingresen datos personales, como sus números de tarjeta de crédito, o vean información confidencial, como los beneficios de salud o información financiera, entonces es esencial mantener la confidencialidad de los datos. Los certificados SSL ayudan a mantener la privacidad de las interacciones en línea y garantizan a los usuarios que el sitio web es auténtico y que es seguro compartir información privada mediante él.

Más relevante para las empresas es el hecho de que se necesita un certificado SSL para una dirección web HTTPS. El protocolo HTTPS es la versión segura del protocolo HTTP, lo que significa que los sitios web HTTPS tienen su tráfico cifrado mediante certificados SSL. La mayoría de los navegadores clasifican los sitios HTTP, aquellos sin certificados SSL, como “no seguros”. Para los usuarios, esta es una clara señal de que el sitio puede no ser confiable, lo que incentiva a las empresas que no lo han hecho a migrar al protocolo HTTPS.

Un certificado SSL ayuda a proteger información como la siguiente:

• Credenciales de inicio de sesión
• Transacciones con tarjeta de crédito o información de la cuenta bancaria
• Información de identificación personal, como nombre completo, dirección, fecha de nacimiento o número de teléfono
• Documentos y contratos legales
• Historia clínica
• Información de propiedad

Tipos de certificados SSL

Existen diferentes tipos de certificados SSL con diferentes niveles de validación. Estos son los seis tipos principales:

1. Certificados de validación extendida (EV SSL)
2. Certificados validados por la organización (OV SSL)
3. Certificados validados por el dominio (DV SSL)
4. Certificados SSL comodín
5. Certificados SSL de varios dominios (MDC)
6. Certificados de comunicaciones unificadas (UCC)

Certificados de validación extendida (EV SSL)

Este es el tipo de certificado SSL de clasificación más alta y más costoso. Tiende a utilizarse en sitios web de alto perfil que recopilan datos e involucran pagos en línea. Cuando está instalado, este certificado SSL muestra el candado, la sigla HTTPS, el nombre de la empresa y el país en la barra de direcciones del navegador. Mostrar la información del propietario del sitio web en la barra de direcciones ayuda a distinguir el sitio de sitios maliciosos. Para configurar un certificado EV SSL, el propietario del sitio web debe pasar por un proceso estandarizado de verificación de la identidad para confirmar que está autorizado legalmente a los derechos exclusivos del dominio.

Certificados validados por la organización (OV SSL)

Esta versión del certificado SSL tiene un nivel de seguridad similar al del certificado EV SSL, ya que para obtener uno el propietario del sitio web debe completar un proceso de validación sustancial. Este tipo de certificado también muestra la información del propietario del sitio web en la barra de direcciones para distinguirlo de los sitios maliciosos. Los certificados OV SSL tienden a ser el segundo certificado más costoso (después del EV SSL) y su objetivo principal es cifrar la información confidencial del usuario durante las transacciones. Los sitios web comerciales o públicos deben instalar un certificado OV SSL para garantizar que se mantiene la confidencialidad de toda la información compartida por el cliente.

Certificados validados por el dominio (DV SSL)

El proceso de validación para obtener este tipo de certificado SSL es mínimo y, como resultado, los certificados SSL de validación de dominio proporcionan una menor seguridad y un cifrado mínimo. Suelen utilizarse en blogs o sitios web informativos, es decir, que no involucran la recopilación de datos ni pagos en línea. Este tipo de certificado SSL es uno de los menos costosos y más rápidos de obtener. El proceso de validación solo requiere que los propietarios de sitios web demuestren la propiedad del dominio respondiendo a un correo electrónico o llamada telefónica. La barra de direcciones del navegador solo muestra HTTPS y un candado, sin incluir el nombre de la empresa.

Certificados SSL comodín

Los certificados SSL comodín te permiten proteger un dominio base y subdominios ilimitados en un solo certificado. Si tienes varios subdominios que proteger, la compra de un certificado SSL comodín es mucho menos costosa que comprar certificados SSL individuales para cada uno de ellos. Los certificados SSL comodín tienen un asterisco * como parte del nombre común; el asterisco representa cualquier subdominio válido que tiene el mismo dominio base. Por ejemplo, se puede utilizar el mismo certificado comodín de *sitio web para los siguientes subdominios:

• yourdomain.com
• yourdomain.com
• yourdomain.com
• yourdomain.com
• yourdomain.com

Certificado SSL de varios dominios (MDC)

Se puede utilizar un certificado de varios dominios para proteger muchos dominios o nombres de subdominio. Esto incluye la combinación de dominios y subdominios completamente únicos con distintos TLDs (dominios de nivel superior), excepto los locales o internos.

Por ejemplo:

• example.com
• org
• this-domain.net
• anything.com.au
• example.com
• example.org

Los certificados de varios dominios no admiten subdominios de forma predeterminada. Si necesitas proteger www.example.com y example.com con un certificado de varios dominios, entonces se deben especificar ambos nombres de host en el momento de obtener el certificado.

Certificado de comunicaciones unificadas (UCC)

Los certificados de comunicaciones unificadas (UCC) también se consideran certificados SSL de varios dominios. Inicialmente, los UCC se diseñaron para proteger los servidores de Microsoft Exchange y Live Communications. Hoy, cualquier propietario de sitios web puede utilizar estos certificados para permitir que se protejan varios nombres de dominio con un solo certificado. Los certificados UCC están validados a nivel organizacional y muestran un candado en el navegador. Los UCC se pueden utilizar como certificados EV SSL para dar a los visitantes del sitio la mayor seguridad posible a través de la barra verde de dirección.

Es fundamental estar familiarizado con los diferentes tipos de certificados SSL, a fin de obtener el tipo correcto para tu sitio web.

Cómo obtener un certificado SSL

Los certificados SSL se pueden obtener directamente de una autoridad de certificación (Certificate Authority, CA). Las autoridades de certificados, a veces también conocidas como autoridades de certificación, emiten millones de certificados SSL cada año. Cumplen una función fundamental en el funcionamiento de Internet y en la manera en que se garantizan las interacciones transparentes y de confianza en línea.

El costo de un certificado SSL puede ir desde un certificado gratuito a uno que cuesta cientos de dólares, lo que dependerá del nivel de seguridad que requieras. Una vez que decidas el tipo de certificado que necesitas, puedes buscar emisores de certificados que ofrezcan certificados del nivel que necesitas.

Para obtener un certificado SSL, debes seguir los siguientes pasos:

• Prepárate configurando el servidor y comprobando que tu registro en WHOIS esté actualizado y coincida con lo que estás enviando a la autoridad de certificación (debe mostrar el nombre y la dirección correctos de la empresa, etc.)
• Genera una solicitud de firma de certificado (CSR) en el servidor. Esta es una acción con la que tu empresa de alojamiento puede ayudarte.
• Envía esta información a la autoridad de certificación para validar tu dominio y los detalles de la empresa.
• Instala el certificado que proporcionan una vez que finalice el proceso.

Una vez obtenido, debes configurar el certificado en tu alojamiento web o en tus propios servidores, en caso de que estés alojando el sitio web por cuenta propia.

La rapidez con la que recibas el certificado dependerá del tipo de certificado que busques y a qué proveedor de certificados lo solicites. Todos los niveles de validación tienen un plazo distinto. Un certificado SSL de validación de dominio simple se puede emitir un par de minutos después de la solicitud, mientras que la validación ampliada puede tardar hasta una semana completa.

¿Se puede utilizar un certificado SSL en varios servidores?

Es posible utilizar un certificado SSL para varios dominios en el mismo servidor. Según el proveedor, también puedes utilizar un certificado SSL en varios servidores. Esto es gracias a los certificados SSL de varios dominios que analizamos anteriormente.

Como su nombre lo indica, los certificados SSL de varios dominios funcionan con varios dominios. La cantidad total de dominios depende de la autoridad de certificación que lo haya emitido. Un certificado SSL de varios dominios es diferente de un certificado SSL de dominio único que, como su nombre lo indica, está diseñado para proteger un solo dominio.

Para hacer el asunto aún más confuso, puede que escuches a otros referirse a los certificados SSL de varios dominios como certificados SAN. SAN es la sigla en inglés para “nombre alternativo de sujeto”. Cada certificado de varios dominios tiene campos adicionales (es decir, SANs) que puedes utilizar para crear una lista de los dominios adicionales que deseas proteger con un solo certificado.

Los certificados de comunicaciones unificadas (UCC) y los certificados SSL comodín también permiten varios dominios y, en el segundo caso, una cantidad ilimitada de subdominios.

¿Qué sucede cuando un certificado SSL caduca?

Los certificados SSL caducan; no duran para siempre. El Foro de navegación o autoridad de certificación, que funciona como el organismo normativo de facto para la industria SSL, establece que los certificados SSL deben tener una vida útil de no más de 27 meses. Esto significa, básicamente, dos años. Si renuevas el certificado antes de que caduque, puedes sumarle hasta tres meses del tiempo restante de tu certificado SSL anterior.

Los certificados SSL caducan porque, al igual que con cualquier forma de autenticación, la información debe revalidarse periódicamente para verificar que sigue siendo precisa. En Internet se van produciendo cambios a medida que las empresas y los sitios web se compran y venden. A medida que los propietarios cambian, la información relevante de los certificados SSL también lo hace. El propósito del período de caducidad es garantizar que la información utilizada para autenticar los servidores y organizaciones sea lo más actualizada y precisa posible.

Anteriormente, los certificados SSL podían emitirse por hasta cinco años, lo que luego se redujo a tres y, más recientemente, a dos años más un posible período adicional de tres meses. En el 2020, Google, Apple y Mozilla anunciaron que implementarían certificados SSL de un año, a pesar de que esta propuesta fuera votada en contra por el Foro de navegación de la autoridad de certificación. Esta medida entró en vigor en septiembre del 2020. Puede que, en el futuro, la extensión de la validez se reduzca aún más.

Cuando un certificado SSL caduca, hace que el sitio en cuestión sea inalcanzable. Cuando el navegador del usuario llega a un sitio web, comprueba la validez del certificado SSL en milisegundos (como parte del protocolo de enlace SSL). Si el certificado SSL caducó, los visitantes recibirán el mensaje “Este sitio no es seguro. Existe un riesgo potencial.” 

Si bien los usuarios tienen la opción de ingresar, no se recomienda hacerlo, dado los riesgos de ciberseguridad que conlleva, incluida la posibilidad de infectarse con un malware. Esto tendrá un impacto significativo en las tasas de rebote para los propietarios de los sitios web, ya que los usuarios pueden salirse rápidamente de la página de inicio e ir a otro sitio.

Mantenerse al tanto de la fecha de caducidad de los certificados SSL presenta un desafío para las empresas más grandes. Si bien las pequeñas y medianas empresas (PYME) pueden tener uno o solo unos pocos certificados que administrar, las organizaciones de nivel empresarial que potencialmente realizan transacciones en los mercados, y que tienen numerosos sitios web y redes, tendrán muchos más. En este nivel, permitir que el certificado SSL caduque suele ser el resultado de la falta de atención en lugar de incompetencia. La mejor manera de que las empresas más grandes se mantengan al tanto de la caducidad de sus certificados SSL es mediante una plataforma de administración de certificados. Existen varios productos en el mercado que puedes encontrar mediante una búsqueda en línea. Dichos productos les permiten a las empresas ver y administrar los certificados digitales de toda su infraestructura. Si utilizas una de estas plataformas, es importante que inicies sesión periódicamente para que puedas estar al tanto de cuándo se deben realizar las renovaciones.

Si dejas que un certificado caduque, este se invalidará y ya no podrás ejecutar transacciones seguras en tu sitio web. La autoridad de certificación (CA) te pedirá que renueves tu certificado SSL antes de la fecha de caducidad.

Independientemente de la autoridad de certificación o del servicio de certificados SSL que utilices, esta entidad te enviará notificaciones de caducidad en intervalos establecidos, los que normalmente comienzan después de 90 días. Intenta que estos recordatorios se envíen a una lista de distribución de correo electrónico, en lugar de a una sola persona, en caso de que ella haya dejado la empresa o asumido otra función en el momento en que se envía el recordatorio. Piensa en qué partes interesadas de la empresa se encuentran en esta lista de distribución para asegurarte de que las personas correctas vean los recordatorios en el momento adecuado.

Cómo saber si un sitio tiene un certificado SSL

La manera más fácil de ver si un sitio tiene un certificado SSL es mediante la barra de direcciones de tu navegador:

• Si la URL comienza con HTTPS en lugar de HTTP, significa que el sitio está protegido mediante un certificado SSL.
• Los sitios seguros muestran un distintivo de candado cerrado, en el que puedes hacer clic para ver los detalles de seguridad; los sitios más confiables tendrán candados o barras de dirección verdes.
• Los navegadores también muestran señales de advertencia cuando una conexión no es segura, como un candado rojo, un candado que no está cerrado, una línea que pasa a través de la dirección del sitio web o un triángulo de advertencia en la parte superior del emblema del candado.

Cómo asegurarse de que la sesión en línea esté protegida

Solo envía tus datos personales y detalles de pago en línea a los sitios web con certificados OV o EV. Los certificados DV no son apropiados para los sitios web de comercio electrónico. Puedes determinar si un sitio tiene un certificado OV o EV mirando la barra de direcciones. En el caso de un certificado EV SSL, el nombre de la organización estará visible en la misma barra de direcciones. En el caso de un certificado OV SSL, puedes ver los detalles del nombre de la organización haciendo clic en el ícono del candado. En el caso de un certificado DV SSL, solo se puede ver el ícono del candado.

Lee la política de privacidad del sitio web. Esto te permite ver cómo se utilizarán tus datos. Las empresas legítimas serán transparentes acerca de cómo recopilan tus datos y lo que hacen con ellos.

Debes estar atento a señales o indicadores de confianza en los sitios web.
Además de los certificados SSL, los sitios web de confianza tienen logotipos o insignias acreditados que muestran que el sitio web cumple con estándares de seguridad específicos. Otras medidas que pueden ayudarte a determinar si un sitio es real o no son buscar una dirección física y un número de teléfono, verificar la política de devoluciones o reembolsos y comprobar que los precios sean creíbles y no demasiado buenos para ser ciertos.

Mantente alerta a las estafas de phishing.
A veces, los ciberatacantes crean sitios web que imitan a los sitios web existentes para engañar a las personas con el fin de que compren algo o inicien sesión en su sitio de phishing. Puede que un sitio de phishing obtenga un certificado SSL y, por lo tanto, cifre todo el tráfico que fluye entre tu dispositivo y el sitio. Una creciente cantidad de estafas de phishing se produce en los sitios HTTPS, que engañan a los usuarios que se sienten más confiados por la presencia del ícono del candado.

Para evitar este tipo de ataques, ten en cuenta lo siguiente:

• Siempre examina el dominio del sitio en el que te encuentras y comprueba que la dirección esté escrita correctamente. La dirección URL de un sitio falso puede diferir en solo un carácter, por ejemplo, amaz0n.com en lugar de amazon.com. En caso de duda, escribe el dominio directamente en tu navegador para asegurarte de que te estás conectando al sitio web que quieres visitar.
• Nunca ingreses datos de inicio de sesión, contraseñas, credenciales bancarias ni ningún otro tipo de información personal en el sitio, a menos que estés seguro de su autenticidad.

• Siempre analiza lo que ofrece un sitio en particular, si parece sospechoso y si realmente necesitas registrarte en él.
• Comprueba que tus dispositivos estén bien protegidos: Kaspersky Internet Security verifica las URL utilizando una amplia base de datos de sitios de phishing y detecta estafas sin importar qué tan “seguro” parezca el sitio.

Los riesgos de ciberseguridad siguen creciendo, pero comprender los tipos de certificados SSL que hay que buscar y cómo distinguir un sitio seguro de uno potencialmente peligroso ayudará a los usuarios de Internet a evitar estafas y proteger sus datos personales de los cibercriminales.

Artículos relacionados:

• Consejos para prevenir los ataques de ransomware (en inglés)
• Cómo ejecutar un análisis de virus correctamente (en inglés)
• ¿Qué es una brecha de seguridad? (en inglés)
• ¿Qué es la privacidad de datos? (en inglés)