Seguridad en Internet con los certificados SSL y HTTPS
El espionaje electrónico y el uso malintencionado de la información son problemas a los que se enfrentan tanto las autoridades internacionales como los consumidores. Es por esto que la seguridad en Internet se ha convertido en una prioridad para las empresas. La digitalización no solo tiene lugar en el ámbito privado, sino que, dentro del mundo laboral, cada vez más empresas se valen de recursos online para operar sus negocios. SSL/TLS y HTTPS son los estándares de seguridad que hoy se utilizan para asegurar la transferencia y la gestión de la información corporativa interna, los datos de los clientes y cualquier tipo de información sensible. Pero ¿qué significan exactamente estas siglas y cómo pueden implementarse estos protocolos de seguridad en una página web?
Evita aparecer en la barra del navegador como "página no segura" y consigue la confianza de tus clientes con una página web con encriptación SSL.
¿Qué es SSL/TLS?
Las siglas SSL (Secure Socket Layers) designan a una tecnología utilizada para cifrar y verificar el tráfico de datos en Internet. Aplicada en páginas web, asegura la comunicación entre el navegador y el servidor web. En especial, en el contexto del eCommerce y la banca online, donde se intercambian numerosos datos sensibles y confidenciales, es imprescindible implementar un certificado SSL o TSL (Transport Layer Security), su sucesor.
Los datos que se suelen proteger con un protocolo de encriptación SSL/TLS son, entre otros:
- Los datos de registro: nombre, dirección, dirección de correo electrónico, número de teléfono.
- Los datos de acceso: dirección de correo electrónico y contraseña.
- Información bancaria: número de tarjeta de crédito, cuenta bancaria.
- Formularios.
- Documentos que han subido los clientes.
El certificado SSL/TLS garantiza que la comunicación no se podrá leer ni manipular y que la información personal no caerá en las manos equivocadas.
- Domina el mercado con nuestra oferta 3x1 en dominios
- Tu dominio protegido con SSL Wildcard gratis
- 1 cuenta de correo electrónico por contrato
¿Qué es HTTPS?
Con las siglas HTTPS (Hypertext Transport Protocol Secure), se denomina al protocolo para la transferencia segura de datos. El reconocido HTTP sería la versión sin garantías. En las páginas HTTP, un atacante podría, en teoría, leer o modificar todos los datos que se envían y el usuario no estaría seguro del todo, por ejemplo, de si en realidad le envió los datos de su tarjeta de crédito a la tienda online o a un hacker. En cambio, HTTPS envía los datos ya cifrados y verifica las solicitudes. Esto se realiza por medio de un certificado SSL o TLS. Hoy, los expertos ya recomiendan emplear en exclusiva TLS (aunque se nombre el protocolo SSL, con frecuencia se hace referencia a TLS).
Ventajas del uso de SSL/TLS o HTTPS:
- Privacidad y seguridad para clientes y socios
- Reducción del riesgo de robo y uso indebido de datos e información
- Impacto positivo en los factores de ranking de Google
- Permite el uso de HTTP/2 para mejorar el rendimiento de la web
- Los usuarios identifican fácilmente el certificado y les inspira confianza
Free vs. paid SSL/TLS: ¿certificado gratuito o de pago?
Para cambiar a tu sitio web a HTTPS, necesitas, como dijimos arriba, de un certificado SSL/TLS. Desde su aparición en 2015, los certificados que otorga la organización sin ánimo de lucro Let’s Encrypt representan una alternativa sin coste y fácil de instalar a los clásicos certificados de pago, de modo que, también en el paso a HTTPS, ahora cabe elegir la variante gratis o de pago de SSL/TLS. El gran problema del certificado libre, con todo, es que a menudo sirve a los cibercriminales para dar seriedad a las páginas de phishing, sugiriendo a los usuarios una seguridad que solo lo es en apariencia.
En marzo de 2020, Let’s Encrypt tuvo que revocar más de tres millones de certificados SSL/TLS activos. Lo que llevó a tomar esta medida fue un error de autenticación de los registros de la CAA (Certification Authority Authorization) originado en Boulder, el software de código abierto que utiliza Let’s Encrypt, que en teoría permitía generar certificados para dominios ajenos. La única solución para que los afectados pudieran restablecer el cifrado de su proyecto pasaba por generar un nuevo certificado en un margen de 24 horas.
Los certificados SSL/TLS gratuitos y de pago se diferencian principalmente en los siguientes puntos:
- Validez. La diferencia de más peso entre el SSL/TLS de pago y gratuito se da en la duración de la validez de los certificados. Mientras que la mayor parte de los certificados de pago son válidos entre 12 y 24 meses, los gratuitos suelen expirar a los 90 días. Si te decantas por usar uno gratuito, tendrás que renovarlo más a menudo.
- Administración. Con un proveedor de pago, además del certificado, también se obtienen las herramientas para gestionarlo. En un certificado gratuito, a no ser que lo contrates aparte (con su pago consiguiente), no obtienes este servicio de serie, por lo que tendrás que encargarte tú mismo de su administración.
- Independencia. Un certificado SSL/TLS gratuito solo puede generarse para un solo dominio, al cual queda vinculado. Si te decides por uno de pago, ganas la ventaja de disponer de certificados que puedes usar en distintos proyectos.
- Presencia en la barra de direcciones. Si proteges tu proyecto web con un certificado propietario, se muestra junto al nombre de la empresa en la barra de direcciones. Con un certificado gratuito, tu web aparece identificada como proyecto HTTPS, pero no se personaliza.
Cómo pasar una página web a HTTPS: ¿qué pasos has de dar?
Las páginas web nuevas pueden disponer de un certificado SSL/TLS desde el principio. Para webs ya existentes, el cambio a SSL/TLS tampoco demanda mucho esfuerzo. El primer paso es el mismo en ambos casos: adquirir un certificado SSL para el dominio.
Adquirir un certificado SSL
El certificado SSL es una especie de prueba de identidad para una página web. La Autoridad de Certificación (CA) que los otorga se encarga de examinar la identidad y avala la veracidad de la información. Los certificados SSL se guardan en el servidor y se solicitan cada vez que un usuario visita una página web HTTPS. Existen diferentes tipos de certificados, diferenciados principalmente por el alcance de la autenticación que ofrecen:
- Certificados con validación de dominio (Domain Validated Certificate) – gratuito y de pago
Estos son los certificados con el nivel más básico de autenticación. Para este certificado, la Autoridad de Certificación verifica únicamente si el solicitante es el propietario del dominio que quiere certificar. La información de la empresa no se comprueba, lo que implica ciertos riesgos. Esto hace que el proceso de autenticación no requiera mucho tiempo, por lo que se emite con rapidez y es el más barato de los tres tipos de certificados SSL ‒a veces, incluso completamente gratis (Let’s Encrypt).
Este tipo de certificado es adecuado para páginas web donde la credibilidad y la confianza de los usuarios juegan un papel secundario y no existe un riesgo de phishing, suplantación de identidad o fraude.
- Certificados de validación de la organización o empresa (Organization Validated Certificate) – de pago
Este tipo de autenticación es más amplio y, por lo tanto, más seguro que el certificado de valoración de dominios. Además de verificar la propiedad del dominio, la Autoridad de Certificación verifica información corporativa relevante como, por ejemplo, su inscripción en el Registro Mercantil. Una vez comprobados, dichos datos son visibles para los visitantes de la web, lo que aumenta su confianza en el sitio y en la empresa. Como consecuencia del proceso de validación, este certificado es mucho más caro que el de dominio, pero ofrece un nivel más alto de seguridad.
Este certificado es adecuado para páginas web donde se llevan a cabo transacciones que implican el intercambio de datos no sensibles.
- Certificados de validación extendida (Extended Validation Certificates) – de pago
Este es el certificado que ofrece el nivel más alto de autenticación. En contraste con el certificado de validación de empresa, en este la información de la empresa se analiza en detalle en función de los estrictos criterios de adjudicación. Este certificado solo puede ser otorgado por CA autorizados. Este exhaustivo examen de la empresa garantiza el más elevado nivel de seguridad y fortalece la credibilidad de la página. Como consecuencia, es el más caro de todos.
Este certificado es adecuado para páginas web que recopilan, por ejemplo, datos de cuentas bancarias o tarjetas de crédito, así como otros tipos de información sensible.
En la siguiente infografía puede entenderse con claridad qué certificado es el conveniente para cada tipo de proyecto online:
Haz clic aquí para descargar la infografía con todos los certificados SSL.
Evita aparecer en la barra del navegador como "página no segura" y consigue la confianza de tus clientes con una página web con encriptación SSL.
Instalación y configuración
En el siguiente paso, se procede a la instalación del certificado SSL en el servidor. Muchos proveedores de servicios de alojamiento web se encargan de ello por sus clientes. Normalmente puede solicitarse en la sección de clientes y el proveedor se encarga del resto. Como cliente de IONOS, puedes ampliar tu paquete de alojamiento web con el certificado SSL/TLS en el Panel de Control. En muchos packs, el certificado ya está incluido. La instalación variará dependiendo del proveedor, pero, por lo general, los proveedores o los organismos certificadores ponen a disposición del usuario las instrucciones correspondientes para su instalación. Que el protocolo se ejecute sin problemas dependerá principalmente de tres aspectos:
- Elección del certificado apropiado
- Cifrado correcto
- Configuración adecuada en el servidor
Errores y problemas comunes al migrar a HTTPS
Durante la implementación del protocolo pueden surgir algunos errores que pueden conducir a perder posiciones en el buscador o incluso a que la página deje de estar disponible.
Los administradores web que migran su proyecto a HTTPS deberían:
- Evitar los certificados expirados: un certificado SSL inválido genera un mensaje de advertencia en la ventana del navegador. Con esto, el objetivo de transmitir confianza y seguridad al usuario se pierde completamente.
- Configurar una redirección correcta: para evitar el contenido duplicado, los webmasters deben configurar la redirección 301. Esto evita que los buscadores reconozcan a la web HTTP y a la web HTTPS como dos páginas diferentes y que espere contenido diferente de cada una.
- Ajustar las cuentas publicitarias (Google AdWords, Bing Ads, etc.): si se incrusta contenido sin cifrar en una página web HTTPS (como imágenes, scripts, etc.), aparecerá un mensaje de advertencia que hará dudar a los usuarios. Esto resulta especialmente problemático con los anuncios, pues la mayoría de la publicidad suele entregarse sin cifrar, por lo que es necesario adaptarlos si se quiere garantizar la máxima seguridad.
- Adaptar las Webmaster Tools y Google Analytics: en teoría, la versión HTTP y la HTTPS son dos webs diferentes. La versión HTTPS tiene que inscribirse en las Webmaster Tools una vez implementado el protocolo de seguridad.
- Actualización del mapa del sitio en XML: el mapa del sitio también debe actualizarse y guardarse en las Herramientas para Desarrolladores de Google.
- Comprobar los enlaces externos e internos: incluso cuando las redirecciones 301 evitan los enlaces defectuosos, todos los enlaces internos deben ser reemplazados una vez implementado el certificado HTTPS. Dependiendo de cómo se administre el contenido en el CMS, será necesario modificarlos a mano. Para los enlaces externos se debe intentar, en la medida de lo posible, cambiar aquellos enlaces principales (p. ej., a páginas con gran autoridad) a la dirección HTTPS.
- Domina el mercado con nuestra oferta 3x1 en dominios
- Tu dominio protegido con SSL Wildcard gratis
- 1 cuenta de correo electrónico por contrato
Descarga gratuita
Descarga una lista corta, tan como una lista larga con explicaciones sobre los puntos importantes a considerar cuando conviertes tu página web a https.
¿Cómo se puede comprobar si una web cuenta con un certificado válido?
Cuando un usuario visita una página web con un certificado SSL válido, lo reconocerá automáticamente en el URL:
https://www.ejemplo.es
La “s” en el protocolo HTTP de la dirección URL significa seguro e indica que esta página utiliza un certificado SSL/TLS. Dependiendo del tipo de certificado y de navegador, hay otros indicios visuales que indican que la página está cifrada:
Con el SSL checker gratuito de IONOS puedes comprobar con un solo clic si tu certificado SSL se ha instalado correctamente y protege tu página contra ataques.
Verificar certificado SSL
Aumentar la confianza con webs corporativas más seguras
Ligado a las ventajas mencionadas del cifrado SSL/TLS, otro argumento esencial a favor de una página más segura es el aumento de la confianza del usuario en la página web de la empresa y, con ello, en la empresa misma.
En el siguiente vídeo, Jeff Barto, Trust Strategist en Symantec, explica la importancia de la confianza online (web trust) y la creciente expectativa de los usuarios en términos de seguridad web:
Nunca antes había sido tan importante la confianza en Internet tanto para el contexto del comercio electrónico B2B como para el comercio B2C. En la industria de los protocolos SSL y TLS se supone que todo gira en torno al cifrado, pero la gente suele olvidar que el protocolo SSL tiene una segunda función, la cual no hace tanta referencia al cifrado sino más bien a la validación.
A este respecto se plantean las siguientes preguntas: ¿estoy en la página en la que creo estar?, ¿es esta la relación comercial que quiero tener?, ¿puedo tener seguridad en ese sentido? Estas son las cuestiones que se plantea todo el mundo en general y los consumidores en particular. Cuando se acaba la jornada laboral o cuando dejamos apartadas nuestras tarjetas de visita al final del día, también somos consumidores, en el sentido que dedicamos tiempo a pensar en las diferentes páginas que consultamos a la hora de realizar operaciones bancarias, revisar el correo electrónico o visitar las redes sociales.
Hay algunos indicadores de confianza que todos esperamos, pero esto no es nada sorprendente teniendo en cuenta el entorno en el que nos movemos. Al parecer, cada día hay una infracción o un compromiso, casi como si las organizaciones no pensaran en si van a ser las próximas sino en cuándo les podría tocar a ellas.
Esta es una situación a la que nos enfrentamos con tristeza, pero que también afecta a los consumidores y a los usuarios de Internet. Con ella se pone de relieve que nos hemos cansado de los lugares que visitamos, pero también que tenemos hambre y sed por ver muestras de confianza, privacidad y seguridad. Dicho esto, se pueden plantear algunas recomendaciones para que los negocios aseguren a los clientes que están en las páginas en las que creen estar y para que, en consecuencia, confíen en ellos. Es realmente ese comercio y todas las acciones que lleva a cabo para probar la legitimidad lo que trasciende la idea del cifrado, que se limita a proteger la información.
En este contexto, Jeff Barto proporciona a las empresas tres recomendaciones concretas de acción (para la versión actual de su página corporativa) para satisfacer las crecientes expectativas de los usuarios en términos de seguridad.
En este punto, me gustaría dar tres recomendaciones:
La primera tiene que ver con los sellos de confianza, a los que los consumidores están acostumbrados. Estos son los indicadores situados en los extremos de las páginas web cerca del botón de compra o al final de las páginas que han sido validadas y que cuentan con una certificación comercial que garantiza que no contienen virus o que sus estándares de privacidad están actualizados.
El segundo factor que hay que destacar es la utilización de certificados SSL con validación extendida (Extended Validation SSL Certificates, EV Certificates).
Además de los sellos (de calidad) y de los certificados SSL con validación extendida, el tercer elemento es el llamado Always On SSL, el cual consiste en el cifrado de toda la página web. Como ya se ha indicado al principio, la seguridad y la confianza van más allá del cifrado, esto es, la validación se convierte en el complemento natural para las dos primeras recomendaciones.
- Integrar el sello de confianza en la página web
Los sellos de confianza son un indicador habitual de la fiabilidad de una página web. Los distintos tipos de sello garantizan, por ejemplo, la seguridad de los datos, la protección de las transacciones seguras o que la web esté libre de malware.
- Certificado integrado con un alto nivel de seguridad
Los certificados con un alto nivel de seguridad ofrecen un indicador visual de la encriptación ya en la barra del navegador, mejorando así la confianza de los usuarios en la web.
- Always On SSL
El certificado SSL/TLS debería estar en todas las páginas de un dominio, no solo en la de inicio de sesión o de pago. Si el usuario se encuentra con sellos de confianza durante su visita, se sentirá seguro desde el comienzo hasta el final de su visita.
HTTPS en el contexto del SEO
En los últimos años se ha discutido a menudo si cambiar una web a HTTPS tiene un impacto positivo en su posicionamiento en los buscadores. En 2014, Google declaró que valoraría como un indicio positivo para el posicionamiento a una conexión con HTTPS. Según sus propias declaraciones, Google tomará parte activa en aumentar la seguridad de la red, instigando a todos los administradores web a cifrar sus sitios web. HTTPS deberá, así, consolidarse como estándar para todas las páginas web por igual.
Más allá de los planes de Google, las páginas HTTPS son un símbolo de calidad y seriedad de cara a los usuarios. Los internautas están cada vez más familiarizados con la seguridad de sus datos e incluso aquellos sin mayores conocimientos pueden reconocer si una página garantiza o no la seguridad de su información.
Evita aparecer en la barra del navegador como "página no segura" y consigue la confianza de tus clientes con una página web con encriptación SSL.