Todo sobre los certificados SSL TLS: qué son y para qué sirven

La seguridad al navegar por Internet es un factor muy importante. Siempre que entramos en una página web o accedemos a un servicio online, enviamos y recibimos datos. Esa información personal podría quedar expuesta en la red si no hubiera seguridad, si no viajara de forma cifrada. Ahí es donde entran en juego protocolos como SSL y TLS. El objetivo es permitir que esos datos personales que enviamos al iniciar sesión, por ejemplo, no queden expuestos para que cualquiera pueda recopilarlos. En este artículo vamos a hablar de ello y explicar por qué es tan importante.

Qué son los certificados SSL TLS

Los certificados SSL o TLS se conocen también como certificados digitales. TLS no es más que una versión renovada de SSL, pero en muchos casos seguiremos viendo este término simplemente como certificado SSL. Es básicamente un archivo que contiene datos para vincular claves criptográficas con los datos de un sitio web.

El objetivo de este tipo de certificados es proporcionar seguridad. Lo que hace es cifrar el contenido que enviamos y recibimos cuando navegamos por una página web. Podremos verificar si el sitio tiene certificado en el propio navegador. Por ejemplo, en Chrome veremos un candado justo antes de la URL. Eso nos indicará que utiliza este tipo de certificados digitales. Eso sí, algunos navegadores van dejando a un lado este tipo de señales y simplemente nos alertan cuando una página no tiene certificado.

Una vez un usuario entre en un sitio web, automáticamente se habilita una conexión segura entre el servidor donde esté alojado ese sitio y el navegador desde donde está accediendo una persona. El navegador puede ser cualquiera que sea compatible con ese tipo de protocolo que utilice el sitio web. Lo normal es que cualquiera que utilicemos hoy lo sea.

Ese certificado va a estar vinculado a un nombre de dominio, como puede ser RedesZone, el nombre de servidor o un host. Además, también va a ir vinculado al nombre de la empresa u organización, para otorgar así fiabilidad. Cuando se ha instalado correctamente en el servidor, aparecerá HTTPS en vez de HTTP cuando alguien entre en el sitio web.

Por qué son importantes

¿Para qué es realmente importante que haya un certificado SSL? El motivo es claro: seguridad. Si no navegamos por una página cifrada, nuestros datos pueden quedar expuestos. Significa que todo lo que enviemos va a viajar en texto plano. Si por ejemplo nos conectamos a una red Wi-Fi en un aeropuerto, alguien dentro de esa red podría estar leyendo lo que enviamos. Podría, en definitiva, llevar a cabo un ataque Man-in-the-Middle y robar nuestras contraseñas y credenciales.

Pensemos, por ejemplo, en un pago con tarjeta en cualquier página web. Tenemos que introducir datos en la pasarela de pagos y contactar con el servidor. Esa información va a viajar por la red y si no hubiera ese cifrado quedaría expuesta para que cualquiera pudiera leerlo.

También son importantes los certificados SSL/TLS para utilizar redes sociales o cualquier servicio de mensajería instantánea. Todo lo que enviamos va cifrado y, de esta forma, evitamos que un intruso pueda leer el contenido de una conversación. Sería, una vez más, un ataque posible dentro de una red Wi-Fi insegura si no estuviera cifrado.

Pero además, de cara a tener una página web propia es muy importante que cuente con certificados SSL. Va a ser importante para el posicionamiento de la web, ya que Google y otros motores de búsquedas valoran mucho esto. También mejorará la confianza de los visitantes, ya que encontrarse con un mensaje de advertencia diciendo que ese sitio es inseguro no invita a visitarlo.

TLS 1.3

Cómo funciona

Este tipo de certificados deben ser instalados en un servidor. A partir de ahí, cuando el usuario accede a esa página alojada en ese servidor, su navegador va a mostrar un mensaje indicando que efectivamente el sitio es seguro y está cifrado. Verán HTTPS y, en caso de pinchar en el icono del candado, podrán también acceder a la información de ese certificado.

El servidor va a enviar una copia de la clave pública al navegador. Por su parte, el navegador va a crear una clave de sesión simétrica y la cifra con esa clave pública asimétrica del servidor. Posteriormente la envía de nuevo al servidor.

Ese servidor se encarga de descifrar la clave de sesión que ha recibido a través de su clave privada asimétrica y obtiene la clave de sesión simétrica. A partir de ese momento, todo lo que se envía va a estar cifrado. La comunicación entre el navegador y el servidor va a ser cifrada y nadie podrá leer lo que se envía.

Hay que tener en cuenta que esa clave de sesión se crea cuando entramos en un sitio web. No importa si luego volvemos a entrar, ya que volvería a crear otra. Este proceso es totalmente automático y es un tiempo que no vamos a notar los usuarios cuando entramos en cualquier sitio web.

Tipos de protocolos SSL y TLS

No todos los protocolos son iguales, ya que hay diferentes versiones. De hecho, SSL podemos decir que ha quedado obsoleta. Hoy en día los actuales son TLS, aunque generalmente se sigue denominando como certificado SSL. Y sí, también hay varias versiones de los certificados TLS y algunas de ellas obsoletas.

Hay tres tipos de versiones SSL: 1.0, 2.0 y 3.0. La primera ni siquiera llegó a usarse realmente; las otras dos sí hasta 2011 y 2015, respectivamente. Desde ese año ya empezó a considerarse como un protocolo desaparecido.

En cuanto a los certificados TLS, hay también diferentes versiones: TLS 1.0, 1.1, 1.2 y 1.3. Las dos últimas son las que siguen vigentes a día de hoy. Ambas se consideran seguras y perfectamente funcionales.

Por tanto, si vas a instalar un certificado SSL/TLS en tu sitio web, es imprescindible que instales la versión del protocolo 1.2 o 1.3 de TLS. Solo así realmente estarás protegiendo la página y los navegadores considerarán que es segura. De lo contrario, tu sitio sería vulnerable y eso sería un problema de cara a Google y al prestigio de la propia página web.

Nivel de validación

Los certificados SSL tienen diferentes niveles de validación. Esto va a depender de si somos una organización, usuario particular, etc. El objetivo de ello es poder certificar que el sitio web es el que debería y para ello es necesario llevar a cabo un proceso con el que poder validarlo.

Validación de dominio

Este es el más sencillo de los tres niveles. Básicamente consiste en validar que el propietario del dominio es el que dice serlo. Pueden verificarlo a través de un correo electrónico, por ejemplo. Realizan diferentes comprobaciones en los registros de los DNS de ese dominio para confirmar la identidad.

Es imprescindible para que en el dominio, en la URL del navegador, aparezca HTTPS. No tarda demasiado tiempo, ya que hablamos de que lo máximo son unas horas. No obstante, lo normal es que tarde unos minutos. Es la validación más común para usuarios que tengan una página web.

De organización

El siguiente nivel ya es más complejo. Se trata de validar una organización y en este caso no es tan automático. Lo normal es que tengan que contactar con esa empresa y así confirmar que realmente son los que quieren crear ese dominio y verificar la identidad. Es una manera de evitar fraudes y suplantaciones.

En este caso sí hay que dedicar más tiempo. Va a durar varios días. Eso sí, es una validación más completa. Va a aparecer la información de la organización y eso generará confianza. Es el más utilizado por las empresas. Muy importante para, por ejemplo, una tienda online. Así lograremos que los clientes tengan garantías.

Extendidos

El tercer nivel es el que se conoce como certificados de validación extendidos. Estamos ya ante el nivel máximo. Aquí será necesario validarlo a través de temas legales, presentar documentos y también recibir una inspección para verificar que efectivamente todo es legal y no hay nada extraño detrás.

Esto lo utilizan especialmente grandes empresas que son muy conocidas. Se necesita más tiempo, varias semanas, y también es un proceso más costoso. No obstante, este proceso dará una seguridad máxima a los usuarios para que sepan que realmente están navegando en la página correspondiente a esa empresa u organización.

Cantidad de dominios o subdominios

Estos certificados también pueden diferenciarse según la cantidad de dominios o subdominios. Hay diferentes tipos, como vamos a ver. El objetivo es el mismo: dar validez a un dominio para aumentar así las garantías de cara a los visitantes, para que no tengan dudas de su seguridad.

Dominio simple

El primero es el más sencillo de todos. Básicamente consiste en dar validez a un dominio concreto. Por ejemplo un certificado que actúe sobre RedesZone.net. Únicamente va a dar validez a ese en concreto y no a cualquier subdominio o algún dominio más que tengamos en propiedad.

Es lo más indicado para quienes tienen alguna página web propia, a nivel personal, y no necesitan más que eso. Es lo más sencillo y no va a hacer falta certificar ningún subdominio adicional que pueda haber en una web mayor, por ejemplo.

WildCard

Para poder dar validez a los subdominios entra en juego WildCard. Esto es muy útil para aquellos que tengan diferentes páginas dentro de un mismo dominio y quieran dar validez a todas ellas. Tendrían que utilizar un certificado de este tipo, que cubre lo que no puede el dominio simple.

Si hablamos de RedesZone, pensemos en, por ejemplo, diferentes secciones para tienda online, foro, etc. Podríamos tener subdominios del tipo tienda.redeszone o foro.redeszone. En esos casos es donde va a actuar un certificado WildCard, para poder dar validez a todos estos subdominios que tengamos.

Dominios múltiples

En este caso el objetivo es dar validez a más de un dominio. Por ejemplo si tenemos una página web con varias extensiones, como puede ser .es y .com, aunque mantengan el mismo nombre. Esto es algo que tienen en cuenta muchas empresas y organizaciones para evitar que otra persona pueda aprovecharse del nombre de marca.

Por tanto, los certificados para múltiples dominios van a permitir dar validez a más de uno. Está más orientado a grandes empresas y organizaciones, que serán las que necesiten esto.

Conclusiones

Podemos decir que contar con certificados de este tipo es algo básico hoy en día. Quedan muy pocas páginas web inseguras, sin cifrar. Además, de cara a optimizar el posicionamiento web y no tener problemas con Google, es también necesario hacer esta inversión y adquirir un certificado para la página.

Hemos visto que a nivel de usuario también debemos asegurarnos de que estamos en una página cifrada. Por ejemplo para poder realizar un pago online sin que la información quede expuesta o poder enviar mensajes por redes sociales sin que un intruso pueda leer ese contenido.

¡Sé el primero en comentar!