Hay determinados aspectos de una página web que hay que cuidar y evitar problemas que afecten a la seguridad. Esto además puede ser muy importante para la imagen de la propia página, así como para mejorar la presencia en buscadores. En este artículo vamos a explicar qué es un certificado SSL, por qué es importante para una página web y cómo podemos instalarlo en nuestro hosting.
Si buscas que tu página web sea segura y visible no solo para Google, sino para el resto de buscadores, anunciantes y clientes, este es un paso muy importante, por lo que estate atento, lo explicaremos de forma resumida pero clara.
Qué es un certificado SSL
Un certificado SSL permite que la transferencia de datos entre un navegador y un servidor web se produzca de forma cifrada y segura. Es un estándar muy importante y que está realmente presente en las páginas web hoy en día. Podemos decir que se ha convertido en algo básico que aporta una fiabilidad a ese sitio para no generar desconfianza entre los visitantes. Ya sabemos que la seguridad es un factor muy importante en nuestro día a día para evitar ser víctimas de problemas muy diversos que pueden surgir.
El objetivo principal de un certificado SSL es proteger la página web de intrusos que pudieran acceder a ella. Sirve para cifrar las conexiones de los usuarios y garantizar que la información no pueda ser interceptada por terceros. Básicamente se trata de una capa de seguridad que permite que dos partes puedan comunicarse de forma privada. Evita así posibles intermediarios que lleguen a recopilar la información que se envía o recibe, algo que provocaría que esa conexión no fuera privada.
El certificado SSL se instala en el servidor web y va a cumplir la función de autenticar la identidad del sitio y garantizar a los visitantes que se encuentran en la página legítima. Muy importante para evitar acceder a una web que pueda ser falsa, que pueda tratarse realmente de un ataque Phishing.
Cada uno de los certificados SSL tienen un nombre, un número de serie y fecha de vencimiento. También disponen de una copia de la clave pública, así como la firma digital de la autoridad que emite ese certificado. Todo esto sirve para verificar que realmente estamos ante un sitio seguro, cifrado y que no va a ser una amenaza para los visitantes.
¿Cómo funciona un certificado SSL?
Este tipo de cifrado, recurre al uso de dos claves, las cuales con secuencias largas de números generados de forma aleatoria. Se componen de una clave privada, y una pública.
La clave pública, es conocida por el servidor y de dominio público, permite cifrar cualquier mensaje. Si se envía un paquete de un equipo a otro, la clave pública del receptor lo bloqueará. Y la única forma de descifrarlo será usando la clave privada, la cual solo ese equipo posee. Por lo cual será el único capaz de visualizar el paquete. Si el paquete es interceptado por el camino, este estará encriptado. Esto ocurrirá de igual forma si hablamos de una página web.
Tipos de certificado SSL
Como has podido ver, los SSL son una tecnología dedicada a la seguridad, que se encarga de cifrar información que se transfiere entre dos lugares. Nos podemos encontrar con varios tipos de estos SSL, los cuales ofrecen varios niveles de seguridad y funcionalidad. Estos tipos son:
- De dominio: Se trata del certificado más básico que vamos a ver. Este proporciona una capa de seguridad básica para cifrar la información que se transfiere entre dos puntos. Es lo más adecuado para sitios web, los cuales necesitan una capa de seguridad básica, sin embargo, se nos puede quedar muy corto en otras situaciones.
- De organización: En este caso el SSL nos proporciona una seguridad mayor, y verificación de la identidad del sitio. También se encarga de realizar un cifrado de la información. Pero si tarea principal, siempre será realizar la verificación del sitio al que estamos accediendo. Lo cual es extremadamente útil. Todos deberían tener al menos este.
- Certificados EV: Se trata de certificados muy similares a los de organización. Proporcionan una verificación adicional y de forma más exhaustiva de la misma. Estos se reconocen por una pequeña barra verde en las direcciones del navegador. La cual nos indica que cuentan son seguridad adicional.
- Wildcard: Es un certificado que permite a las webs proteger sus subdominios, con un solo certificado. Lo cual puede ser muy útil si una web, enlaza con otras que realmente son subdominios.
- Multi-dominio: Estos certificados permiten la protección de múltiples dominios, mientras que solo disponemos de un certificado. Por ejemplo, si disponemos de un dominio .com, .es, .net, podremos protegerlos con este tipo de dominio.
- De extensión de validación: Es un certificado que proporciona una seguridad mayor, y verificación de la identidad. Resultado mucho mejor que los certificados SSL de dominio o de organización. Estos se suelen usar mayormente, en entornos comerciales o, por otro lado, financieros.
En resumen, contamos con muchos tipos diferentes de SSL, los cuales cambian en las características que ofrecen. Tanto la seguridad como la verificación de identidad, suelen ser las principales diferencias en estos casos. Esto nos permite elegir el que mejor se adapte a nuestras necesidades y requisitos. Por lo cual, es clave hacer la elección correcta, aunque lo más importante será instalar uno de ellos al menos, por básico que sea, será mejor que nada.
¿Dónde conseguir un certificado SSL?
Este tipo de certificado debe ser emitido por una Autoridad de Certificación. Los navegadores que podemos encontrar, sistemas operativos, dispositivos, etc, cuentan con una lista de certificados raíz de AC de confianza.
El certificado que sería la raíz, tiene que estar presente en el equipo del usuario. En caso contrario, los navegadores mostrarán un mensaje de error, que indicará que la conexión no es segura y fiable. Si hablamos del ámbito del comercio electrónico, estos mensajes pueden generar dudas acerca de la página web, conllevando el riesgo de perder la confianza de sus usuarios.
Existe una empresa llamada GlobalSign, que es una Autoridad de certificación reconocida. Esto se debe a que los proveedores de los navegadores, sistemas operativos y demás, confían en la legitimidad de la autoridad de certificación que esta empresa ofrece, y en su capacidad para emitir los SSL de confianza. Esto ocurre al tener muchas aplicaciones, dispositivos y navegadores, las cuales integren sus certificados. Cuantos más servicios lo integren, mayor será el grado de reconocimiento y seguridad que nos brindarán sus certificados SSL. Actualmente, GlobalSign, es la autoridad de certificación con más trayectoria de Europa.
Cómo instalar un certificado SSL en el servidor
Instalar un certificado SSL en el servidor es un proceso muy importante que tienen que llevar a cabo los responsables de un sitio web. Una manera esencial para ofrecer a los visitantes un sitio seguro, cifrado, que cuente con las garantías adecuadas. Además también servirá para dar una buena imagen y poder aparecer mejor en los principales buscadores de Internet.
Esto puede variar según el hosting que tengamos contratado, pero el proceso es similar. Lo primero que tenemos que hacer es tener un certificado SSL. Lo podemos comprar con la empresa donde tenemos el servidor, por ejemplo. También con otro proveedor externo. Incluso hay certificados gratuitos o que vienen incluidos con el hosting contratado. Eso sí, debemos asegurarnos de que elegimos la mejor opción y que no vamos a tener problemas en un futuro. Se trata de algo importante y debemos cuidar todos los detalles.
Cuando tengamos el certificado descargado en nuestro ordenador, ya podemos acceder al panel de control de nuestro hosting. En nuestro caso vamos a hacerlo con cPanel, que es el más utilizado, aunque el proceso es similar en otros diferentes.
Una vez dentro de cPanel hay que ir al apartado de Seguridad. Allí veremos la sección de SSL/TLS. Allí veremos diferentes opciones, como Claves privadas, Solicitudes de firma de certificados, Certificados y la de Instalar y administrar SSL para el sitio. Esta última es la que nos interesa.
Cuando estemos dentro nos aparecerán todos los dominios que tenemos vinculados a ese hosting. En caso de que tengamos únicamente uno, nos aparecerá ese en concreto. En cambio, si tenemos varios nos aparecerán todos ellos y tendremos que elegir el que nos interesa.
Al seleccionar la opción de instalar certificado SSL y marcar el dominio que nos interesa, simplemente tendremos que rellenar todos los datos que nos piden. Esto incluye el Certificado (CRT) y la Clave privada (KEY). Cuando tengamos todo relleno simplemente tenemos que pinchar en Instalar certificado, que es el botón que aparece debajo.
A partir de ese momento nuestro sitio ya tendrá el certificado instalado correctamente. Los navegadores lo reconocerán y ya no tendremos problemas de seguridad relacionados con este tema. Esto es importante, ya que desde hace algún tiempo muchos navegadores informan a los visitantes de que el sitio web no es seguro en caso de que entren en alguno donde no hay certificado instalado.
Hay que tener en cuenta que este certificado tiene fecha de caducidad. Es algo que debemos tener presente para no tener problemas en un futuro. Debemos estar atentos para actualizarlo llegado el momento y evitar que quede obsoleto y nuestra página deje de ofrecer una protección de este tipo a los visitantes, algo que podría provocar la pérdida de confianza en el sitio web y también pérdida de prestigio y posicionamiento de cara a los buscadores.
En la actualidad proteger nuestra página web es muy importante. Son muchos los ataques que pueden aparecer a la hora de entrar en un sitio web y esto hace que sea vital contar con complementos que protejan y ayuden a detectar amenazas. Pero especialmente el hecho de tener un certificado de este tipo va a dar una mayor credibilidad de cara a la seguridad por parte de los visitantes. Si entramos en un sitio web y de repente el navegador nos indica que no es seguro, en muchos casos saldríamos o al menos sospecharíamos que podría haber algún tipo de problema. Esto va a permitir ganar confianza de cara a los visitantes.
En definitiva, siguiendo estos pasos que hemos mencionado podemos instalar un certificado SSL en nuestro sitio web. Es un proceso muy importante que debemos tener en cuenta. Es sencillo y rápido, como hemos visto. Simplemente hay que tener un certificado comprado correctamente y luego instalarlo en el hosting. Además, como hemos indicado, es algo muy aconsejable y que cualquier responsable de un sitio web debería tener en cuenta.
Consejos básicos para proteger un servidor web
En este caso, además de tener en cuenta la instalación de un certificado SSL TLS, hay una serie de consejos más que esenciales para que puedas tener un servidor web seguro. Así también, estos consejos te ayudarán a tomar la mejor decisión en cuanto al proveedor web que estarías contratando.
Monitorización y reportes
Una de las prestaciones más importantes a la hora de escoger un proveedor de web hosting es la monitorización. El mismo proveedor debe monitorizar la red y que los servidores donde está alojada tu web, para que todo esté funcionando adecuadamente. No obstante, si contamos con un servidor VPS o dedicado que nosotros mismos administramos, y no únicamente un hosting para alojar la web, el trabajo de monitorización de todos los servicios y servidores recaen bajo nuestra responsabilidad.
El trabajo de monitorización es fundamental para anticiparse a posibles problemas, y también mitigar lo antes posible cualquier incidente que tengamos. Por supuesto, no debemos olvidarnos de montar un buen SIEM (security information and event management) para tenerlo todo controlado al detalle.
Utiliza contraseñas fuertes
Muchas veces, por pereza o por realizar actividades a las apuradas, las personas responsables de un servidor web confían el acceso a contraseñas muy fáciles de adivinar. Una contraseña segura de verdad puede prevenir ataques muy graves como el ransomware.
No es necesario que la contraseña tenga sentido o brinde algún dato acerca de la web o del usuario responsable, debes valerte de contraseñas largas en donde mezcles: letras, números, caracteres especiales. El no ser predecible a la hora de crear contraseñas, será beneficioso para la seguridad a largo plazo del servidor web.
Por tanto, no uses una clave que pueda ser adivinada, piensa que el acceso no autorizado de otra persona puede ser muy grave, y pese a que al inicio puedes creer que nadie va a querer entrar, con el tiempo, y por costumbre, puede que ya no la cambies, por lo que deberías tratar tu servidor como si fuese ya importante, con todas las medidas de seguridad necesarias que le pondrías en el futuro.
Un servidor web seguro debe estar actualizado
Otro aliado para la seguridad de los servidores web y de toda aplicación son sus actualizaciones. Es un secreto a voces y no existen excusas válidas para no hacerlo. Toda actualización que permita que la web y el servidor en general continúen operando y así también, mejore el rendimiento y otras características.
También debes actualizar cualquier tipo de plugin, extensión o script ya que, en muchos casos, los ciberatacantes se valen de los mismos para poder lanzar sus ataques a los servidores web. Este último aspecto es fundamental, ya que en muchos casos los ciberdelincuentes se valen de los plugin o extensiones para usarlos como vector de ataque.
En definitiva, al igual que actualizas tu móvil, ordenador, sistema operativo, o la app de WhatsApp, también lo debería hacer con tu servidor web, pese a que no le des tanta importancia a ellas.
Copia de seguridad y desactivación de servicios innecesarios
Realiza una copia de seguridad de todo lo relacionado al servidor web de manera frecuente. Incluso, haciéndolo semanalmente, ya es suficiente. Considera que un ataque a tu servidor puede dejarlo abajo o con archivos bloqueados por causa de ransomware, los cuales probablemente ya no vuelvas a recuperar. He ahí la importancia de las copias de seguridad. Asegúrate de que tu proveedor de web hosting permita realizar estos backups con un sencillo acceso a los mismos, no obstante, si tienes un servidor dedicado o un VPS, sería muy recomendable hacer un backup en otro servicio completamente distinto, para poder recuperar todo en caso de un grave problema. De hecho, podríamos incluso hacer las copias en nuestro hogar si utilizamos un servidor NAS.
Por otro lado, es importante desactivar cualquier tipo de función o servicio que no sea necesario utilizar. Recuerda que cuantos menos servicios expongamos a Internet del servidor para que sea visto en Internet, es mucho mejor de cara a la seguridad debido. Una ventaja de usar un servidor web seguro con distribuciones de Linux como Debian, Red Hat Enterprise Linux o CentOS es que cuentas con herramientas para una administración eficaz de los servicios asociados al servidor.
Utilizar firewalls
Utilizar firewalls es una práctica esencial en la protección de un servidor web. Configurar un firewall en el servidor permite controlar y monitorear el tráfico de red, actuando como una barrera entre el servidor y posibles amenazas externas. Con un firewall correctamente configurado, es posible establecer reglas que determinen qué tipo de tráfico se permite y qué tipo se bloquea. Esto ayuda a proteger contra ataques de red, como escaneos de puertos, ataques de denegación de servicio y otros intentos de intrusión. Además, un firewall puede filtrar el tráfico malicioso, bloqueando conexiones desde direcciones IP conocidas por participar en actividades maliciosas. Si en tu ordenador lo tienes, en tu servidor también es necesario.
Limitar permisos
Limitar los permisos de archivo y directorio es otro aspecto fundamental de la seguridad del servidor web que deberías tener en cuenta. Configurar los permisos de manera adecuada garantiza que solo los usuarios autorizados tengan acceso a los archivos y directorios sensibles del servidor. Esto se consigue estableciendo permisos de lectura, escritura y ejecución específicos para cada archivo y directorio. Es importante asegurarse de que los archivos sensibles, como bases de datos y archivos de configuración, estén protegidos con permisos restrictivos para evitar accesos no autorizados y posibles manipulaciones maliciosas. De lo contrario, cualquier persona, con o sin malas intenciones, podría crearte un gran problema en tu servidor, y posiblemente no te des cuenta hasta que sea demasiado tarde.
Usar HTTPS y SSL/TLS
El uso de HTTPS y SSL/TLS como ya hemos explicado, es una práctica fundamental para proteger la comunicación entre el servidor y los clientes. Configurar el servidor para utilizar HTTPS en lugar de HTTP garantiza que los datos transmitidos entre el cliente y el servidor estén cifrados, lo que protege la confidencialidad de la información transmitida, como contraseñas, datos de tarjetas de crédito y otra información sensible. Los certificados SSL/TLS proporcionan una capa adicional de seguridad al verificar la autenticidad del servidor y garantizar que la comunicación sea segura y privada.
Además, a Google y el resto de buscadores les gusta mucho esto, por lo que podría ser otro punto a favor si quieres que estos te posicionen de mejor forma.
Esperemos que estos consejos te hayan servido, y ahora puedas tener un servidor web más seguro y estable, o al menos sepas ya cómo conseguirlo, en caso de que todavía estés empezando.