Una guía del comprador del certificado SSL / TLS

Artículo escrito por:
  • Negocios en línea
  • Actualizado: mayo 10, 2019

A nadie le gusta que les digan que tienen que hacer algo. Es solo la naturaleza humana rebelarse contra eso, pero a veces lo mejor que puedes hacer es morderte el labio e ir con él. Tal es el caso con el mandato de HTTPS Eso fue transmitido por Google y el otro verano del fabricante del navegador.

Hoy en día, cualquier sitio web que todavía se ofrece mediante HTTP está etiquetado como "No seguro", un epíteto que amenaza el tráfico y las conversiones. Eso significa que cada sitio web ahora necesita un certificado SSL / TLS, que facilita la migración a HTTPS y ayuda a asegurar la comunicación entre su sitio web y sus visitantes.

A partir de julio de 2018, Chrome marcó todos los sitios HTTP como "no seguro" (Más información).

Esta guía repasará las cosas que debe considerar al comprar un certificado SSL / TLS. Comenzaremos con una breve descripción general de la tecnología antes de profundizar en los detalles que necesitará para determinar el certificado adecuado para usted y su sitio web.

SSL / TLS 101: una descripción general

Para poder comunicarse de forma segura en Internet, el servidor que aloja el sitio web y el cliente que intenta conectarse con él debe estar utilizando el cifrado. El cifrado es un proceso matemático que hace que los datos sean ilegibles para cualquiera que no sea una parte autorizada. Se realiza mediante claves de cifrado, y para que un cliente y un servidor se conecten de forma segura Ambos necesitan poseer una copia de la misma llave..

Sin embargo, eso plantea un problema, ¿cómo intercambiar de forma segura esas claves? Si un atacante puede comprometer una clave de cifrado, hace que ese cifrado sea inútil porque aún puede ver todos los datos intercambiados como si estuvieran en texto sin formato.

SSL / TLS es la solución al problema de intercambio de claves.

SSL / TLS logra dos cosas:

  1. Autentica el servidor para que los clientes sepan a qué entidad se están conectando.
  2. Facilita el intercambio de una clave de sesión que se puede utilizar para comunicarse de forma segura

Eso puede parecer un poco abstracto así que pongámoslo en movimiento.

Cada vez que un cliente intenta conectarse con un sitio web a través de HTTPS, que es la versión segura del Protocolo de transferencia de hipertexto (HTTP) que Internet se ha utilizado durante décadas. - se produce una serie de interacciones entre bambalinas entre dicho cliente y el servidor que aloja el sitio.

Hay dos tipos de claves de cifrado involucradas en el cifrado SSL / TLS. Hay las claves de sesión simétricas que acabamos de mencionar. Aquellos pueden tanto cifrar como descifrar y se utilizan para comunicarse durante la conexión en sí. Las otras claves son el par de claves pública / privada. Esta forma de cifrado se denomina criptografía de clave pública. La clave pública puede cifrar, la clave privada descifra.

Desde el principio, el cliente y el servidor elegirán un conjunto de cifrado con soporte mutuo. Una suite de cifrado es el conjunto de algoritmos que rigen el cifrado que se utilizará durante la conexión.

Una vez que se acuerda un paquete de cifrado, el servidor envía su certificado SSL y su clave pública. A través de una serie de comprobaciones, el cliente autentica el servidor, verificando su identidad y que es el propietario legítimo de la clave pública asociada.

Después de esta verificación, el cliente genera una clave de sesión (o el secreto que se puede usar para obtener una) y usa la clave pública del servidor para cifrarla antes de enviarla al servidor. Usando su clave privada, el servidor descifra la clave de la sesión y comienza la conexión encriptada (esta es la forma más común de intercambio de claves, como se realiza con RSA - El intercambio de claves Diffie-Hellman difiere ligeramente).

Si eso todavía parece un poco complicado, simplifiquémoslo aún más.

  • Para comunicarse de forma segura, ambas partes deben compartir claves de sesión simétricas
  • SSL / TLS facilita el intercambio de esas claves de sesión con criptografía de clave pública
  • Después de verificar la identidad del servidor, una clave de sesión o un secreto se cifra con la clave pública
  • El servidor utiliza su clave privada para descifrar la clave de sesión y comenzar la comunicación encriptada

Ahora veamos qué es lo que usted, como propietario de un sitio web, debe tener en cuenta al comprar o adquirir un certificado SSL / TLS.

¿Qué considerar al comprar un certificado SSL / TLS?

Cuando compra un certificado SSL / TLS, toma una decisión sobre dos preguntas principales:

  1. ¿Qué superficie necesitas cubrir?
  2. ¿Cuánta identidad quieres afirmar?

Cuando pueda responder estas preguntas, elegir un certificado se convierte en una cuestión de marca y costo, ya sabrá el tipo de producto que necesita.

Ahora, antes de continuar, vamos a establecer un hecho muy importante: independientemente de cómo responda esas dos preguntas, todos los certificados SSL / TLS ofrecen la misma capacidad de cifrado.

La fuerza del cifrado se determina mediante una combinación de los conjuntos de cifrado admitidos y la potencia de cálculo del cliente y el servidor en cada extremo de la conexión. El certificado SSL / TLS más caro del mercado y uno completamente gratuito facilitará el mismo nivel de cifrado estándar de la industria.

Lo que varía con los certificados es el nivel de identidad y su funcionalidad.

Comencemos con qué superficies necesitas cubrir.

1- Funcionalidad del certificado SSL / TLS

Los sitios web modernos han evolucionado mucho más allá de lo que eran en los primeros días de Internet cuando aún colocas contadores en la parte inferior de una página para rastrear el tráfico. Hoy en día las organizaciones tienen infraestructuras web complicadas, tanto internas como externas. Estamos hablando de múltiples dominios, subdominios, servidores de correo, etc.

Afortunadamente, los certificados SSL / TLS han evolucionado junto con los sitios web modernos para ayudar a protegerlos mejor. Existe un tipo de certificado para cada caso de uso, pero le corresponde a usted saber cuál será su caso de uso específico.

Veamos los cuatro tipos diferentes de certificados SSL / TLS y su funcionalidad:

  • solo dominio - Como su nombre lo indica, este certificado SSL / TLS es para un solo dominio (versiones WWW y no WWW).
  • Multi dominio - Este tipo de certificado SSL / TLS es para organizaciones con varios sitios web, ya que pueden proteger hasta 250 de diferentes dominios simultáneamente.
  • Comodín - Seguridad para un solo dominio, más todos los subdominios de primer nivel que lo acompañan, tantos como tenga (ilimitado).
  • Comodín multi-dominio - Un certificado SSL / TLS con funcionalidad completa, puede cifrar hasta 250 diferentes dominios y todos los subdominios que lo acompañan simultáneamente.

Una palabra rápida sobre los certificados de comodín. Los comodines son excepcionalmente versátiles, pueden cifrar un número ilimitado de subdominios e incluso pueden asegurar nuevos subdominios que se agregan después de la emisión. Al generar un comodín, se utiliza un asterisco (a veces denominado carácter comodín) en el nivel de subdominio que desea cifrar. Esto denota que cualquier subdominio en ese nivel de URL del dominio verificado está asociado de manera válida con el par de claves pública / privada del certificado.

2- Nivel de validación del certificado SSL / TLS

Después de averiguar qué superficies necesita cubrir, es hora de determinar cuánta identidad desea afirmar. Hay tres niveles de validación, estos se refieren a la cantidad de investigación que la Autoridad de Certificación que emite su certificado SSL / TLS lo pondrá a usted y a su sitio web.

Tres niveles de validación: validación de dominio, validación de organización y validación extendida.

El nivel más básico de validación se llama. Validación de dominio. Solo toma unos minutos completar esta validación y emitir el certificado, pero proporciona la menor información de identidad: autentica solo el servidor. Los certificados DV SSL / TLS son los más utilizados, pero debido a su falta de identidad, los sitios web que los utilizan reciben un tratamiento neutral del navegador.

Validación de la organización proporciona más información organizativa, lo que les da a los visitantes de su sitio una mejor idea de con quién están tratando, siempre que sepan dónde buscar. Los certificados OV SSL / TLS requieren una cantidad moderada de investigación, sin embargo, no afirman la identidad suficiente para evitar el tratamiento neutral del navegador. Los certificados SSL OV también pueden asegurar direcciones IP dedicadas. Se utilizan comúnmente en entornos empresariales y en redes internas.

La mayoría de la identidad que un certificado SSL / TLS puede afirmar viene en el Extended Validation nivel. Los certificados EV SSL / TLS requieren una investigación exhaustiva por parte de la CA, pero afirman la suficiente información de identificación que los navegadores web les darán a los sitios web que les implementan un tratamiento único: mostrar su nombre de Organización verificado en la barra de direcciones del navegador.

Una cosa rápida a considerar con respecto a los niveles de validación y la funcionalidad es que los certificados EV SSL / TLS nunca se venden con la funcionalidad de comodín. Esto se debe a la naturaleza abierta de los certificados de comodín, que analizamos en la sección anterior.

Selección de autoridades de certificación y precios

Ahora que sabe lo que necesita, hablemos de dónde adquirirlo. No solo cualquiera puede emitir certificados SSL / TLS válidos, y por válidos queremos decir de confianza. Tienes que pasar por una autoridad de certificados de confianza o CA. Las CA están sujetas a estrictos requisitos de la industria y están sujetas a auditorías y controles periódicos. La razón de esto se deriva de la forma en que funciona la infraestructura de clave pública. PKI es el modelo de confianza que sustenta a SSL / TLS, es la razón por la cual el navegador de un usuario puede verificar la autenticidad de un certificado SSL / TLS determinado.

Mientras profundizando en PKI y raíces está fuera del alcance de este artículo, es importante saber que solo las CA confiables pueden emitir certificados confiables. Esta es la razón por la que no puedes emitir el tuyo propio y autofirmarlo. Los navegadores no tendrían forma de confiar en él sin ajustar manualmente sus configuraciones.

Pero, ¿qué CA debes elegir?

Eso depende de lo que estés buscando.

Para muchos sitios web simples que no necesitan afirmar mucha identidad, un certificado DV SSL / TLS gratuito de Vamos a cifrar (u otras CA libres) es una buena opción. No cuesta nada y es suficiente para lo que necesitas.

Cualquier cosa al norte de eso, o si no tiene un conocimiento técnico especial, debe ir con una Autoridad de Certificación comercial como DigiCert, Sectigo, Entrust Datacard, etc.

Pero aquí está la cuestión: no obtiene la mejor compra de precios directamente de las AC.

Usted obtiene la mejor combinación de precios y selección al comprar a través de un Servicio SSL que ofrece certificados SSL / TLS de múltiples CA. La razón de esto es simple, estos servicios SSL compre certificados a granel a los CA a precios mucho más bajos que los que obtienen los clientes minoristas. Eso les permite vender los certificados a precios con grandes descuentos, pasando los ahorros a los consumidores.

En algunos casos, puede ahorrar tanto como 85% de descuento en el precio minorista sugerido por el fabricante al pasar por un servicio SSL en lugar de comprar directamente.

Tenga en cuenta que los servicios SSL especializados SE ESPECIALIZAN en SSL / TLS, ofrecerán un mejor servicio de atención al cliente, pueden ayudarlo a instalarlo y saben cómo optimizar sus implementaciones para brindarle a su sitio web la mejor seguridad posible.

Contrasta eso con las CA gratuitas (e incluso con algunas comerciales) en las que tienes que trabajar a través de un sistema de tickets o cotejar los mensajes antiguos del foro para obtener asistencia de proveedores múltiples y el valor es claro.

Por supuesto, para algunos propietarios de sitios web expertos en tecnología, el problema de soporte no es un problema. Y, ciertamente, no hay nada de malo en ir por la ruta libre si sabes cómo apoyar todo por ti mismo.

Pero para otros propietarios de sitios, está pagando menos por el certificado en sí mismo y más por el aparato de soporte que se ha construido a su alrededor. Tampoco tiene acceso a niveles de validación más altos (OV / EV) o funcionalidad avanzada (Multi-Domain, Wildcards) con SSL / TLS gratuito. Tienes que obtenerlos de CA comerciales o servicios SSL.

Entonces, ¿pagado o gratis? Todo se reduce a la habilidad técnica que tiene usted o su organización, además de si desea funcionalidad y validación más allá del DV de un solo dominio.

Preguntas frecuentes de la guía del comprador de SSL / TLS

Q1. ¿Valió la pena la validación extendida?

Para muchos sitios web, un certificado EV SSL / TLS es más una inversión que un gasto. No hay otra manera de afirmar la máxima identidad y obtener un tratamiento de navegador preferencial para su sitio web. Cuando los visitantes llegan a un sitio web y ven el nombre de la organización en la barra de direcciones, tiene un profundo efecto psicológico. Si bien ese efecto es difícil de cuantificar en papel, las encuestas encuentran constantemente que las personas se sienten mejor con respecto a visitar sitios con EV que a sitios sin él.

En Internet, cada bit cuenta, por lo que si usted es una organización que quiere afirmar su identidad en la web, los certificados EV SSL / TLS son el mejor método disponible para hacerlo.

Q2. Sigues escribiendo SSL / TLS, ¿qué significa eso?

SSL significa Secure Sockets Layer, y fue la versión original del protocolo de cifrado que utilizamos para asegurar nuestras conexiones hasta el día de hoy. Llegamos a SSL 3.0 antes de que las vulnerabilidades obligaran a la industria a volver al tablero de dibujo, donde Transport Layer Security (TLS) fue diseñado para ser el sucesor de SSL.

Hoy estamos en TLS 1.3, SSL 3.0 ha quedado prácticamente en desuso y, por 2020 TLS, 1.0 y 1.1 también quedarán en desuso. Si bien Internet de hoy depende casi exclusivamente del protocolo TLS, todavía se conoce coloquialmente como SSL.

Q3. ¿Qué son las versiones de protocolo SSL / TLS?

Esto se relaciona con nuestra última pregunta, SSL y TLS son los dos protocolos que facilitan las conexiones HTTPS, y al igual que con cualquier otra tecnología, estos protocolos deben actualizarse periódicamente a medida que se descubren nuevas vulnerabilidades y ataques. Cuando ve SSL 3.0 o TLS 1.2, se refiere a una versión específica de los protocolos SSL / TLS.

Actualmente, la mejor práctica es admitir TLS 1.2 y TLS 1.3, ya que se ha encontrado que todas las versiones anteriores son vulnerables a algún exploit u otro.

Q4. ¿Qué debo saber sobre Cipher Suites?

Una suite de cifrado es una colección de algoritmos. que se utilizará durante el proceso de cifrado SSL / TLS. Por lo general, incluyen algún tipo de algoritmo de clave pública, un algoritmo de autenticación de mensajes y un algoritmo de cifrado simétrico (bloque / flujo).

Antes de tomar una decisión sobre qué paquetes de cifrado admitir, necesita saber de qué son capaces sus servidores, lo que puede significar actualizar su biblioteca OpenSSL (o software SSL alternativo) a su versión más moderna. Un consejo, usar criptografía de curva elíptica es preferible a RSA.

Q5. ¿Son importantes las garantías?

Es bueno tener una gran garantía con cualquier producto, y la industria de SSL / TLS ofrece algunas de las garantías más generosas que existen. Se pagan en el caso de que la CA que emitió su certificado encuentre un problema que le cueste dinero a su organización. Es cierto que esto no es tan común, lo cual es una especie de respaldo para los certificados SSL / TLS en general, pero también es algo que no podemos dejar de señalar.


Patrick Nohe
Sobre el autor: Patrick Nohe

Patrick Nohe comenzó su carrera como reportero y columnista de The Miami Herald. También sirve como administrador de contenido para La Tienda SSL ™.

Artículo de WHSR Guest

Este artículo fue escrito por un colaborador invitado. Las opiniones del autor a continuación son totalmente suyas y pueden no reflejar las opiniones de WHSR.