¿Te ha gustado el artículo?
0
¿Te ha gustado el artículo?
0

Seguridad en Internet con los certificados SSL y HTTPS

El espionaje electrónico y el uso malintencionado de la información son problemas a los que se enfrentan tanto las autoridades internacionales como los consumidores privados. Es por esto que el tema de la seguridad en Internet se está convirtiendo en una prioridad para muchas empresas. La digitalización no solo tiene lugar en el ámbito privado, sino que dentro del mundo laboral cada vez más empresas se valen de recursos online para operar sus negocios. Los estándares de seguridad actuales recomiendan la implementación de un certificado SSL o certificado HTTPS para transmitir y gestionar, de forma segura, datos de clientes o información sensible de una empresa. Pero, ¿qué significan exactamente dichas siglas y cómo se pueden implementar dichos protocolos de seguridad en Internet?

¿Qué es SSL?

El término SSL (del inglés Secure Socket Layers) hace referencia a una técnica utilizada para el cifrado y la autenticación del tráfico de datos en Internet. Cuando se implementa en páginas web, se está asegurando la comunicación entre el navegador y el servidor web. Para el eCommerce, donde se transmiten datos sensibles y confidenciales, es imprescindible la implementación de un certificado SSL o de su sucesor TSL (Transport Layer Security).

El conjunto de datos que están protegidos por el protocolo de encriptación SSL incluye:

  • Información de registro: nombre, dirección, dirección de correo electrónico, número de teléfono
  • Datos de identificación: dirección de correo electrónico y contraseña
  • Datos de pago: número de tarjeta de crédito, cuenta bancaria
  • Formularios de inscripción
  • Documentos cargados por los clientes

El certificado SSL garantiza que la comunicación no se podrá leer ni manipular y que la información personal no caerá en las manos equivocadas.

¿Qué es HTTPS?

El certificado HTTPS (del inglés Hypertext Transport Protocol Secure) es también un protocolo para la transferencia segura de datos. El reconocido HTTP es la versión sin garantías. Con este es posible leer o modificar todos los datos transmitidos en páginas web y el usuario no puede estar seguro, por ejemplo, de si en realidad le entregó los datos de su tarjeta de crédito a la tienda online o a un hacker. Por su parte, el certificado HTTPS cifra los datos y autentica las solicitudes. El protocolo HTTPS está basado en SSL y su versión mejorada: el certificado TLS. Los expertos recomiendan la implementación exclusiva del TLS, pues cuando se habla de SSL, se hace referencia a TLS.

  • Ventajas del uso de un certificado SSL/TLS y de HTTPS:
  • Privacidad y seguridad para clientes y socios
  • Reducción del riesgo de robo y uso indebido de datos e información
  • Impacto positivo en los factores de ranking de Google
  • Permite el uso de HTTP/2 para mejorar el rendimiento de la web
  • El certificado es reconocido por los usuarios e inspira confianza
Consejo

El candado verde que aparece al lado de las URLs HTTPS muestra que el sitio web se toma la seguridad en serio, esto ayuda a aumentar la confianza de los usuarios.

¿Cómo implementar un certificado de seguridad en Internet en una página web?

Las nuevas páginas web pueden incluir un certificado SSL o HTTPS desde su creación. Para webs ya existentes, el cambio a HTTPS no demanda mucho esfuerzo. El primer paso es conseguir un certificado SSL para el respectivo dominio.

Adquirir un certificado SSL

El certificado SSL es una especie de prueba de identidad para una página web. La Autoridad de Certificación (CA), que asigna los certificados, se encarga de comprobar previamente la identidad y la veracidad de la información de la web. Los certificados SSL son almacenados en el servidor y solicitados cada vez que un usuario visita una página web HTTPS. Existen diferentes tipos de certificados, diferenciados principalmente por el tipo de autenticación que ofrecen:

  • Certificados con validación de dominios (Domain Validated Certificate)

Estos son los certificados con el nivel más básico de autenticación. La Autoridad de Certificación verifica únicamente si el solicitante es el propietario del dominio a certificar. La información de la empresa no se comprueba, lo que implica ciertos riesgos. Debido a que el proceso de autenticación no requiere mucho tiempo, este certificado suele ser emitido con rapidez y es, también, el más barato de los tres tipos de certificados SSL.   

Este tipo de certificados son adecuados para páginas web donde la credibilidad y la confianza de los usuarios juegan un papel secundario y donde no existe un riesgo de phishing, suplantación de identidad o fraude.

  • Certificados de validación de la organización o empresa (Organization Validated Certificate)

Este tipo de autenticación es más amplio y, por lo tanto, más seguro que el certificado de valoración de dominios. Además de verificar la propiedad del dominio, la Autoridad de Certificación verifica información corporativa relevante, como, por ejemplo, su inclusión en el Registro Mercantil. Una vez comprobados, dichos datos son visibles para los visitantes de la web, lo que aumenta la confianza de estos en la página web y en la empresa. Como consecuencia del proceso de validación, este certificado es mucho más caro que el de dominio pero ofrece un nivel más alto de seguridad.

Este certificado es adecuado para páginas web donde se llevan a cabo transacciones que implican el intercambio de datos no sensibles.

  • Certificados de validación extendida (Extended Validation Certificates)

Este es el certificado que ofrece el nivel más alto de autenticación. En contraste con el certificado de validación de empresa, este hace un análisis detallado y cuenta con estrictos criterios de adjudicación, además de que solo lo puede asignar una Autoridad de Certificación autorizada. Esta se encarga de hacer un análisis detallado de todos los aspectos relevantes para la seguridad, fortaleciendo así la confianza y credibilidad ofrecidas por la página web. Como consecuencia, es el más caro de todos. Este certificado es adecuado para páginas web que recopilan, por ejemplo, datos de cuentas bancarias o tarjetas de crédito, así como otros tipos de información sensible.

En la siguiente infografía puedes comprobar qué certificado es el más adecuado para tu página web:

Haz clic aquí para descargar la infografía con todos los certificados SSL.

Instalación y configuración

El siguiente paso es la instalación del certificado SSL en el servidor. Es común que muchos proveedores de servicios de alojamiento web se encarguen de ello. En el apartado de clientes, es posible solicitar el certificado y el proveedor se encarga del resto. Como cliente de 1&1 es posible hacerlo desde el Panel de Control, donde se puede agregar el certificado SSL al pack de alojamiento web elegido. En muchos packs, el certificado ya está incluido. La instalación variará dependiendo del proveedor, quien, por lo general, siempre pone a disposición del usuario las instrucciones correspondientes para su instalación. Que el protocolo se ejecute sin problemas dependerá principalmente de tres aspectos:

  • Elección del certificado apropiado
  • Cifrado correcto
  • Configuración adecuada en el servidor

Errores y problemas durante la implementación

Durante la implementación del protocolo pueden surgir algunos errores que se deben evitar para prevenir problemas durante la clasificación en el ranking de los buscadores o al acceder a páginas web que no están operativas.

Los administradores web que implementen los certificados SSL y HTTPS deberían:

  • Evitar los certificados caducados: un certificado SSL inválido genera un mensaje de advertencia en la ventana del navegador. Con esto, el ideal de transmitir confianza y seguridad al usuario se pierde completamente.
  • Configurar una correcta redirección: para evitar el contenido duplicado, los webmasters deben ocuparse de garantizar la redirección 301 de sus dominios. Esto evita que los buscadores reconozcan la web HTTP y la web HTTPS como dos páginas diferentes y que espere contenido diferente.
  • Ajustar anuncios publicitarios (Google AdWords, Bing Ads, etc.): si una página web HTTPS incluye contenido no cifrado (como imágenes, scripts, etc.), seguramente aparecerá un mensaje de advertencia que no será muy agradable para los usuarios. Esto resulta especialmente problemático con los anuncios, pues la mayoría de publicidad suele ser entregada sin cifrar, por lo que es necesario adaptarlos si se quiere garantizar la máxima seguridad.
  • Adaptar las Webmaster Tools y Google Analytics: en teoría, la versión HTTP y la HTTPS son dos webs diferentes. La versión HTTPS tiene que ser inscrita en las Webmaster Tools una vez implementado el protocolo de seguridad.
  • Actualización del Sitemap en XML: el mapa del sitio también debe ser actualizado y almacenado en las Webmaster Tools.
  • Comprobar enlaces externos e internos: incluso cuando las redirecciones 301 evitan los enlaces defectuosos, todos los enlaces internos deben ser reemplazados una vez implementado el certificado HTTPS. Dependiendo de cómo se administre el contenido en el CMS, se necesitará una modificación manual. Para los enlaces externos se debe intentar, en la medida de lo posible, cambiar aquellos enlaces principales (p. ej. a páginas con gran autoridad) a su respectiva dirección HTTPS.

¿Cómo se puede comprobar si una web cuenta con un certificado válido?

Cuando un usuario visita una página web con un certificado SSL válido, lo reconocerá automáticamente en la URL:

https://www.ejemplo.es

La “s” en el protocolo HTTP significa “seguro” e indica que esta página utiliza un certificado SSL. Dependiendo del tipo de certificado, hay otras señales que indican que la página está cifrada:

  1. Certificado SSL de validación extendida (EV): una página web que ha sido cifrada con un certificado EV se reconoce con un pequeño candado ubicado en un recuadro completamente verde en la barra de direcciones.

  2. Certificados SSL de organización (OV) y de dominio (DV): aquellas páginas web que cuentan con un certificado OV o DV se caracterizan por un pequeño candado verde en la barra de direcciones.

  3. Certificado SSL inválido: una página web cuyo certificado SSL ha caducado o es inválido, se puede reconocer con un candado de seguridad cubierto con un triángulo amarillo de advertencia en la barra de direcciones.

  4. Página web sin certificado SSL: cuando una web carece de un certificado SSL, no aparece ningún tipo de indicación visual sobre una conexión segura y, dependiendo del navegador, aparecerá una advertencia.

Con el  SSL checker gratuito de 1&1 puedes comprobar con un solo clic si tu certificado SSL se ha instalado correctamente y protege tu página contra ataques.

SSL check gratis

Aumentar la confianza online con webs corporativas más seguras

Además de las anteriormente mencionadas, otra de las ventajas del cifrado SSL es el aumento de la confianza del usuario en la página web de la empresa y, por lo tanto, en la misma empresa. En el siguiente vídeo, Jeff Barto, estratega de confianza para Symantec, explica la importancia de la confianza online y del crecimiento de las expectativas de los usuarios en el campo de la seguridad web.

Lee la entrevista aquí Part 1 []

Nunca antes había sido tan importante la confianza en Internet tanto para el contexto del comercio electrónico B2B como para el comercio B2C. En la industria de los protocolos SSL y TLS se supone que todo gira en torno al cifrado, pero la gente suele olvidar que el protocolo SSL tiene una segunda función, la cual no hace tanta referencia al cifrado sino más bien a la validación.

A este respecto se plantean las siguientes preguntas: ¿estoy en la página en la que creo estar?, ¿es esta la relación comercial que quiero tener?, ¿puedo tener seguridad en ese sentido? Estas son las cuestiones que se plantea todo el mundo en general y los consumidores en particular. Cuando se acaba la jornada laboral o cuando dejamos apartadas nuestras tarjetas de visita al final del día, también somos consumidores, en el sentido que dedicamos tiempo a pensar en las diferentes páginas que consultamos a la hora de realizar operaciones bancarias, revisar el correo electrónico o visitar las redes sociales.

Hay algunos indicadores de confianza que todos esperamos, pero esto no es nada sorprendente teniendo en cuenta el entorno en el que nos movemos. Al parecer, cada día hay una infracción o un compromiso, casi como si las organizaciones no pensaran en si van a ser las próximas sino en cuándo les podría tocar a ellas.

Esta es una situación a la que nos enfrentamos con tristeza, pero que también afecta a los consumidores y a los usuarios de Internet. Con ella se pone de relieve que nos hemos cansado de los lugares que visitamos, pero también que tenemos hambre y sed por ver muestras de confianza, privacidad y seguridad. Dicho esto, se pueden plantear algunas recomendaciones para que los negocios aseguren a los clientes que están en las páginas en las que creen estar y para que, en consecuencia, confíen en ellos. Es realmente ese comercio y todas las acciones que lleva a cabo para probar la legitimidad lo que trasciende la idea del cifrado, que se limita a proteger la información.


En este contexto, Jeff Barto proporciona a las empresas tres recomendaciones concretas de acción (para la versión actual de su página corporativa) para satisfacer las crecientes expectativas de los usuarios en términos de seguridad.

[]

En este punto, me gustaría dar tres recomendaciones:

La primera tiene que ver con los sellos de confianza, a los que los consumidores están acostumbrados. Estos son los indicadores situados en los extremos de las páginas web cerca del botón de compra o al final de las páginas que han sido validadas y que cuentan con una certificación comercial que garantiza que no contienen virus o que sus estándares de privacidad están actualizados.

El segundo factor que hay que destacar es la utilización de certificados SSL con validación extendida (Extended Validation SSL Certificates, EV Certificates).

Además de los sellos (de calidad) y de los certificados SSL con validación extendida, el tercer elemento es el llamado Always On SSL, el cual consiste en el cifrado de toda la página web. Como ya se ha indicado al principio, la seguridad y la confianza van más allá del cifrado, esto es, la validación se convierte en el complemento natural para las dos primeras recomendaciones.


  • Integrar sello de confianza en la página web
    Los sellos de confianza son un indicador de la fiabilidad de una página web. Algunos se encargan de garantizar, por ejemplo, la seguridad de los datos, transacciones seguras o de confirmar que la web esté libre de malware.
  • Certificado SSL integrado con un alto nivel de seguridad
    Los certificados con un alto nivel de seguridad ofrecen un indicador visual de la encriptación directamente en la barra del navegador, mejorando así la confianza de los usuarios en la web.
  • “Always on SSL”
    El certificado SSL debería estar en todas las subpáginas de un dominio, no solo en la página de inicio de sesión o en la sección de carrito de la compra. Si el usuario se encuentra con un sello de confianza durante su visita a una página web, se sentirá seguro desde el comienzo hasta el final de su visita.

HTTPS en el contexto SEO

En los últimos años se ha discutido si implementar HTTPS en una página web tiene un impacto positivo en su posicionamiento en buscadores. En 2014, Google anunció que contar con un certificado HTTPS tendría una influencia positiva dentro de su ranking. Por otra parte, también manifestó su voluntad de garantizar la seguridad en Internet y de motivar a los propietarios de páginas web a que implementen certificados de seguridad en sus webs. Según sus declaraciones, en el futuro, aquellas páginas sin un protocolo de cifrado serán vistas con una “X” roja en Google Chrome. Por el momento, todas las páginas web HTTP se muestran, por defecto, en color blanco en la barra de navegación, mientras que las HTTPS se muestran en color verde. En algún punto, HTTPS deberá ser estandarizado para todas las páginas web por igual.

Sin embargo, más allá de los planes de Google, las páginas HTTPS son un símbolo de calidad y seriedad de cara a los usuarios. Los usuarios de Internet están cada vez más comprometidos con la seguridad de sus datos e incluso aquellos sin mayores conocimientos pueden reconocer si una página garantiza o no la seguridad de su información.

Seguridad