➠Noticias

¿Qué es un Certificado SSL?

En palabras simples... una técnica que le permite a los navegantes de Internet ENVIAR y RECIBIR información a través un sitio web con toda confianza y seguridad pues estos datos intercambiados por el navegador en casa de ellos y el servidor web de la empresa que visitan están siendo cifrados (no decimos encriptado porque esa palabra no existe en español aunque probablemente la Real Academia de la Lengua Española pronto la agregue, así que aunque por ahí alguien utilice encriptar/encriptado, lo correcto es cifrar/cifrado). .

Adicionalmente, existen otros tipos de certificados que se utilizan para firmar documentos y código de programas (programas ejecutables en forma local en su computador y en Internet).

Ejemplo de cómo se intercambia información en forma segura entre 2 entidades:

Recuerda que cuando era niño quizás intercambiaba mensajes con sus amigos usando alguna clave que sólo ustedes conocían y nadie más la sabía? Pues precisamente eso es lo sucede, el certificado de seguridad permite que un navegador del visitante y el servidor web corporativo usen una clave que sólo ellos crean, interpretan y luego destruyen al finalizar la comunicación, todo en segundos.

 

¿Por qué necesita un certificado SSL?

Si al menos responde un SÍ para alguno de los siguientes enunciados, entonces usted requiere un Certificado SSL urgentemente:

• Usted necesita demostrar que su sitio web, es realmente el sitio web oficial de su empresa y no un imitador falso que sólo desea hacerse pasar por otra entidad. Es por esta razón que el tipo de certificado SSL de Validación Extendida (ó EV por sus siglas en inglés de Extended Validation) muestra en la dirección Web el nombre real de su empresa, esto se logra a través de un proceso de validación que no cualquiera puede completar.  Recuerde: ver un candado en un sitio web, no quiere decir que sea seguro, simplemente indica que su información viaja cifrada, usted debería confiar únicamente en sitios que muestren el candado verde + nombre completo de la empresa.(como sucede con nuestro sitio web en la parte superior de la barra de navegación.
• Usted ha visto en internet otros sitios similares al suyo (comúnmente:  clonados) y eso está afectando su credibilidad, razón por la cual usted debe notificar a sus clientes que su sitio web tiene un certificado de seguridad oficial y que despliega el mismo nombre de su Razón Social (empresa) y que generalmente será el mismo que aparecerá en los cargos de tarjetas de crédito o depósitos bancarios.
• Tiene un sitio de comercio electrónico (e-commerce) o desea tener uno y este es un requisito para que su banco le brinde el servicio de procesamiento de tarjeta de crédito/débito.
• Captura información sensitiva de sus visitantes, como por ejemplo:
  • tarjetas de crédito,
  • diagnósticos médicos,
  • datos de rastreabilidad como números de cédula (personal, jurídica) ligada a un nombre/teléfono ó dirección (conocido como PII Information)
• Ofrece acceso a sus sistemas informáticos desde fuera de su organización
  • Correo Electrónico (MS-Exchange, OWA, Office365, SquirrelMail, otros...)
  • Portal de información centralizado (MS-SharePoint, Zimbra, ...)
  • Otros sitios de intercambio de datos (MS-Lync, Extranet, servicios a proveedores)
• Es una entidad que pertenece al sector financiero/salud que debe cumplir con normas internacionales:
  • PKI,
  • AICPA-CICA,
  • HIPPA y otros...
• Forma parte de un grupo corporativo con oficinas en varias locaciones (mismo país o en diferentes países) y utilizan el Internet para el intercambio de datos sensitivos de la empresa.
• Desea ofrecer confidencialidad y espera que otros se la ofrezcan a usted.
• Desea garantizar su permanencia en los motores de búsqueda como Google
  
  (le recordamos que a partir de Abril 2015, Google iniciará el proceso de mostrar resultados orgánicos que posean un certificado de seguridad SSL)
• Desea incrementar el ranking de su sitio web (sí, ahora Google agregó a su algoritmo de ranking/posicionamiento de sitio web una preferencia a los sitios que tengan certificado SSL EV). Referencias de Digicert, TechRadar, CDMON, SearchEngineLand e InterDominios.

¿Cuál es el mejor certificado para mi sitio web?

La respuesta es sencilla, el mejor certificado SSL es el que se ajuste al nivel de confianza que usted desea ofrecer a sus clientes internos (personal) y externos (proveedores y visitantes).  Recuerde que algunos certificados únicamente ofrecen el servicio básico de cifrado de información... de ahí en adelante, usted podrá agregar otros servicios como:

• Validación de Dominio (DV ➟ Domain Validation), se puede obtener en 5 min. pero brinda un muy bajo nivel de confianza por parte de los visitantes y empresas auditoras.
• Validación del nombre de su organización (OV ➟ Organization Validation), se puede obtener en 1 día y brinda un poco más de confianza pero no despliega el nombre de su organización.
• Validación Ampliada (EV ➟ Extended Validation) incluye la barra verde en el navegador del usuario y muestra el nombre de su institución (para sitios web de e-commerce o imagen corporativa, recomendamos este). Es el más recomendado y brinda el nivel más alto de confianza.
• Escaneo de virus y malware en su sitio web
• Certificación de confianza en los motores de búsqueda
• Administración centralizada de TODOS los certificados de seguridad de su organización en un sólo lugar (aunque sean de diferentes tipos y Autoridades Certificadoras (CA)
• Certificados para firma de programas, applets y/o scripts (Code Signing)
• Obtener un seguro contra fallos en el encriptado (que puede ir desde los US$5,000 hasta US$1,500,000 si llegara a suceder un fallo en el proceso de cifrado
  
  Cada CA ofrece un monto de acuerdo al tipo de certificado que usted escoja, para más información, visite nuestra sección de tipos de certificados

¿Qué es la "Transparencia de Certificados"?
 (Certificate Transparency)

Podrá encontrar mucha información en Internet, pero en resumen, esto es:

un mencanismo requerido por los fabricantes de navegadores para luchar contra la propagación de certificados falsos o alterados (que han sido emitidos con un nombre incorrecto), todo ello en la búsqueda de evitar phishing

Lo anterior, debido a que aún existen Autoridades Certificadoras (CA por sus siglas en inglés = Certificate Authority) con procesos de verificación (vetting process) relajados o inexistentes, razón por la cual muchas CA han tenido una serie de problemas con certificados circulantes o bien, han llegado al punto de desaparecer por la presión de algunos entes que regulan la materia de seguridad, en donde les han indicado a las CA omisas en varias ocasiones (y con fechas límites de remediación) que si no resuelven algunas dolencias de seguridad, sus certificados (los emitidos por dichas CAs) no serán reconocidos como válidos dentro de los navegadores que fabrican los primeros (los impulsores de seguridad).

Uno de los casos más relevantes fue cuando Google advirtió a Symantec hace algunos años corregir aspectos de vetting (el cual terminó con la desaparición de Symantec CA, la cual tuvo una serie de fallos y no reconicimiento de sus certificados, por lo que, como medida paliativa al no poder resolver el tema técnico, puso a la venta su negocio de PKI (certificados de seguridad)... pasaron los meses y nadie quería una cartera de producto con "desconfianza", razón por la cual al tratar de vender su negocio a otra CA (pues su cierre era inminente), y al no conseguir comprador alguno ya que este es un tema de CONFIANZA, lo ofrece a un precio bajo y fue la CA DigiCert la que efectúa la compra y esta decisión le costó mucha reputación y dolores de cabeza por varios años).

Algunos de los impulsores de este tema durante varios años y que lograron instaurar la norma (desde el 01-ENE-2015 para los certificados EV = Extended Validation) fueron:

• Google, creador del navegador Chrome (base de otros navegadores)
• Apple, creador del navegador Safari (predeterminado en todos los dispositivos con sistema operativo MacOS así como en los dispositivos móviles (iPhones, iPads) con iOS)

Esta norma está siendo apoyada por varios fabricantes así como por el CA|Browser Forum..., incluso ahora, desde abril del 2018, es mandatorio para los demás certificados que faltaban por tenerlo como mandatorio:

• DV:  Domain Validation
• OV:  Organization Validation

Por lo anterior, usted no sólo cuenta con mecanismos de verificación y revocación (CRL & OCSP) en IPv4 e IPv6, sino también con una norma adicional como es el Certificate Transparency.

Prohibida la reproducción parcial o total de los contenidos de este sitio web, el desarrollo ha sido propiedad intelectual de InterHAND S. A.

* * *