Los certificados HTTPS y SSL hacen que su sitio web sea seguro (y por qué debería hacerlo)
Aunque no todos comprenden cómo funciona, ese pequeño candado en la barra de direcciones indica a los usuarios de la web que tienen una conexión confiable con un sitio web legítimo. Si los visitantes no ven eso en la barra de direcciones cuando abren su sitio web, no podrá, y no debería, obtener su negocio..
Para obtener ese pequeño candado de la barra de direcciones para su sitio web, necesita un certificado SSL. ¿Cómo se obtiene uno? Sigue leyendo para descubrir.
Esquema del artículo:
- Qué es SSL / TLS?
- Cómo utilizar HTTPS?
- ¿Qué es un certificado SSL y cómo obtengo uno??
- Guía de compras con certificado SSL
- Autoridad certificada
- Validación de dominio vs. validación extendida
- SSL compartido vs. SSL privado
- Sellos de confianza
- Certificados Wildcard SSL
- Garantías
- Certificados SSL gratuitos y certificados SSL autofirmados
- Instalación de un certificado SSL
- HTTPS Pros y Contras
Qué es SSL / TLS?
En la web, los datos se transfieren mediante el Protocolo de transferencia de hipertexto. Es por eso que todas las URL de las páginas web tienen "http: //" o "https://" en frente de ellos.
¿Cuál es la diferencia entre http y https? Esa pequeña S extra tiene grandes implicaciones: la seguridad..
Dejame explicar.
HTTP es el "idioma" que su computadora y el servidor utilizan para comunicarse entre sí. Este lenguaje se entiende universalmente, lo cual es conveniente, pero también tiene sus inconvenientes. Cuando se pasan datos entre usted y un servidor a través de Internet, hará algunas paradas en el camino antes de llegar a su destino final. Esto plantea tres grandes riesgos:
- Que alguien pueda escuchar a escondidas en su conversación (algo así como una escucha telefónica digital).
- Que alguien pueda personificar una (o ambas) de las partes en cada extremo.
- Que alguien pueda manosear con los mensajes siendo transferidos.
Los piratas cibernéticos y los imbéciles utilizan una combinación de lo anterior para una serie de estafas y robos, que incluyen estafas de suplantación de identidad (phishing), ataques de hombre en el medio y buena publicidad a la antigua usanza. Los ataques malintencionados pueden ser tan simples como rastrear las credenciales de Facebook mediante la intercepción de cookies no cifradas (escuchas ilegales), o pueden ser más sofisticados. Por ejemplo, podría pensar que le estaba diciendo a su banco: "Por favor, transfiera $ 100 a mi ISP", pero alguien en el medio podría alterar el mensaje para que diga: "Por favor, transfiera $ 100 todo mi dinero a mi ISP Peggy en Siberia" (manipulación de datos y suplantación).
Entonces, esos son los problemas con HTTP. Para resolver esos problemas, HTTP puede ser superpuesto con un protocolo de seguridad, lo que da como resultado HTTP Secure (HTTPS). Más comúnmente, la S en HTTPS es proporcionada por el protocolo Secure Sockets Layer (SSL) o el protocolo de seguridad de la capa de transporte (TLS) más reciente. Cuando se implementa, HTTPS ofrece bidireccional. cifrado (para evitar las escuchas), servidor autenticación (para evitar la suplantación) y autenticación de mensajes (para evitar la manipulación de datos).
Cómo utilizar HTTPS
Al igual que un idioma hablado, HTTPS solo funciona si ambas partes eligen hablarlo. En el lado del cliente, la opción de usar HTTPS se puede hacer escribiendo "https" en la barra de direcciones del navegador antes de la URL (por ejemplo, en lugar de escribir http://www.facebook.com, escriba https: // www. facebook.com), o instalando una extensión que obligue automáticamente a HTTPS, como HTTPS Everywhere para Firefox y Chrome. Cuando su navegador web esté usando HTTPS, verá un ícono de candado, una barra de navegación verde, pulgar hacia arriba o alguna otra señal de que su conexión con el servidor es segura..
Sin embargo, para utilizar HTTPS, el servidor web debe admitirlo. Si usted es un webmaster y desea ofrecer HTTPS a sus visitantes, entonces necesitará un Certificado SSL o un Certificado TLS. ¿Cómo se obtiene un certificado SSL o TLS? Sigue leyendo.
Más información: algunas aplicaciones web populares le permiten elegir HTTPS en su configuración de usuario. Lee nuestros escritos en Facebook, Gmail y Twitter..
¿Qué es un certificado SSL y cómo obtengo uno??
Para utilizar HTTPS, su servidor web debe tener instalado un certificado SSL o un certificado TLS. Un certificado SSL / TLS es una especie de identificación con foto para su sitio web. Cuando un navegador que usa HTTPS accede a su página web, realizará un "apretón de manos", durante el cual la computadora cliente solicita el certificado SSL. El certificado SSL es luego validado por una autoridad certificadora (CA) de confianza, que verifica que el servidor es quien dice ser. Si todo sale bien, su visitante de la web obtiene la marca de verificación verde o el ícono de bloqueo. Si algo sale mal, recibirán una advertencia del navegador web, indicando que no se pudo confirmar la identidad del servidor..
Comprando un certificado SSL
Cuando se trata de instalar un certificado SSL en su sitio web, hay una gran cantidad de parámetros para decidir. Repasemos lo más importante:
Autoridad certificada
La autoridad de certificación (CA) es la compañía que emite su certificado SSL y la que validará su certificado cada vez que un visitante visite su sitio web. Si bien cada proveedor de certificados SSL competirá en precio y características, lo primero que se debe tener en cuenta al verificar las autoridades de certificación es si tienen o no certificados que vienen preinstalados en los navegadores web más populares. Si la autoridad de certificación que emite su certificado SSL no está en esa lista, se le indicará al usuario una advertencia de que el certificado de seguridad del sitio no es confiable. Por supuesto, esto no significa que su sitio web sea ilegítimo, solo significa que su CA no está en la lista (todavía). Este es un problema porque la mayoría de los usuarios no se molestarán en leer la advertencia o en investigar la CA no reconocida. Probablemente solo harán clic.
Afortunadamente, la lista de CA preinstaladas en los principales navegadores es bastante grande. Incluye algunas grandes marcas, así como CAs menos conocidas y más asequibles. Los nombres de los hogares incluyen Verisign, Go Daddy, Comodo, Thawte, Geotrust y Entrust.
También puede buscar en la configuración de su propio navegador para ver qué autoridades de certificación vienen preinstaladas..
- Para Chrome, vaya a Configuración -> Mostrar configuración avanzada ... -> Administrar certificados.
- Para Firefox, haga Opciones -> Avanzadas -> Ver Certificados.
- Para IE, Opciones de Internet -> Contenido -> Certificados.
- Para Safari, vaya a Finder y elija Ir -> Utilidades -> Acceso a KeyChain y haga clic en Sistema.
Para una referencia rápida, consulte este hilo, que enumera los certificados SSL aceptables para Google Checkout.
Validación de dominio vs. validación extendida
Tiempo típico de emisión | Costo | Barra de dirección | |
Validación de dominio | Casi al instante | Bajo | HTTPS normal (icono de candado) |
Validación de la organización | Unos pocos días | Medio | HTTPS normal (icono de candado) |
Validación extendida | Una semana o mas | Alto | Barra de direcciones verde, información de verificación de ID de empresa |
Un certificado SSL tiene la intención de probar la identidad del sitio web al que le está enviando la información. Para asegurarse de que la gente no esté tomando certificados SSL falsos para los dominios que no controlan correctamente, una autoridad de certificación validará que la persona que solicita el certificado es, de hecho, el propietario del nombre de dominio. Por lo general, esto se realiza mediante un correo electrónico rápido o una validación de llamadas telefónicas, similar a cuando un sitio web le envía un correo electrónico con un enlace de confirmación de cuenta. Esto se llama un dominio validado Certificado SSL. El beneficio de esto es que permite que los certificados SSL sean emitidos casi inmediatamente. Probablemente podría ir y obtener un certificado SSL validado en el dominio en menos tiempo del que le llevó leer esta publicación de blog. Con un certificado SSL validado de dominio, obtiene el candado y la capacidad de cifrar el tráfico de su sitio web.
Las ventajas de un certificado SSL de dominio validado es que son rápidos, fáciles y baratos de obtener. Este es también su inconveniente. Como se puede imaginar, es más fácil engañar a un sistema automatizado que a uno dirigido por seres humanos vivos. Es como si un chico de secundaria ingresara al DMV diciendo que él era Barack Obama y quería obtener una identificación emitida por el gobierno. la persona en el escritorio lo miraba y llamaba a los federales (o al contenedor de locos). Pero si se tratara de un robot que trabaja en un quiosco de identificación con foto, podría tener algo de suerte. De manera similar, los phishers pueden obtener "IDs falsas" para sitios web como Paypal, Amazon o Facebook engañando a los sistemas de validación de dominios. En 2009, Dan Kaminsky publicó un ejemplo de una forma de estafar a las AC para obtener certificados que harían que un sitio web de suplantación de identidad parezca una conexión segura y legítima. Para un humano, esta estafa sería fácil de detectar. Pero la validación de dominio automatizada en el momento carecía de las comprobaciones necesarias para evitar algo como esto.
En respuesta a las vulnerabilidades de SSL y certificados SSL de dominio validados, la industria ha introducido la Validación extendida certificado. Para obtener un certificado SSL con EV, su empresa u organización debe someterse a una verificación rigurosa para asegurarse de que cumple con los requisitos de su gobierno y controla con razón el dominio que está solicitando. Estos controles, entre otros, requieren un elemento humano, y por lo tanto toman más tiempo y son más caros.
En algunas industrias, se requiere un certificado EV. Pero para otros, el beneficio solo llega a lo que sus visitantes reconocerán. Para los visitantes de la web todos los días, la diferencia es sutil. Además del icono del candado, la barra de direcciones se vuelve verde y muestra el nombre de su empresa. Si hace clic para obtener más información, verá que se ha verificado la identidad de la empresa, no solo el sitio web..
Aquí hay un ejemplo de un sitio HTTPS normal:
Y aquí hay un ejemplo de un sitio HTTPS certificado de EV:
Dependiendo de su industria, un certificado EV podría no valer la pena. Además, debe ser una empresa u organización para obtener uno. Aunque las grandes empresas están tendiendo a obtener la certificación de EV, notará que la mayoría de los sitios HTTPS aún tienen el sabor no EV. Si es lo suficientemente bueno para Google, Facebook y Dropbox, tal vez sea lo suficientemente bueno para ti.
Una cosa más: hay una opción en medio de la carretera llamada organización validada o negocio validado proceso de dar un título. Esta es una investigación más exhaustiva que la validación de dominio automatizada, pero no llega a cumplir con las regulaciones de la industria para un certificado de Validación ampliada (¿se da cuenta de que la Validación ampliada se capitaliza y la "validación organizativa" no lo es?). Una certificación OV o validada para el negocio cuesta más y lleva más tiempo, pero no le dará la barra de direcciones verde ni la información verificada de la identidad de la empresa. Francamente, no puedo pensar en una razón para pagar un certificado OV. Si puedes pensar en uno, por favor, ilumíname en los comentarios..
SSL compartido vs. SSL privado
Algunos servidores web ofrecen un servicio SSL compartido, que a menudo es más económico que un SSL privado. Aparte del precio, el beneficio de un SSL compartido es que no necesita obtener una dirección IP privada o un host dedicado. El inconveniente es que no puedes usar tu propio nombre de dominio. En cambio, la parte segura de su sitio será algo como:
https://www.hostgator.com/~yourdomain/secure.php
Contraste eso a una dirección SSL privada:
https://www.yourdomain.com/secure.php
Para los sitios públicos, como los sitios de comercio electrónico y las redes sociales, esto obviamente es un obstáculo, ya que parece que se ha redirigido desde el sitio principal. Pero para áreas que generalmente no son vistas por el público en general, como las entrañas de un sistema de correo o un área de administrador, entonces un SSL compartido puede ser una buena opción.
Sellos de confianza
Muchas autoridades de certificación le permiten colocar un sello de confianza en su página web después de haberse registrado en uno de sus certificados. Esto da más o menos la misma información que un clic en el candado en la ventana del navegador, pero con mayor visibilidad. No se requiere incluir un sello de confianza, ni amplía su seguridad, pero si le da a sus visitantes la confianza de saber quién emitió el certificado SSL, por todos los medios, deséchelo..
Certificados Wildcard SSL
Un certificado SSL verifica la identidad de un dominio. Por lo tanto, si desea tener HTTPS en varias subdivisiones, por ejemplo, groovypost.com, mail.groovypost.com y answers.groovypost.com, deberá comprar tres certificados SSL diferentes. En cierto punto, un certificado SSL comodín se vuelve más económico. Es decir, un certificado para cubrir un dominio y todos los subdominios, es decir, * .groovypost.com.
Garantías
No importa cuán larga sea la buena reputación de una empresa, existen vulnerabilidades. Incluso los CA pueden ser atacados por hackers, como lo demuestra la violación en VeriSign que no se reportó en 2010. Además, el estado de una CA en la lista de confianza puede ser revocado rápidamente, como vimos en el caso de DigiNotar snafu en 2011. Lo que pasa.
Para aliviar cualquier inquietud sobre el potencial de tales actos aleatorios de libertinaje de SSL, muchas CA ahora ofrecen garantías. La cobertura varía de unos pocos miles de dólares a más de un millón de dólares e incluye las pérdidas resultantes del mal uso de su certificado u otros contratiempos. No tengo idea si estas garantías realmente agregan valor o no, o si alguien alguna vez ha ganado una reclamación con éxito. Pero están ahí para su consideración..
Certificados SSL gratuitos y certificados SSL autofirmados
Hay dos tipos de certificados SSL gratuitos disponibles. Autofirmado, que se usa principalmente para pruebas privadas y certificados SSL que se emiten por una autoridad de certificación válida. La buena noticia es que, en 2018, hay algunas opciones para obtener certificados SSL de 90 días, válidos y gratuitos al 100%, tanto de SSL gratis como de Let's Encrypt. SSL for Free es principalmente una GUI para la API de Let's Encrypt. La ventaja del sitio SSL for Free es que es fácil de usar ya que tiene una interfaz gráfica de usuario agradable. Sin embargo, Let's Encrypt es bueno ya que puede automatizar completamente la solicitud de certificados SSL de ellos. Ideal si necesita certificados SSL para múltiples sitios web / servidores.
Un certificado SSL autofirmado es gratis para siempre. Con un certificado autofirmado, usted es su propio CA. Sin embargo, debido a que no se encuentra entre las CA confiables integradas en los navegadores web, los visitantes recibirán una advertencia de que el sistema operativo no reconoce la autoridad. Como tal, realmente no hay seguridad de que usted sea quien dice ser (es como emitirse una identificación con foto y tratar de pasarla a la tienda de licores). Sin embargo, el beneficio de un certificado SSL autofirmado es que permite el cifrado para el tráfico web. Puede ser bueno para uso interno, donde puede hacer que su personal agregue a su organización como una CA confiable para deshacerse del mensaje de advertencia y trabajar en una conexión segura a través de Internet.
Para obtener instrucciones sobre cómo configurar un certificado SSL autofirmado, consulte la documentación de OpenSSL. (O, si hay suficiente demanda, escribiré un tutorial).
Instalación de un certificado SSL
Una vez que haya comprado su certificado SSL, debe instalarlo en su sitio web. Un buen servicio de alojamiento web ofrecerá hacer esto por usted. Algunos incluso pueden ir tan lejos como comprarlo para usted. A menudo, esta es la mejor forma de proceder, ya que simplifica la facturación y garantiza que esté configurada correctamente para su servidor web.
Sin embargo, siempre tiene la opción de instalar un certificado SSL que compró por su cuenta. Si lo hace, es posible que desee comenzar a consultar la base de conocimientos de su proveedor de alojamiento web o abrir un ticket del servicio de asistencia. Le dirigirán a las mejores instrucciones para instalar su certificado SSL. También debe consultar las instrucciones proporcionadas por la CA. Estos le darán una mejor orientación que cualquier consejo genérico que pueda darle aquí..
Es posible que también desee consultar las siguientes instrucciones para instalar un certificado SSL:
- Instale un certificado SSL y configure el dominio en cPanel
- Cómo implementar SSL en IIS (Windows Server)
- Apache SSL / TLS Encryption
Todas estas instrucciones implicarán la creación de una solicitud de firma de certificado (CSR) SSL. De hecho, necesitará un CSR solo para obtener un certificado SSL emitido. Una vez más, su proveedor de alojamiento web puede ayudarle con esto. Para obtener información más específica sobre cómo crear un CSR, consulte esta publicación de DigiCert.
Pros y contras de HTTPS
Ya hemos establecido firmemente las ventajas de HTTPS: seguridad, seguridad, seguridad. Esto no solo mitiga el riesgo de una violación de datos, sino que también infunde confianza y agrega reputación a su sitio web. Es posible que los clientes inteligentes ni siquiera se molesten en registrarse si ven un “http: //” en la página de inicio de sesión.
Hay, sin embargo, algunos contras a HTTPS. Dada la necesidad de HTTPS para ciertos tipos de sitios web, tiene más sentido pensar en estos como "contrasIderaciones "en lugar de negativos.
- HTTPS cuesta dinero. Para empezar, existe el costo de comprar y renovar su certificado SSL para garantizar la validez de un año a otro. Pero también hay ciertos "requisitos del sistema" para HTTPS, como una dirección IP dedicada o un plan de hosting dedicado, que puede ser más costoso que un paquete de hosting compartido.
- HTTPS puede retardar la respuesta del servidor. Hay dos problemas relacionados con SSL / TLS que pueden ralentizar la velocidad de carga de su página. Primero, para comenzar a comunicarse con su sitio web por primera vez, el navegador del usuario debe pasar por el proceso de intercambio de información, que regresa al sitio web de la autoridad de certificación para verificar el certificado. Si el servidor web de la CA está siendo lento, habrá un retraso en la carga de su página. Esto está en gran medida fuera de su control. En segundo lugar, HTTPS utiliza cifrado, que requiere más poder de procesamiento. Esto se puede solucionar optimizando su contenido para el ancho de banda y actualizando el hardware en su servidor. CloudFare tiene una buena publicación en el blog sobre cómo y por qué SSL puede ralentizar su sitio web.
- HTTPS puede afectar los esfuerzos de SEO Cuando hace la transición de HTTP a HTTPS; Te estás mudando a un nuevo sitio web. Por ejemplo, https://www.groovypost.com no sería lo mismo que http://www.groovypost.com. Es importante asegurarse de que ha redirigido sus enlaces anteriores y ha escrito las reglas adecuadas bajo el capó de su servidor para evitar la pérdida de su precioso enlace..
- El contenido mixto puede lanzar una bandera amarilla.. Para algunos navegadores, si tiene la parte principal de una página web cargada desde HTTPS, pero las imágenes y otros elementos (como hojas de estilo o scripts) se cargan desde una URL HTTP, entonces aparecerá una ventana emergente que advierte que la página incluye contenido no seguro. Por supuesto, tener algunos El contenido seguro es mejor que no tener ninguno, aunque este último no dé lugar a una ventana emergente. Pero aún así, podría valer la pena asegurarse de que no tenga ningún "contenido mixto" en sus páginas.
- A veces es más fácil obtener un procesador de pago de terceros. No hay vergüenza en permitir que Google Checkout, Paypal o Checkout by Amazon manejen sus pagos. Si todo lo anterior parece demasiado difícil, puedes permitir que tus clientes intercambien información de pago en el sitio seguro de Paypal o en el sitio seguro de Google y te ahorres el problema..
¿Tiene alguna otra pregunta o comentario acerca de los certificados HTTPS y SSL / TLS? Déjame escucharlo en los comentarios..