lunes, 17 de agosto de 2015

Certificados SSL/TLS, que son y cuando es necesario implementarlos

En diversos casos, hemos encontrado páginas con transacciones electrónicas con implementaciones SSL que no cumplen con los estandares de seguridad,  pero muchos usuarios desconocen los protocolos de seguridad al momento de desarrollar su página web, o ¿ Cuándo implementar los certificados dichos protocolos? o ¿ Qué es un certificado SSL?  razón por la cual explicamos:

¿Qué es un certificado SSL / TLS?

Los certificados SSL (capa de sockets seguros) son una pieza esencial de la seguridad de los sitios web. Al visitar un sitio web con SSL, el certificado SSL del sitio web permite cifrar los datos que se envían, como la información sobre tarjetas de créditos, nombres y direcciones de modo que ningún hacker pueda acceder a ellos.

El protocolo TLS (seguridad de la capa de transporte) es solo una versión actualizada y más segura de SSL. Si bien aún denominamos a nuestros certificados de seguridad SSL porque es un término más común, al comprar certificados SSL. En realidad en muchos distribuidores de certificado SSL se venden como certificados TLS más actualizados con la opción de cifrado ECC, RSA o DSA.

¿Cómo funciona ?

SSL/TLS funciona de forma transparente para ti, lo que en realidad ocurre cuando intentas acceder a un sitio seguro se asemeja al siguiente diagrama.
  1. El navegador intenta conectarse al sitio web protegido con SSL. 

  2. El navegador solicita que el servidor web se identifique, y  envía al navegador una copia de su certificado SSL.

  3. El navegador comprueba si confía en el certificado SSL, y de ser así envía un mensaje al servidor.

  4. El servidor reenvía un reconocimiento firmado digitalmente para iniciar una sesión cifrada con SSL.

  5. Los datos cifrados se comparten entre el navegador y el servidor.

Tipos de Certificados SSL

Existen diferentes tipo de certificados SSL que se pueden usar en un sitio Web, pero básicamente todo dependerá de las necesidades, gustos y presupuestos.

1) Certificados compartidos (Shared Certificates)



Estos certificados por lo general son gratuitos, y son dados de esta forma para empresas de hospedaje Web como los revendedores (Hosting reseller) o en otros caso pueden ser generados de forma personal por ejemplo usando OpenSSL o a través de algún servicio que preste un sitio Web. 

Cumplen su función de forma básica, pero el hecho de ser compartidos no los relaciona directamente con el nombre de dominio del sitio Web, esto provocará los mensajes de alerta, como por ejemplo cuando un usuario visite mi sitio Web dominio.com se intentará verificar/autenticar a través del certificado de seguridad que está emitido por certdominio.com, esto generará “la desconfianza” ya que ambos dominios son diferentes.

Estos certificados son apropiados para asegurar la conexión con un sitio Web o el servidor de un sitio Web, pero no serán usados por el todos los visitantes. Por ejemplo, para ingresar en el área administrativa de tu sitio.

Los certificados compartido no son apropiados para el comercio electrónico, en estos casos se usan certificados privados, en donde el certificado esté relacionado/emparentado con el dominio.

2) Certificados de validación de dominio (Domain Validation) DomainSSL

Estos son los certificados SSL más básicos, se enfocan en validar solo el nombre de dominio (dominio.com). Es ideal para situaciones en las que los visitantes del sitio necesitan ingresar a zonas seguras, bien sea para ingresar datos personales (nombre de usuario, contraseña, email, etc) o realizar pagos con tarjetas de crédito. A diferencia de los certificados compartidos, estos no serán objeto de mensajes de advertencia por parte de los navegadores.



Estos certificados son apropiados para cualquier situación en donde se quiera asegurar la comunicación entre el sitio Web y sus visitantes, y pueden ser adquiridos por cualquier persona.

3) Certificados de validación de compañías (OV Validation) OrganizationSSL 


Estos certificados son muy similares a los de validación de dominios, la diferencia es que para estos es necesario validar datos de la propia compañía y no solo su dominio. Más validación, más seguridad.


Desde un punto de vista de negocio y reputación, una compañía que use este tipo de certificado de seguridad, no solo esta validando su dominio (dominio.com) sino también su empresa. Esto es un poco “superficial” pero de alguna manera y hasta cierto punto, el hecho de que un tercero (asociación certificadora) valide la empresa (y no solo su dominio) generará mayor confianza a sus clientes. Es una cuestión de “reputación” si se quiere.





4) Certificado de validación extendido (Extended Validation) ExtendedSSL


Este es top de los certificados. El proceso de verificación es aún mayor, se necesitarán verificar una buena cantidad de datos, tanto del sitio Web como de la empresa que lo administra, incluyendo cuestiones jurídicas. Tanto los requerimiento como los procedimientos son minuciosos.



La barra verde es exclusiva de este certificado. Les asegura a los visitantes que están ante una empresa/organización validada y asegurada. Además, un sitio protegido mediante este certificado hace que los navegadores web muestren el nombre de la organización junto a la barra de direcciones (en este caso verde) y al nombre de la autoridad de certificación que lo emitió. El navegador y la autoridad de certificación controlan la visualización, lo que hace que las técnicas de phishing sean más difíciles de aplicar.


Conclusiones


La mayoría de la gente tiende a creer que tener un certificado SSL proporciona seguridad absoluta contra la posibilidad de que fuentes externas lean la información que se intercambia entre el servido y un buscador de Internet.

Un certificado SSL es prueba de la autenticidad e integridad de los datos que se intercambian. Esto significa que no es necesaria la presencia de páginas protegidas mediante contraseña para utilizar un certificado SSL.

Te mostramos algunos escenarios donde debes considerar implementarlo:
  • Si lo que tiene es un sitio dedicado al comercio electrónico, pagos con tarjetas, y es tu empresa la que administra todas las operaciones, puedes usar un certificado de validación de compañías.
  • Si tienes un sitio Web particular que utiliza inicios de sesión y/o pagos puedes usar una certificado de validación de dominios para proteger la información.
  • Si se envía información sensible mediante algun servicio web o webservice a alguná página o aplicación.
  • Si buscas posicionamiento SEO. Los certificados SSL ofrecen preferencias en el posicionamiento o ranking web en Google. http://bit.ly/1koC8DD
  • Si tu empresa es aún mayor, que realiza grandes y continuas transacciones comerciales a través de Internet, puedes usar un certificado extendido. 
Con HTTPS, lo que prometes a tus clientes es mucho más que una simple encriptación de sus comunicaciones.