¿Qué es y para qué sirve un certificado SSL?
Uno de los componentes más esenciales en cualquier operación o transacción segura en la web es un certificado SSL. ¿Qué son este tipo de componentes web y para que nos sirven? Veamos algo de conceptualización relativa a este tema.
El SSL (secure socket layer) es un protocolo de seguridad desarrollado por la empresa Netscape Communications para lograr que la transmisión de datos entre un servidor y un usuario, o viceversa, a través de Internet, sea completamente segura. El SSL es un protocolo abierto, por lo que puede ser empleado por cualquier fabricante de aplicaciones para Internet, siendo una de sus grandes ventajas el hecho de que se pueda utilizar con cualquiera de los protocolos de servicios más comunes del Internet (HTTP, FTP, SMTP, etc), aunque lo más normal es que se utilice para el tráfico de la web vía el protocolo HTTP.
El protocolo SSL se basa en la utilización de un sistema de cifrado que emplea un algoritmo (clave pública / clave privada) que utiliza una clave de seguridad de 128 bits de longitud, y que solo conocen la maquina del usuario conectado y el servidor que brinda la conexión. Estas claves permiten la encriptación de los datos para que nadie que no las tenga pueda leer su contenido. Esto significa que cualquier tipo de información que se transmita desde un servidor seguro (que utiliza SSL) y utilizando un navegador con soporte a tecnología SSL (ya prácticamente todos los más comunes en sus versiones más recientes), viajará a través de Internet a salvo de que el mismo pueda ser rastreado, copiado y descifrado por algún usuario que no sea el perteneciente a la comunicación originalmente establecida.
Entonces, para utilizar el protocolo SSL ya dentro de un website es necesario que el web en cuestión se encuentre en posesión (tenga instalado) de un certificado digital de seguridad conocido como certificado SSL y que el mismo interactué con un navegador web que tenga soporte para SSL (ya prácticamente todos los navegadores lo tienen). Anexamos a continuación un diagrama que ejemplifica esta comunicación.
Un certificado SSL es una “firma” electrónica que acredita identidad y credencialescuando se accesa alguna pagina web segura, se identifica un servidor determinado, o se realiza alguna transacción que implica el ofrecer datos confidenciales a través de la pagina web segura. Esta es la operación básica de pago vía tarjeta bancaria (crédito o debito) que se realiza en una tienda electrónica vía web.
Los certificados SSL son expedidos por una autoridad de certificación (CA), quienes no son sino proveedores autorizados exprofesamente para ello. Los certificados SSLcontienen datos como: nombre de la empresa cliente (para quien es generado el certificado en cuestión), un numero serial propio del certificado, fecha de expiración (del certificado), y una llave publica que permite encriptar la información.
¿Cómo sabemos si un web cuenta con protección bajo un certificado SSL? Esto puede verse a simple vista en todos los principales navegadores. Lo primero es el prefijoHTTP de la dirección URL de la pagina web, cambia a HTTPS (que significa HTTPseguro), lo segundo es que en alguna parte de la ventana del navegador (ello depende de que navegador utilice), se visualiza un icono con forma de candado; el mismo al darle click abre una ventana con todos los datos del certificado SSL en cuestión, y los datos de la entidad CA que genero este certificado. A continuación mostramos una imagen representativa de esto.
¿Como conseguir un certificado SSL? La organización que desee encriptar información en algunas de sus páginas web debe solicitar un certificado digital a una autoridad de certificación (CA). Los CA más reconocidos a nivel mundial son: VeriSign, Thawte, GeoTrust y RapidSSL en ese orden.
Ahora, no confunda si su proveedor de hosting le ofrece un certificado SSL, el no es un CA; aunque si puede estar como un distribuidor de un CA registrado. Es decir, que su proveedor de hosting pueda tramitarle un certificado SSL de cualquiera de los CA reconocidos (como los mencionados anteriormente). O bien, puede usted ir al web oficial del CA de su preferencia y tramitar por sí mismo el certificado SSL que ocupe.
Precisamente los certificados SSL se pagan bajo la misma modalidad que los hostings web; es decir se paga una cantidad establecida por el CA y la misma corresponde a un tiempo de vigencia del certificado SSL. Una vez el certificado expira, este tiene que ser renovado (vía otro pago), sino, el certificado pierde validez y no funciona para realizar una conexión cifrada segura.
¿Si compre por mi mismo un certificado SSL, entonces como lo instalo? Una vez que su certificado SSL se ha aprobado y emitido por un CA, su desarrollador web o administrador web debe dirigirse al sitio web del CA donde haya tramitado el certificado, y descargar la secuencia de comandos para el sello y añadir este en las páginas web apropiadas (los accesos o formularios donde se captura la información confidencial). La persona que instale el sello tendrá que saber el nombre común utilizado para la compra del certificado SSL y poder actualizar el HTML de las páginas donde se añadirá el sello. El sello consiste en una línea pequeña de códigos que enlaza con un ventana emergente generada por el CA que contiene información sobre su certificado SSL.
El uso mas común para los certificados digitales es verificar que un sitio en internet es quien en realidad dice ser, y así proveer transferencia encriptada de datos entre el usuario conectado y el servidor (web site con soporte SSL), para que el usuario realice operaciones con completa seguridad al brindar sus datos confidenciales.
La implementación páginas web protegidas con certificados SSL aplica a cualquier organización de todo tamaño; desde una micro empresa hasta la gran empresa (big business). Es absolutamente esencial en funciones y páginas web de comercio electrónico, tiendas online, donde se soliciten datos de tarjetas bancarias o información confidencial. Por ello si usted se fija, todo banco con servicios en línea cuenta con accesos a la banca electrónica con protección bajo certificados SSL. También son indispensables en los accesos vía páginas web a redes privadas corporativas o empresariales. Si su organización realiza operaciones comerciales por internet, casi es seguro en alguna de sus páginas web requerirá el uso de un certificadoSSL.
Finalmente les referimos los sitios web de los principales CA disponibles en la actualidad; aunque reiteramos que los principales proveedores de hosting comúnmente tienen asociación con alguno de estos CA para ser distribuidores de sus certificados, y así ellos tramitárselos a sus clientes en directo.