¿Qué es un
certificado SSL?

Conozca el protocolo SSL (Secure Sockets
Layer o «capa de sockets seguros») y descubra
cómo funcionan los certificados SSL y por qué
son esenciales para garantizar la seguridad en Internet.

¿Qué es un certificado SSL y cómo funciona?

Los certificados SSL crean una conexión cifrada y generan confianza.

Uno de los aspectos a los que más atención deben prestar los negocios que desarrollan su actividad en Internet es crear un entorno de confianza en el que los potenciales clientes se sientan seguros a la hora de hacer compras. Los certificados SSL sientan las bases de esa confianza mediante el establecimiento de una conexión segura. Para garantizar a los internautas que la conexión es segura, los navegadores muestran una serie de elementos visuales que denominamos «indicadores de EV» (por ejemplo, un candado verde o la marca de la empresa en la barra de direcciones URL).

Los certificados SSL contienen un par de claves: una pública y otra privada. Estas claves funcionan juntas para establecer una conexión cifrada. El certificado también contiene lo que se denomina «sujeto», que es la identidad del propietario del certificado o sitio web.

Para obtener un certificado, antes hay que crear una solicitud de firma de certificado (CSR) en el servidor. Mediante este proceso, se crea una clave privada y una clave pública en el servidor. El archivo de datos CSR que envía al emisor de los certificados SSL (denominado «autoridad de certificación» o «CA») contiene la clave pública. La CA utiliza el archivo de datos CSR para crear una estructura de datos acorde con la clave privada sin poner en peligro la clave en sí. La CA nunca ve la clave privada.

Una vez recibido el certificado SSL, tendrá que instalarlo en su servidor. Asimismo, tendrá que instalar un certificado intermedio que determina la credibilidad de su certificado SSL vinculándolo al certificado raíz de la CA. Las instrucciones para instalar y probar el certificado varían según el servidor.

En la siguiente imagen, mostramos lo que se denomina «cadena de certificados», que conecta el certificado del servidor con el certificado raíz de la CA (en este caso, DigiCert) mediante un certificado intermedio.

Lo más importante de un certificado SSL es que lleva la firma digital de una CA de confianza, como DigiCert. Cualquiera puede crear un certificado, pero los navegadores solo confían en aquellos que proceden de una entidad incluida en su lista de CA de confianza. Los navegadores llevan preinstalada una lista de CA de confianza, conocida como «almacén de CA raíz de confianza». Si una empresa quiere que se la añada al almacén de CA raíz de confianza para convertirse en una autoridad de certificación, debe cumplir los estándares de seguridad y autenticación establecidos por los navegadores y someterse a una auditoría que demuestre dicho cumplimiento.

Un certificado SSL emitido por una CA a una empresa y su dominio o sitio web verifica que un tercero de confianza haya autenticado la identidad de dicha empresa. Desde ese momento, como el navegador confía en la CA, confiará también en la identidad de la empresa. El navegador comunica al usuario que el sitio web es seguro, con lo que este podrá navegar con toda tranquilidad e incluso facilitar información confidencial.

¿Qué es el protocolo SSL?

La tecnología SSL (del inglés «Secure Socket Layer», «capa de sockets seguros») es una tecnología de seguridad estándar para establecer una conexión cifrada entre un servidor y un cliente: por lo general, un servidor web (el sitio web) y un navegador, o un servidor de correo electrónico y un cliente de correo electrónico (como Outlook). Es más conocida que la tecnología TLS (Transport Layer Security o «seguridad de la capa de transporte»), la sucesora del protocolo SSL.

La tecnología SSL permite transmitir de forma segura información confidencial como números de tarjeta de crédito o de la Seguridad Social y credenciales de inicio de sesión. Por lo general, los datos intercambiados entre los navegadores y los servidores web se envían como texto normal, con lo que podrían estar al alcance de miradas indiscretas. Si un atacante consigue interceptar todos los datos que se envían entre un navegador y un servidor web, podrá ver y utilizar dicha información.

En concreto, SSL es un protocolo de seguridad y, como tal, describe el modo en que se deberían utilizar los algoritmos. En este caso, el protocolo SSL determina las variables del cifrado tanto para el enlace como para los datos que se transmiten.

Todos los navegadores tienen la posibilidad de interactuar con servidores web protegidos mediante el protocolo SSL. Sin embargo, el navegador y el servidor necesitan un certificado SSL para establecer una conexión segura.

La tecnología SSL protege a diario en Internet los datos de millones de personas, sobre todo durante transacciones electrónicas o cuando se transmite información confidencial. Los internautas se han acostumbrado a asociar la seguridad en Internet con el símbolo del candado que aparece en los sitios web protegidos con el protocolo SSL, o con la barra de direcciones verde que muestran los sitios web protegidos con certificados SSL con validación extendida. Por otro lado, los sitios web protegidos con SSL empiezan por «https» en lugar de «http».

¿Ya conoce los aspectos básicos de los certificados y la tecnología SSL? Infórmese sobre la criptografía SSL.

¿Qué hacen los certificados SSL para crear una conexión segura?

Cuando un navegador intenta acceder a un sitio web protegido con SSL, el navegador y el servidor web establecen una conexión SSL mediante un proceso denominado «handshake SSL» (véase el diagrama que se muestra a continuación). Este «handshake» o establecimiento de la comunicación es imperceptible para el usuario y tiene lugar de inmediato.

Básicamente, se necesitan tres claves para establecer la conexión SSL: la pública, la privada y la de sesión. Todo lo que se haya cifrado con la clave pública solo se puede descifrar con la clave privada, y viceversa. Como cifrar y descifrar la información con las claves pública y privada consume una gran capacidad de procesamiento, estas solo se utilizan durante el establecimiento de la comunicación para crear una clave de sesión simétrica. Una vez establecida la conexión segura, se utiliza la clave de sesión para cifrar todos los datos que se transmitan.

  1. El navegador se conecta a un servidor web (sitio web) protegido con SSL (https). El navegador solicita al servidor que se identifique.
  2. El servidor envía una copia de su certificado SSL, incluida la clave pública del servidor.
  3. El navegador comprueba que la raíz del certificado se encuentre en una lista de CA de confianza, que el certificado no haya caducado ni haya sido revocado y que el nombre común sea válido para el sitio web con el que se está conectando. Si el navegador confía en el certificado, crea, cifra y devuelve una clave de sesión simétrica utilizando para ello la clave pública del servidor.
  4. El servidor descifra la clave de sesión simétrica utilizando para ello la clave privada y devuelve un acuse de recibo cifrado con la clave de sesión para iniciar la sesión cifrada.
  5. El servidor y el navegador cifran todos los datos transmitidos con la clave de sesión.

¿Mi certificado es SSL o TLS?

Siempre se ha utilizado el protocolo SSL para cifrar y proteger los datos que se transmiten. Cada vez que se lanzaba una versión nueva más segura, para reflejar el cambio solo se modificaba el número de la versión (por ejemplo, SSLv2.0). Sin embargo, cuando llegó el momento de actualizar la versión SSLv3.0, en lugar de utilizar la nomenclatura SSLv4.0, se optó por TLSv1.0. Ahora hemos llegado a la versión TLSv1.3.

Como «SSL» sigue siendo el término más conocido y más usado, DigiCert usa «TLS/SSL» para hablar de certificados o explicar cómo se protege la información que se transmite. Pero al comprar uno de nuestros certificados SSL (por ejemplo, SSL estándar, SSL con validación extendida, etc.), en realidad lo que adquiere es un certificado TLS (RSA o ECC).

Comparativa de los usos de los certificados TLS/SSL

 

Usos

Sitios informativos y blogs

Los sitios web que no manejan pagos ni información confidencial deberían usar HTTPS para garantizar la privacidad de sus usuarios, y esto incluye también a los blogs.

Paneles de inicio de sesión y formularios

El protocolo TLS/SSL cifra y protege los nombres de usuario y las contraseñas, así como los formularios que se emplean en las páginas web para enviar datos personales, documentos o imágenes.

Páginas de pago

Si sus clientes saben que la página de pago de su sitio web es segura (y que los datos de su tarjeta de crédito están protegidos), es más probable que completen la compra.

Tipo de certificado TLS/SSL recomendado

Certificados TLS/SSL con OV (validación de empresa), el segundo en nivel de autenticación y rigurosidad de las comprobaciones de empresa.

Certificados TLS/SSL con OV (validación de empresa), el segundo en nivel de autenticación y rigurosidad de las comprobaciones de empresa.

Certificados TLS/SSL con EV (validación extendida), el máximo nivel de autenticación y rigurosidad de las comprobaciones de identidad.