¿Qué son SSL,
TLS y HTTPS?

¿Y cómo fomentan la confianza en los sitios web?

TLS/SSL

¿Qué es la tecnología SSL y por qué es importante?

Los certificados SSL (Secure Sockets Layer o «capa de sockets seguros»), a veces denominados «certificados digitales», se utilizan para establecer una conexión cifrada entre un navegador o el ordenador de un usuario y un servidor o un sitio web.

UP NEXT

SSL: Secure Sockets Layer

SSL es una tecnología estandarizada que permite cifrar el tráfico de datos entre un navegador web y un sitio web (o entre dos servidores web), protegiendo así la conexión. Esto impide que un hacker pueda ver o interceptar la información que se transmite de un punto a otro, la cual puede contener datos personales o financieros.

Términos relacionados

TLS: Transport Layer Security

TLS es una versión actualizada y más segura de SSL. Aunque seguimos refiriéndonos a nuestros certificados de seguridad como «certificados SSL» porque ese es el término más extendido, todos los certificados de DigiCert utilizan la tecnología TLS más moderna y son de plena confianza.

HTTPS: HyperText Transfer Protocol Secure

Si aparecen las letras HTTPS al principio de la dirección (URL) de un sitio web, dicho sitio está protegido por un certificado SSL o TLS. Además, en la barra de direcciones del navegador aparece un icono de un candado y, al hacer clic sobre ese icono, los usuarios pueden consultar los datos del certificado, como la autoridad emisora y el nombre de la empresa propietaria del sitio web.

¿Por qué es necesario el protocolo SSL?

El protocolo SSL no se emplea solo para el comercio electrónico. También permite proteger toda la información
que entra y sale de su sitio web.

PÁGINAS DE PAGO

Si sus clientes saben que la página de pago de su sitio web es segura (y que los datos de su tarjeta de crédito están protegidos), es más probable que completen la compra.

PANELES DE INICIO DE SESIÓN Y FORMULARIOS

El protocolo SSL cifra y protege los nombres de usuario y las contraseñas, así como los formularios que se emplean en las páginas web para enviar datos personales, documentos o imágenes.

BLOGS Y SITIOS WEB INFORMATIVOS

Incluso los blogs y otros sitios web que no manejan pagos ni información confidencial deberían usar HTTPS para garantizar la privacidad de sus usuarios.

El protocolo SSL mejora el posicionamiento en buscadores

En 2014, Google se posicionó a favor del uso sistemático de HTTPS («HTTPS Everywhere») para promover la seguridad en Internet, y empezó a recompensar a los sitios protegidos con SSL con un mejor posicionamiento en su buscador. En 2018, la empresa dio un paso más y, además de penalizar el posicionamiento de los sitios web sin certificados SSL, comenzó a señalarlos con un aviso de «no seguro» en su navegador, Chrome.

¿Cómo fomentan la confianza los certificados SSL?

No todos los certificados SSL son iguales. Además de cifrar el tráfico de datos mediante la tecnología SSL, DigiCert ofrece una garantía de seguridad adicional: para obtener sus certificados, los propietarios de los sitios web deben acreditar su identidad. Ofrecemos certificados con tres niveles de validación:

  • Certificados SSL con validación de dominio (DV)
    • Representan el nivel más básico de certificado SSL, y solo son adecuados para servidores de prueba y recursos internos. Lo único que se pide al solicitante es que demuestre que tiene el control del dominio para el cual se emitirá el certificado.
  • Certificados SSL con validación de empresa (OV)
    • Estos certificados están disponibles únicamente para organizaciones y empresas, y son adecuados para sitios web que recopilan datos personales de sus usuarios. A la hora de emitir un certificado de este tipo, además de pedir al solicitante que demuestre que tiene el control del dominio, comprobamos que la empresa u organización está debidamente inscrita ante las autoridades y se le pueden exigir responsabilidades.
  • Certificados SSL con validación extendida (EV)
    • Estos certificados, disponibles únicamente para organizaciones y empresas, van un paso más allá para convencer a los usuarios de que sus datos personales y financieros están protegidos. A la hora de emitir un certificado de este tipo no solo validamos la titularidad del dominio y de la empresa u organización, sino que sometemos a esta última a comprobaciones adicionales. Los usuarios del sitio web pueden comprobar si el certificado SSL del sitio web tiene EV haciendo clic en el icono del candado que aparece en su navegador. Además, en la mayoría de los navegadores, la barra de direcciones se pone de color verde al acceder a un sitio web con EV, lo que ofrece un claro indicador visual de fiabilidad.

¿Cómo funcionan los certificados SSL?

Los certificados SSL establecen una conexión cifrada entre un sitio web (o servidor) y un navegador web mediante un proceso conocido como handshake SSL. Este proceso es invisible e instantáneo para quienes visitan el sitio web.

Autenticación

Cada vez que un usuario accede a su sitio web, el servidor se identifica por medio de su certificado SSL y, antes de continuar, el navegador web del usuario comprueba si dicho certificado es válido.

Cifrado

El servidor transmite su clave pública al navegador web del usuario, que a su vez la utiliza para generar otra clave llamada «secreto pre-maestro». Este proceso se denomina «intercambio de claves».

Descifrado

El secreto pre-maestro se transmite al servidor, que lo descifra por medio de su clave privada. De este modo, se establece una conexión cifrada y protegida que se empleará hasta el final de la sesión.

 

 

¿Funcionan los certificados SSL en todo tipo de sistemas y dispositivos?

En resumen, sí. Más concretamente, la respuesta es que cualquier ordenador, tableta o teléfono móvil
reciente es compatible con los protocolos SSL y TLS. Si tiene alguna
pregunta sobre la compatibilidad con dispositivos más antiguos, póngase en contacto con nuestro equipo de asistencia.

NAVEGADORES

Al igual que los sitios web están diseñados para funcionar en cualquier dispositivo o navegador, los protocolos SSL y TLS son compatibles con los navegadores web más utilizados.

SERVIDORES

Un certificado SSL funciona con todo tipo de servidores. Es el navegador web del usuario el que determina el grado de seguridad que ofrece cada servidor durante el proceso de handshake.

CORREO ELECTRÓNICO

La mayoría de los proveedores de servicios de correo electrónico en la nube utilizan cifrado SSL; de igual modo, las empresas y organizaciones pueden instalar certificados SSL para proteger sus propios servidores privados de correo electrónico.

¿Tiene alguna pregunta sobre los certificados Secure Site SSL de DigiCert?

Consulte nuestro centro de asistencia o póngase en contacto con nuestro galardonado servicio técnico para solicitar más información: +44 203 788 7741

Glosario de SSL

#

Cifrado de 256 bits

Proceso mediante el cual se cifra un documento electrónico utilizando un algoritmo cuya clave tiene una longitud de 256 bits. Cuanto más larga sea esta clave, más segura es.

A

Criptografía asimétrica

Tipo de cifrado que emplea dos claves distintas en los procesos de cifrado y descifrado. En el contexto del cifrado SSL y TLS, estas claves se denominan «clave pública» y «clave privada».

C

Solicitud de firma de certificado (Certificate Signing Request o CSR)

Solicitud para obtener un certificado de DigiCert, en un formato legible para un ordenador. Normalmente, incluye la clave pública y el nombre distinguido del solicitante.

Autoridad de certificación (Certificate Authority o CA)

Entidad autorizada para emitir, suspender, renovar o revocar certificados, con arreglo a lo establecido en una declaración denominada CPS (Certification Practice Statement). Las autoridades de certificación se identifican mediante un nombre distinguido que siempre aparece en sus certificados y en las listas de revocación de certificados que emitan. Además, tienen la obligación de dar a conocer su clave pública o, si están subordinadas a una autoridad de certificación primaria, proporcionar un certificado de una autoridad de certificación de nivel superior que acredite la validez de su clave pública. DigiCert es una autoridad de certificación primaria (Primary Certification Authority o PCA).

Conjunto de cifrado

Conjunto de protocolos de intercambio de claves. Incluye los algoritmos de autenticación, cifrado y autenticación de mensajes que se emplean en el protocolo SSL.

Nombre común (Common Name o CN)

 

Uno de los campos que forman parte del «nombre distinguido» de un certificado. En el caso de los certificados SSL, este campo indica el nombre del host que se quiere proteger dentro del sistema de nombres de dominio (DNS). En los certificados de firma de código, indica el nombre de la organización a la que pertenecen.

Error de conexión

Problema de seguridad que impide el establecimiento de una sesión segura, y que da lugar a que el navegador web muestre un aviso al usuario al intentar acceder a un sitio web.

D
Certificados SSL con validación de dominio (DV)

La categoría más básica de certificados SSL, que solamente requiere verificar la titularidad del dominio antes de emitir el certificado.

E

Criptografía de curva elíptica (ECC)

Algoritmo que genera las claves de cifrado pública y privada basándose en la idea de definirlas como si se tratara de puntos de una curva. Con este sistema resulta extremadamente difícil robar las claves mediante los ataques de fuerza bruta que suelen usar los hackers; además, es una solución más rápida y requiere menos capacidad de procesamiento que el cifrado basado íntegramente en algoritmos RSA.

Cifrado

Proceso que convierte información legible para un ser humano (texto plano) en ininteligible (texto cifrado), de modo que la información original no se pueda recuperar (cifrado de un solo sentido) o solo se pueda recuperar mediante un proceso de descifrado (cifrado de doble sentido).

Certificados SSL con validación extendida (EV)

Los certificados SSL seguros más completos. Además de validar la titularidad del dominio, se somete a la empresa u organización solicitante a un estricto proceso de autenticación.

K

Intercambio de claves

Proceso mediante el cual los usuarios y los servidores establecen un secreto pre-maestro para una sesión.

 

M

Secreto maestro

Clave a partir de la cual se generan las claves de cifrado, los códigos de autenticación de mensajes (MAC) y los vectores de inicialización.

Código de autenticación de mensajes (Message Authentication Code o MAC)

Función hash criptográfica de un solo sentido, combinada con una clave secreta y aplicada a un mensaje.

O

Certificados SSL con validación de empresa (OV)

Tipo de certificado SSL que acredita la titularidad del dominio y la existencia de la empresa u organización que lo posee.

P

Secreto pre-maestro

Clave a partir de la cual se deriva el secreto maestro.

Infraestructura de clave pública (Public Key Infrastructure o PKI)

Arquitectura, organización, técnicas, prácticas y procedimientos que, colectivamente, hacen posible la implementación y el funcionamiento de un sistema de cifrado de clave pública basado en certificados (y, potencialmente, de otros servicios relacionados).

S

Servidor seguro

Servidor que protege las páginas web que aloja por medio de la tecnología SSL o TLS. Cuando se establece una conexión con un servidor seguro, este último se autentica ante el usuario, y el navegador web cifra mediante el protocolo SSL toda la información que transmite el usuario antes de enviarla a través de Internet. De este modo, solo el sitio web que solicitó la información puede descifrarla.

Certificados SSL de nombre alternativo del sujeto (Subject Alternative Name o SAN)

Tipo de certificado que permite proteger varios dominios con un solo certificado SSL.

SSL

Abreviatura de Secure Sockets Layer (capa de sockets seguros), un protocolo para navegadores y servidores web que permite autenticar, cifrar y descifrar la información enviada a través de Internet.

Certificado SSL

Certificado de servidor que hace posible la autenticación del servidor ante el usuario y el cifrado de la información que se transmite entre el usuario y el servidor.

Handshake SSL

Subprotocolo que forma parte de la tecnología SSL y que se emplea para determinar qué tipo de seguridad se empleará durante la conexión.

Criptografía simétrica

Método de cifrado en el cual se emplea la misma clave para los procesos de cifrado y descifrado.

T

TCP

Siglas en inglés de Transmission Control Protocol (protocolo de control de transmisión), uno de los principales protocolos empleados en las redes informáticas.

W

Certificados SSL Wildcard

Tipo de certificado que se utiliza para proteger varios subdominios.