Qué certificado SSL es de confianza

Explicamos qué son los certificados digitales, cuántos tipos hay y qué problemas puede haber.

Decimos que una conexión es segura cuando está cifrada. Es muy simple, ¿verdad? ¿Pero de dónde proceden los certificados y cuál es la diferencia entre SSL y TLS? Además, ¿qué relación tienen los certificados digitales con la seguridad?

En este artículo, vamos a intentar responder a algunas de tus preguntas. Pero primero vamos a recordar lo que significan HTTP y HTTPS en la barra de direcciones de tu navegador.

HTTP y HTTPS para la transferencia de datos

Cuando un usuario lee o introduce datos en un sitio web, se produce un intercambio de información entre su ordenador y el servidor en el que se aloja el sitio. El proceso se rige por un protocolo de transferencia de datos llamado HTTP (siglas en inglés de Protocolo de transferencia de hipertexto).

HTTP también tiene una extensión llamada HTTPS (siglas en inglés de Protocolo seguro de transferencia de hipertexto). Esta versión segura se encarga de transferir la información entre el cliente y el servidor de forma cifrada, por lo que únicamente el cliente y el servidor podrán disponer de esta información, sin intromisión de terceras partes (por ejemplo, un proveedor o administrador de wifi).

Los datos que se transmiten desde el cliente al servidor están a su vez cifrados con su propio protocolo cifrado. El primer protocolo creado para este propósito fue SSL (siglas en inglés para “capa de puertos seguros”). Hubo varias versiones del protocolo SSL y todas ellas tuvieron problemas de seguridad. Por ello apareció una nueva versión con el nombre TLS (siglas en inglés para “seguridad de la capa de transporte”), actualmente en uso. Sin embargo, aunque se le haya cambiado el nombre, sigue conociéndose comúnmente con las iniciales antiguas.

Para cifrar los datos, los sitios requieren un certificado, también llamado firma digital, que confirma que el mecanismo de cifrado es de confianza y cumple con el protocolo. Además de las letras S en HTTPS, otra forma de identificar un sitio seguro es con el candado verde (o escudo en algunos navegadores) y la frase Es seguro o el nombre de la empresa en la barra de direcciones del navegador. Puedes comprobarlo ahora mismo en la parte superior de tu navegador, todos los sitios web de Kaspersky Lab usan HTTPS.

Cómo consigue un sitio un certificado SSL

Los certificados se pueden obtener de dos formas distintas. Por un lado, están los certificados autofirmados, que se emiten y firman por un webmaster. Cuando un usuario intenta acceder al sitio, recibe un aviso de que el certificado no es de confianza.

La forma de identificar un sitio que no sea seguro varía según el navegador. La ventana puede mostrar un candado tachado, un escudo rojo, las palabras No es seguro, las letras HTTPS en rojo en vez de en verde o el HTTPS de la barra de direcciones tachado y resaltado en rojo.

La mejor opción es comprar un certificado firmado por una autoridad de certificado (AC o CA en inglés, Certification Authority). Las CA comprueban los documentos del propietario del sitio y el derecho a poseer el dominio. Después de todo, la presencia de un certificado debe indicar que la fuente pertenece a una empresa legítima registrada en una región en concreto.

Aunque existen muchas CA, puedes contar con una mano las de confianza. La reputación de una CA determina en qué medida los desarrolladores de navegadores confían en ella y cómo muestran los sitios que llevan sus certificados. El precio de un certificado depende del tipo y del periodo de validez y de la reputación de la CA.

Tipos de certificados SSL

Los certificados firmados por CA se presentan de muchas formas y, según el nivel de confianza, varía quién puede recibir esta acreditación, cómo y a qué precio.

Los certificados con validación de dominio

Para conseguir un certificado con validación de dominio (conocido por sus siglas en inglés, DV, Domain Validation certificate), una entidad individual o legal debe demostrar que posee el dominio en cuestión o que administra su sitio en él. Este certificado permite que se establezca una conexión segura, pero no contiene información sobre la organización a la que pertenece y no se requiere ningún documento para expedirlo. Para obtener este tipo de certificado solo le tienes que dedicar unos pocos minutos.

Los certificados de validación de organización

Las versiones superiores reciben el nombre de certificado de validación de organización (conocido por sus siglas en inglés, OV, Organization Validation certificate) y confirman no solo que la conexión al dominio es segura, sino también que el dominio pertenece a la organización que se especifica en el certificado. La revisión de todos los documentos y la expedición del certificado puede llevar varios días. Si un sitio cuenta con uno de estos certificados, el navegador muestra un candado gris o verde con las palabras Es seguro y las letras HTTPS en la barra de direcciones.

Certificado de validación extendida

Por último, tenemos los certificados de validación extendida (conocido por sus siglas en inglés, EV, Extended Validation certificate). Como con los de validación de organización, solo las entidades legales que hayan proporcionado todos los documentos necesarios pueden obtener este tipo de certificados. El nombre y la ubicación de la organización aparecen en verde, junto a un candado de este mismo color en la barra de direcciones.

La mayoría de los navegadores confían en estos certificados que, por cierto, son los más caros. La información del certificado (quién lo ha expedido, cuándo, su periodo de validez) puede visualizarse haciendo clic en el nombre de la organización o en las palabras Es seguro.

Problemas con los certificados

La seguridad online y la protección de los datos de usuario son los principios básicos que tienen en cuenta los desarrolladores de navegadores como Google y Mozilla en sus políticas. Por ejemplo, en otoño del 2017, Google anunció que a partir de ese momento empezaba a categorizar y avergonzar a todas las páginas HTTP con la etiqueta “No es seguro”, lo que obstaculizaría el tráfico de usuarios.

Este movimiento de Google obligó a que los sitios HTTP compraran un certificado de confianza. Por tanto, la demanda de servicios CA se disparó y provocó que muchas autoridades aceleraran la etapa de revisión de documentos y, por tanto, decayera el control de calidad.

Como consecuencia, es probable que haya muchos sitios web con certificado que no sean del todo de confianza. Un estudio de Google ha revelado que una de las CA más importantes y reputadas ha expedido más de 30.000 certificados sin la debida cautela. Esto afectó negativamente a la CA en cuestión; Google declaró que dejaría de confiar en todos sus certificados a esperas de una revisión completa por parte de su sistema de verificación y la introducción de nuevas normativas. Mozilla también planea reforzar la verificación de los certificados en sus navegadores.

A pesar de las respuestas, seguimos sin poder estar seguros de que un certificado y su propietario sean de fiar. No podemos fiarnos por completo de unas letras en verdad, ni siquiera en el caso de los certificados de validación extendida que se supone que cumplen con todos los requisitos de seguridad.

La situación con los certificados de validación extendida es lamentable. Los estafadores podrían registrar una empresa con un nombre muy similar al de una compañía conocida y obtener este certificado. El nombre falso aparecería en verde en la barra de direcciones del sitio web phishing. Por tanto, cuando uses una página web, presta atención y sigue estas directrices.

Consejos