Cómo elegir un certificado SSL

Todo sobre los certificados SSL. Qué funcionalidades ofrecen y cómo elegir el mejor para tu sitio web.

Introducción

SSL y TLS son dos protocolos criptográficos que nos permiten mantener conexiones HTTP seguras entre cliente y servidor por medio de HTTPS.

La seguridad de la transmisión proviene de utilizar una clave pública (que se distribuye al cliente) y una clave privada (que hace la comprobación en el servidor). De esta manera y sin coste alguno, podemos conectar cliente y servidor asegurándonos de que nadie intercepta y desencripta la transmisión de datos en el trayecto.

Entonces, ¿por qué existen compañías que venden certificados? Todo tiene su explicación. A pesar de que los datos se transmiten de forma segura, nadie asegura que estés enviando datos a quien dice ser. Por ejemplo, mediante las DNS o el fichero hosts, podemos hacer que un dominio apunte a una IP distinta y suplantar así la identidad del servidor.

Por este motivo, los CA (Certificate Authority) emiten certificados de pago para validar neutralmente que el servidor al que se envían los datos es quien dice ser.

Todo se basa en la confianza. Los navegadores y sistemas operativos disponen de una copia de estos certificados y los comparan cuando se intenta iniciar una conexión segura. Por lo tanto, un certificado de una empresa no confiable no podrá ser validado en el navegador y el candado de la barra de direcciones obtendrá el color amarillo de advertencia.

Algunas de las principales emisoras de certificados son Symantec, Comodo, GeoTrust, Thawte, DigiCert, RapidSSL y Gandi.

Los más básicos y baratos se pueden encontrar en Comodo, RapidSSL y Gandi, donde se pueden encontrar por menos de 12 euros al año.

Características de un certificado

Para comparar un certificado y elegir el más adecuado nos fijaremos en una serie de cualidades que poseen. Estas características forman tres tipos de certificados: dominio, empresa y validación extendida (EV).

Normalmente un certificado de tipo dominio se puede conseguir en apenas 15 minutos realizando una validación online. Es por eso que este tipo de certificados no suelen ofrecer grandes garantías.

En el caso de los certificados SSL para empresas y de validación extendida, se solicita documentación para probar que eres quien dices ser y que además tienes derechos sobre la empresa para la que solicitas el certificado. Por lo tanto se tardan días y se hace uso del correo postal.

Garantía

La garantía es la cobertura que ofrece el emisor del certificado para cubrir pérdidas económicas como consecuencia directa de una negligencia suya.

Esta garantía se encuentra casi siempre en certificados para empresas y de validación extendida, por lo que en una pequeña empresa tal vez no necesitemos una garantía o al menos no una muy amplia.

Cifrado y clave

El cifrado se realiza mediante un algoritmo de encriptación que debe ser compatible tanto en el servidor como en el navegador del cliente. La clave refuerza dicho cifrado para ampliar la seguridad.

Hoy por hoy practicamente todos los certificados SSL ofrecen un cifrado de >256-bit y una clave de 2048 bits.

Ámbito de la protección

El certificado básico solo protege un subdominio, por ejemplo: www.example.com.

En el caso del certificado wildcard se protegen todos los subdomidios, por ejemplo: example.com, www.example.com, blog.example.com, etc.

Otra opción es el certificado multidominio, que permite añadir varios dominios al mismo certificado. Eso si, solo unos cuantos se incluyen en el precio (por lo general 3), el resto se añaden realizando un pago extra.

Indicadores de seguridad

Todos los certificados SSL proveen del candado en la barra de direcciones del navegador.

La barra verde es un indicador de máxima seguridad y su precio así lo refleja. Solamente los certificados de validación extendida la incluyen, cuyos precios no suelen bajar de los $200 anuales.

Varios navegadores web mostrando sus barras de dirección con certificados de validación extendida
La "green bar", un status de seguridad previo pago

Algunos emisores también ofrecen "dynamic site seal", que viene a ser una imagen generada dinámicamente que informa de que la web es segura, para que podamos utilizarla en el pie de página de nuestro sitio web.

Otras características

Otras características en las que fijarse a la hora de comprar un certificado SSL son:

  • Servidores: Algunos proveedores pueden cobrar a la hora de cambiar de hosting o IP.
  • Años: Los años que dura un certificado SSL antes de tener que renovarse.
  • SGC: Ya no tiene mucha utilidad, pero proporcionaban compatibilidad con Internet Explorer 5 y otros navegadores de la época mediante SGC SSL de 128-bit.
  • Reissue: Si pierdes tu certificado o deseas volver a emitirlo, algunas entidades emisoras pueden cobrarte una tasa.
  • Precio: Por supuesto, un factor determinante a la hora de elegir es el precio. Compara antes de decidir.

Let's Encrypt

Hace unos meses Mozilla, Akamai, Cisco y la Electronic Frontier Foundation anunciaron Let's Encrypt, un proyecto sin ánimo de lucro que pretende convertir internet en un lugar seguro a base de emitir certificados SSL gratuitos y confiables.

Se espera que Let's Encrypt empiece a funcionar a mediados de este año 2015. Mientras tanto, ya sabemos como elegir un certificado SSL de pago.

Puedes apoyarme para que pueda dedicar aún más tiempo a escribir artículos y tener recursos para crear nuevos proyectos. ¡Gracias!