Todo lo que debes saber sobre los certificados de seguridad

¿Alguna vez viste el error “Hay un problema con el certificado de seguridad de este sitio web” y te preguntaste qué significaba?

Los certificados de seguridad pueden ser un poco complicados, pero vale la pena conocer qué son y cómo nos ayudan.

Entonces, ¿qué son los certificados de seguridad y por qué deberíamos preocuparnos por ellos?

Por qué importan los certificados de seguridad del sitio web

Cuando accedes a un sitio web donde necesitas iniciar sesión y administrar una cuenta, es importante proteger las comunicaciones entre tú y el servicio. Este servicio podría ser tu banco, una tienda en línea o un sitio web de comercio electrónico, PayPal, tu correo electrónico o tu blog privado.

Uso de HTTPS

Cuando accedas a este tipo de sitios web, notarás que la URL comienza con un icono de candado y “https://” en lugar de solo “http://”.

Esta “S” adicional significa que está utilizando HTTPS (HyperText Transfer Protocol Secure). Una conexión HTTPS está protegida por Secure Socket Layer/Transport Layer Security. Los datos enviados entre tú y el sitio web están encriptados y mantienen la información privada.

Al igual que cuando inicias sesión en un sitio web para demostrar que tú eres “tú”, un sitio web también tiene que demostrarte que es real. Lo hace mostrando un certificado de seguridad de Internet a tu navegador. Si el navegador acepta el certificado, te indica que el sitio es legítimo con el símbolo de candado.

Si a un sitio web seguro le falta el protocolo HTTPS o su certificado, es posible que estés viendo una falsificación. Iniciar sesión en este sitio web puede ser un peligro. Puedes estar enviando tus datos a las personas equivocadas, lo que te convertiría en una víctima de un ataque de hombre en el medio.

Si deseas verificar si todo está bien, puedes hacer clic en el candado para ver más detalles sobre el certificado. Este icono de candado también cambiará para informarte si ocurre un problema.

Puedes ver las explicaciones de Google para las que se usan en Chrome y las descripciones de Mozilla Firefox. Al momento de escribir, ambos navegadores mostrarán un bloqueo regular si todo está bien. Si la cerradura tiene o es reemplazada por un ícono de algún tipo, eso indica que algo salió mal.

¿Cómo obtienen un certificado los propietarios del sitio?

Los propietarios de sitios web de comercio electrónico pagan a un tercero llamado Autoridad de Certificación (CA). Esto para verificar quién es la empresa y que sus transacciones son auténticas.

Los navegadores web, como Google Chrome y Firefox, mantienen listas de autoridades de certificación que consideran confiables. Cuando accedes a un sitio web seguro, el sitio presenta su certificado de seguridad a tu navegador. Si el certificado del sitio web está actualizado y proviene de una Autoridad de Certificación de confianza, puedes iniciar sesión y completar tus transacciones.

Hay muchos sitios web de certificados de seguridad que ayudan a los propietarios de sitios web a protegerse. Esto incluye Norton, GoDaddy, Microsoft y muchos otros. Su trabajo es realizar la Verificación del dominio, donde se aseguran de que la persona que solicita un certificado sea también el propietario del sitio.

Esto generalmente se hace enviando instrucciones a la dirección de correo electrónico del sitio web para garantizar que solo el propietario del sitio lo lea. El remitente le pedirá al administrador que cambie la configuración o los archivos del Servidor de nombres de dominio (DNS) en el sitio web. Esto para demostrar que realmente son ellos. Si el administrador solicitó un certificado, puede seguir las instrucciones para verificar su identidad.

Cómo se pueden actualizar los certificados de seguridad

Existen tipos de certificados más estrictos que una CA puede ofrecer para verificar negocios, como la Validación Extendida. Esto puede costar cientos de dólares, y las grandes empresas a veces pagarán miles.

La validación extendida incluye la verificación de información como la identidad legal del propietario del sitio web y el nombre de la empresa. Asimismo, la dirección física, el registro y la jurisdicción de incorporación. La seguridad en un este sitio web es una medida importante de confianza si administras un negocio.

En 2019, solías ver el nombre de la empresa en la sección de certificados de un navegador Chrome o Firefox. Empero, en 2019, ambos navegadores eliminaron esta función. Sin embargo, aún puedes verlo si usas Opera.

Autoridades de certificación que trabajan gratis

Existen Autoridades de Certificación gratuitas, pero no tienen las mismas capas de seguridad y marca que los grandes nombres. Además, a menudo carecen de su ubicuidad de reconocimiento del navegador. Eso significa que, si alguien obtiene un certificado de seguridad gratuito, los visitantes pueden ver una advertencia de que el certificado no es válido.

Puedes obtener una verificación de dominio gratuita de StartSSL sin validación de identidad. Los navegadores Mozilla y Chrome confiarán en tu sitio web con este certificado. Sin embargo, no habrá una barra verde como los paquetes de Validación Extendida, que cuestan alrededor de $200.

CACert es una Autoridad de Certificación gratuita impulsada por la comunidad. Los Aseguradores voluntarios de CACert se reúnen con los propietarios del sitio para revisar sus documentos de identificación en persona. Desafortunadamente, los principales navegadores no confían en CACert, y solo vienen incluidos en algunos sistemas operativos de código abierto.

Sin embargo, el uso de CACert y StartSSL ofrecerá el cifrado de tu sitio. Por lo tanto, si tienes una simple interacción en tu sitio (como un foro o una wiki), estos servicios pueden ser justo lo que necesitas.

Qué hacer si ves una advertencia de certificado

Existe la posibilidad de que te encuentres con una alerta de certificado mientras navegas por Internet. Puedes ver cómo se ven en BadSSL, que tiene enlaces a certificados incorrectos para que pruebes.

Cuando recibas una alerta en un sitio web real, verifica los detalles del certificado haciendo clic en el candado. Podrás averiguar por qué tu navegador rechazó el certificado y decidir por ti mismo si deseas continuar.

Si el certificado expiró, el propietario del sitio web puede haber olvidado renovarlo a tiempo. Debes ver la fecha del reloj de tu computadora si ves esta alerta con frecuencia.

Si el navegador revocó el certificado de seguridad, significa que el sitio está usando el certificado de manera fraudulenta y no debes confiar en él. Cabe la posibilidad que al navegador no le guste la Autoridad de certificación, entonces se trata de ti. Si sientes que comprendes y confías en el modelo de verificación de igual a igual de CACert. Asimismo, si confías en la verificación de dominio de StartSSL, puedes decirle a tu navegador que confías en esas CA.

Cuando veas una advertencia de certificado de un sitio en el que confías, también puedes intentar verificar el feed de Twitter del sitio web. A menudo, es el lugar de actualizaciones sobre el sitio, el tiempo de inactividad, la seguridad y otros problemas.

Si no tienen actualizaciones, y si puedes, ayuda contactando al propietario del sitio web y pregúntale qué está pasando. Es posible que estés ahorrando mucho dolor al propietario del sitio web y a otros usuarios. Esto en caso de que aún no estén al tanto de la advertencia del certificado.

Navegando por Internet de manera segura

Los certificados de seguridad del sitio web pueden parecer aburridos, pero son esenciales para identificar un sitio web seguro. Ahora ya sabes cómo verificar un certificado si algo parece incorrecto, y cómo asegurar tu propio sitio web si lo deseas.