Una guía rápida de certificados SSL: lo que necesita saber sobre ellos y cómo elegir

Recientemente, la proporción de certificados SSL válidos en varias zonas de dominio tiende a crecer, al igual que el interés general en las tecnologías SSL. Sin embargo, no todos se han dado cuenta de lo que están tratando cuando escuchan esta palabra. Por lo tanto, seguiremos tratando de entender lo que significa, y lo ayudaremos a elegir exactamente el certificado que se necesita específicamente para su proyecto (y si es necesario).

Para la transferencia segura de datos entre el navegador del usuario y el servidor, se usa la infraestructura clave, que le permite cifrar la información transmitida utilizando una clave pública (conocida por todos) y descifrarla utilizando una clave privada (conocida solo por su propietario), que se denomina cifrado asimétrico. Esta infraestructura en sí está sujeta a la norma internacional x.509, que determina la composición del certificado electrónico:

  • número de versión del certificado (1-3);
  • número de secuencia;
  • identificador de algoritmo de firma;
  • el nombre de la organización que emitió el certificado;
  • período de validez del certificado;
  • el nombre del titular del certificado;
  • clave pública del titular del certificado;
  • firma digital

El estándar x.509 no proporciona un algoritmo de cifrado específico, pero el más común es RSA, que es el que se utiliza en los certificados SSL.

Antes de elegir un certificado, sería bueno averiguar por qué se necesitan y qué funciones desempeñan.

Cualquier certificado SSL realiza tres funciones importantes a la vez:

  • cifrado de la información transmitida;
  • autenticación de recursos (autenticación);
  • Asegurando la integridad de la información transmitida.

Por lo tanto, se muestra al usuario que se puede confiar en el recurso web al que está conectado el certificado.

Para comprender cómo funcionan estas tres funciones de certificado SSL, considere un ejemplo simple. La chica Anya necesita comprar un boleto de avión a través del sitio web de la aerolínea, y para esto, envíe los detalles de su tarjeta de crédito. Para asegurarse de que sus datos no serán interceptados por terceros, Anya verifica la disponibilidad del certificado SSL en el sitio web de la compañía aérea seleccionada. Esto es simple: es suficiente para asegurarse de que al principio de la barra de direcciones haya una designación de la conexión https, que generalmente se resalta en verde. Confirma que los datos entre el navegador del usuario y el servidor de la empresa están cifrados. En este caso, la aerolínea tiene dos claves: abierta, que es accesible para todos, y cerrada, que solo ella conoce. Un mensaje cifrado con una clave pública solo se puede descifrar utilizando una clave privada, y una clave privada cifrada se puede usar con una clave pública. Si el certificado SSL de la empresa elegida por nuestro viajero fue emitido por un centro de certificación válido, el navegador de Ani lo reconoce como de confianza (autenticación) y cifra sus datos mediante la clave pública. Incluso si el atacante intercepta la información transmitida por Anya, no podrá leerla, ya que no tiene la clave privada para descifrarla.

Certificados SSL autofirmados

Obtener un certificado SSL, por supuesto, cuesta dinero, mientras que es válido por un tiempo limitado. Por lo tanto, muchas personas utilizan los llamados certificados SSL autofirmados. Puede generarlos usando el panel de control de hosting directamente en el servidor web, y puede hacerlo de forma gratuita. Sin embargo, no siempre es recomendable utilizar un certificado autofirmado.

Cualquier navegador comprueba si un certificado fue emitido por una entidad de certificación conocida, y si no lo está (y este es el caso de un certificado autofirmado), da un error y muestra un letrero grande que dice "¡El certificado de seguridad del sitio no es confiable!".

Este mensaje ciertamente asustará a un cliente potencial del recurso, y él querrá dejarlo, y el propietario del sitio, a su vez, perderá una parte significativa de su audiencia. Entonces, si estamos hablando de sitios con mucho tráfico o tiendas en línea, no se recomienda el uso de certificados SSL autofirmados.

Tales peligros acechan a cualquiera que no se preocupe por una conexión https segura. Sin embargo, los certificados autofirmados son muy adecuados para uso interno: por ejemplo, dentro de una organización pequeña, cuyos empleados agregaron un certificado a los de confianza, ya que conocen su origen. También son adecuados cuando se utiliza el servidor Apache al desarrollar y probar aplicaciones.

Vulnerabilidades de seguridad con certificados SSL

Hablando sobre la compra de un certificado SSL, es importante entender que, en sí misma, no es una varita mágica, mientras que, al agitarlo, se libera de inmediato de todos los problemas asociados con la seguridad del sitio. No importa cuán complejos sean los mecanismos de cifrado criptográfico, la autoridad máxima en la infraestructura del certificado SSL sigue siendo la gente, y, por lo tanto, todos los problemas de confianza se basan en el factor humano. Entonces, en septiembre de 2015, Symantec, por error de sus empleados, emitió 164 certificados ilegítimos para 76 nombres de dominio. Otro momento delicado con el uso de certificados SSL es el almacenamiento de la clave secreta: no puede ocultarla en la caja fuerte, aislarla del mundo exterior, porque a menudo se usa en el proceso de conexión HTTPS, y existe la posibilidad de piratear el servidor para interceptarlo. El culpable de la piratería puede ser una persona: el administrador del servidor que, por alguna razón, no puede proteger el servidor. Por lo tanto, los propietarios de claves privadas a menudo establecen contraseñas en ellos.

Tipos de certificados SSL

Si decide comprar un certificado SSL de una de las autoridades de certificación, debe averiguar cuáles son sus variantes. A primera vista, es bastante difícil elegir un certificado SSL de entre los muchos que están representados en el mercado hoy en día: la diferencia de precio puede alcanzar los 100.000 rublos, y no siempre está claro cuál de las posibilidades de un certificado en particular realmente necesita su proyecto. Sin embargo, puede comprender esto utilizando los cuatro criterios principales que deben considerarse al comprar un certificado SSL:

  1. el grado deseado de confianza en el recurso;
  2. el número de dominios y subdominios para los que se compra el certificado;
  3. Tipo de sujeto que adquiere el certificado: persona física o jurídica;
  4. El tamaño de las oportunidades financieras para la adquisición del certificado.

Entenderemos primero con el primer elemento.

La validez de su recurso puede ser confirmada por tres grados diferentes de su verificación. En consecuencia, hay tres tipos diferentes de certificados SSL que difieren en el tipo de validación:

  • certificados que confirman la propiedad del dominio (validación del dominio);
  • certificados que confirman, además del dominio, la existencia legal de la organización (Validación de la organización);
  • Certificados con Validación Extendida.

Validación de dominio

Los certificados DV confirman solo el hecho de que el titular del certificado realmente es propietario de este dominio y es el tipo de certificado SSL más accesible. Estos certificados son los más adecuados para foros y sitios pequeños o blogs con pocos visitantes.

Certificado SSL de este nivel:

  • proporciona sólo el nivel inicial de protección;
  • Disponible para personas físicas y jurídicas;
  • no requiere el suministro de documentos adicionales;
  • Disponible en 5-10 minutos;
  • Le costará alrededor de 1-4 mil rublos por año.

Validación de la organización

El certificado OV confirma el estado comercial de la organización y genera mucha más confianza en el usuario que el certificado DV. Este tipo de certificado es adecuado para una tienda en línea y otra pequeña empresa en línea.

Certificado de nivel de protección OV:

  • proporciona un nivel medio de protección;
  • emitido únicamente a personas jurídicas;
  • para registrarse, debe proporcionar copias de los documentos de la organización, la cuenta de la compañía telefónica con el nombre especificado de la organización y el número de teléfono de su propietario;
  • Disponible en 1-5 días;
  • costará de unos 4.000 rublos a 50.000 rublos al año.

Validación extendida

Los certificados SSL avanzados son los más confiables, pero también los más caros. Ideal para una organización grande y seria para la que el prestigio y la seguridad son importantes.

Certificado de Nivel EV:

  • Ofrece el más alto nivel de seguridad y el más alto nivel de confianza entre otros certificados SSL.
  • emitido únicamente a personas jurídicas;
  • Se requieren los siguientes documentos adicionales para el registro: un certificado de registro de impuestos, un aviso de registro de una entidad legal, un aviso de registro como asegurador y otros;
  • soporta dominios cirílicos;
  • Disponible en 3-10 días.
  • costará entre unos 10.000 y 100.000 rublos por año.

Después de la verificación documental, el proveedor también puede llamar al número de teléfono declarado de la organización, completando así el paso de verificación adicional. Pero después de pasar por todo este flujo de trabajo, su sitio tendrá el más alto nivel de confianza, como lo indica el socket verde con el nombre de la compañía en la barra de direcciones. De acuerdo con esto, los usuarios podrán determinar el alto estatus comercial de la empresa y, al hacer clic en el panel, encontrar información completa sobre la organización. Los certificados de este tipo sirven como una excelente protección contra el phishing: debido a los estrictos requisitos de verificación, los atacantes no podrán pasar todas las etapas de verificación, con el resultado de que se encuentran certificados de EV "falsos" en casos extremadamente raros.

¿Preguntas qué certificado elegir? Todo depende del enfoque de su sitio y su presupuesto. También es útil para ver qué certificados SSL utilizan sus socios, competidores o sitios más grandes. Por ejemplo, un servicio muy conocido para reservar hoteles en ostrovok.ru utiliza el certificado de comodín PositiveSSL de Comodo; La popular tienda en línea wildberries.ru utiliza el certificado de comodín SSL SGC OV de máxima seguridad. El sitio web Tinkoff.ru utiliza un certificado SSL con certificado EV del centro de registro de Thawte.

Recomendamos que los usuarios verifiquen cuidadosamente el nombre de la compañía, ya que los estafadores pueden crear una organización "falsa" con un nombre similar y vincularle un certificado SSL.

¿Qué hacer si necesita proteger varios subdominios o dominios diferentes en el mismo servidor?

En este caso, deberá comprar un certificado SAN (UCC), que es perfecto para proyectos de múltiples dominios y productos de MS Exchange. Los certificados comodín existen para proteger solo algunos subdominios. Al comprar un certificado de este tipo, usted proporciona cifrado no solo para el dominio principal, sino también para un número ilimitado de subdominios de los tipos subdominio1.dominio.com, subdominio2.dominio.com, etc. Sin embargo, no todos los proveedores emiten certificados comodín con la protección del dominio principal, por lo que antes de hacer un pedido, merece la pena prestar especial atención a esto. Aunque las principales ventajas de un certificado Wildcard son la conveniencia y el ahorro (no es necesario que cuide el certificado de cada subdominio y pague por él), sin embargo, a veces es más barato comprar certificados SSL separados para cada subdominio, especialmente si no hay demasiados.

Vamos a hacer una pequeña comparación de los principales proveedores de servicios SSL: Symantec, Thawte y Comodo. A pesar de que, de hecho, todas las compañías venden casi el mismo producto, existen diferencias significativas en el servicio. Symantec tiene la mayor garantía extendida, alcanzando los 1,750,000 dólares. Esta cantidad se pagará en concepto de daños y perjuicios si Symantec incumple los términos de la garantía. Además, la compañía cuenta con protección antivirus, que realiza un escaneo diario de las páginas de su host para detectar malware. Pero vale la pena señalar que piden mucho por esta funcionalidad: Symantec tiene los certificados más caros de los 3 centros presentados. Comodo tiene los certificados más asequibles, que también ofrecen análisis antivirus y servicios de análisis PCI. Thawte no ofrece ninguna característica adicional y tiene un promedio de todo el precio de un certificado SSL.

Me gustaría señalar que hoy en día, la mayoría de los propietarios de sitios adquieren certificados SSL inmediatamente de los proveedores de alojamiento. A pesar de que son, de hecho, intermediarios, el precio de los certificados, a expensas de grandes volúmenes de ventas, ¡puede ser incluso más bajo que el del centro de certificación en sí!

Es importante tener en cuenta que no todos los certificados admiten IDN (nombres de dominio internacionalizados). Puede elegir un certificado con una relación precio-calidad ideal, pero si lo compra para un dominio cirílico, no es en absoluto un hecho que sea adecuado para usted. Los certificados SSL habilitados para IDN se pueden comprar en compañías como GlobalSign, Thawte, Comodo o Symantec.

En conclusión

Al elegir un certificado SSL, tenga en cuenta qué certificados han elegido sus competidores y solo empresas con un producto idéntico, número de audiencia y una forma de intercambiar información con él. También tenga en cuenta que una buena ventaja de comprar un certificado SSL será el hecho de que los sitios con una conexión HTTPS están clasificados por encima del resto de Google. Además, como Google informó recientemente, todos los sitios sin certificados SSL y que acepten contraseñas y números de tarjetas de crédito se colocarán en Google Chrome como inseguros. Esta es otra razón para pensar en adquirir un certificado SSL, especialmente porque hoy en día una conexión HTTPS es mucho más accesible para los usuarios que hace unos años, y algunas compañías ofrecen promociones rentables e incluso otorgan certificados como bonificación.

Deja Tu Comentario