Una guía completa de certificados SSL

Una gama completa de productos SSL están disponibles en el mercado hoy en día que se adaptan a diversas necesidades de dominio y seguridad. Aunque muchos webmasters están explorando las posibilidades, con la esperanza de que un cambio a SSL aumente sus rankings de búsqueda, puede ser abrumador tratar de comparar estas opciones, y mucho menos comprender completamente lo que está pagando.

Muchos proveedores de SSL ofrecen una gran cantidad de complementos, lo que hace que comparar proveedores sea relativamente difícil. Esta guía le ayudará a responder varias preguntas comunes para que pueda encontrar el certificado que mejor se adapte a sus necesidades:

• ¿Qué tipo de certificado SSL debo comprar?
• ¿Debo usar un certificado gratuito o comprar uno de un proveedor?
• ¿Qué certificado es el mejor para asegurar un subdominio? Varios dominios?
• ¿Cuánta cobertura de garantía necesito?
• ¿Cómo puedo solucionar problemas comunes de instalación?

¿Qué es un certificado SSL?

Antes de abordar esas preguntas, cubramos lo básico. SSL significa Secure Sockets Layer, un método de seguridad que permite el cifrado de datos cuando se transfieren a través de un servidor. Los certificados SSL ayudan a proteger la transferencia de información confidencial, como números de tarjetas de crédito, contraseñas y nombres de usuario, números de Seguro Social y más.

¿Cómo funciona?

Los certificados SSL utilizan una clave pública y una privada, que trabajan juntas para establecer una conexión cifrada. Por lo general, los datos enviados entre un navegador y un servidor web se envían como texto sin formato, lo que puede dejarlo vulnerable a los piratas informáticos.

¿Por qué usar SSL?

El beneficio de usar un certificado SSL es que ofrece protección encriptada durante la transferencia en línea de información confidencial. (De hecho, la Industria de Tarjetas de Pago (PCI) le exige que tenga un certificado SSL si recopila información de tarjeta de crédito en su sitio.) Los certificados SSL también pueden ayudarlo a ganarse la confianza de sus clientes y protegerlo contra esquemas de phishing.

Además, Google ahora proporciona un ligero impulso de clasificación a los sitios web que usan HTTPS. Técnicamente, Google todavía solo mira los primeros cinco caracteres en la URL, lo que significa que tu sitio podría aprovechar el protocolo HTTPS sin un certificado válido en su lugar y aún así recibir un impulso de clasificación. Sin embargo, como Gary Illyes de Google sugirió, con el tiempo se pondrán en marcha controles más estrictos.

Tipos de certificados

Hay tres tipos comunes de certificados. Elegir el correcto se basará en el nivel de seguridad que su sitio web necesita.

Un certificado SSL validado por dominio, también conocido como certificado de baja seguridad, es el tipo estándar de certificado emitido. La validación automatizada garantiza que el nombre de dominio está registrado y que un administrador aprueba la solicitud. Para que se complete la validación, el webmaster debe confirmar por correo electrónico o configurar un registro DNS para el sitio.

• Tiempo de procesamiento: de unos minutos a unas pocas horas
• Recomendado para: uso solo en sistemas internos

Un certificado validado por la organización, o certificado de alta garantía, requiere que los agentes reales validen la propiedad del dominio, además de información de la organización, como el nombre, la ciudad, el estado y el país. Al igual que un certificado de baja seguridad, requiere documentación adicional para verificar la identidad de la empresa.

• Tiempo de procesamiento: de unas pocas horas a unos pocos días
• Recomendado para: todos los negocios y empresas

Ejemplo de certificado validado por la organización

Un certificado EV, o certificado de validación extendida, es un nuevo tipo de certificado que requiere el proceso de validación más riguroso. Este tipo de certificado comprueba que la empresa es una entidad legal y requiere que se proporcione información comercial como prueba de la propiedad del dominio. Los certificados SSL estándar no representan que su sitio web esté siendo operado por un negocio legítimo y verificado.

Una característica exclusiva de la compra de un certificado EV es que la barra del navegador de su sitio web mostrará un candado verde. Esto puede ayudar a reforzar la confianza de los consumidores y proporcionar la seguridad de que la transacción es segura.

• Tiempo de procesamiento: de unos días a unas semanas
• Recomendado para: todas las empresas de comercio electrónico

Precios & proveedores

¿A quién debo comprar?

Cuando se trata de SSL, algunos de los grandes nombres son GeoTrust, DigiCert, Symantec (anteriormente Verisign) y más. También hay distribuidores externos, como NameCheap y Comodo, que ofrecen la misma protección a precios reducidos.

¿Qué pasa con los certificados gratuitos?

¿Por qué pagar por algo que es gratis? Cuando un usuario visita un sitio web que está protegido con un certificado SSL autofirmado o gratuito, la mayoría de los navegadores web publicarán un mensaje de error. Si bien algunas personas harán clic en » Entiendo los riesgos «y procederán a su sitio, es probable que muchas personas hagan clic en» ¡Sácame de aquí!»botón y nunca volver.

El verdadero problema radica en el hecho de que los certificados autofirmados prácticamente no están regulados. Si su sitio está comprometido, puede parecer seguro; sin embargo, los certificados emitidos por una entidad de certificación de confianza pueden revocarse y, por lo tanto, alertar a los usuarios de cualquier amenaza potencial.

La única vez que se debe usar un certificado autofirmado es cuando se realiza una prueba detrás de un firewall. Puede moverse por la compra de un certificado si utiliza una empresa como PayPal para manejar sus transacciones, ya que el sitio de PayPal protegerá la transacción en su nombre.

¿Qué tipo de garantía debo buscar?

Al igual que cualquier tipo de seguro, el precio de los certificados SSL varía significativamente en función de la cantidad de cobertura de garantía que ofrecen. Sin embargo, la garantía que obtiene al comprar un certificado SSL puede ser engañosa. No es una garantía para el comprador (usted), sino para los usuarios finales.

En pocas palabras, si un consumidor sufre una pérdida monetaria después de realizar una compra en un sitio web fraudulento, la autoridad de certificación es técnicamente culpable por no mostrar una advertencia del navegador y no proteger al consumidor. En esta situación, el valor de la garantía se pagaría al cliente, dado que la cantidad que se disputa es menor que la garantía en sí.

Tome nota, esto prácticamente nunca sucede! Si un usuario fuera a ser estafado por un sitio web, el primer curso de acción que probablemente tomaría es ponerse en contacto con la compañía de su tarjeta de crédito. Sin embargo, para cumplir con la garantía, el usuario final tendría que tomar nota de qué proveedor de SSL estaba utilizando el sitio web fraudulento y contactarlo directamente. Si bien tener una cantidad sustancial de cobertura de garantía puede darte tranquilidad, a menudo se usa como táctica para convencerte de que pagues más por el mismo producto.

Protección de varias propiedades

Los certificados SSL de un solo nombre protegen un solo dominio. Por ejemplo, si tuviera que comprar un certificado para www.wonderfullywhisked.com, no aseguraría baking.wonderfullywhisked.com.

Los certificados comodín le permiten asegurar un número ilimitado de subdominios que viven de un dominio raíz singular. Por ejemplo, supongamos que desea proteger el dominio www.maravilloso.com y sus subdominios. Necesitará solicitar un certificado comodín con *.wonderfullywhisked.com como el nombre común. Este certificado garantizaría www.wonderfullywhisked.com, baking.wonderfullywhisked.com, cooking.wonderfullywhisked.com, etc.

Los certificados comodín se pueden pagar fácilmente con el tiempo, especialmente si necesita proteger más de cuatro subdominios. Como beneficio adicional, es mucho más fácil administrar un certificado comodín que 12 certificados individuales.

Los certificados de varios dominios pueden proteger más de 210 dominios diferentes con un solo certificado (dependiendo del proveedor que elija).

Solución de problemas comunes

Hay algunos errores comunes que pueden invalidar su certificado SSL:

• Servir contenido mixto
• Error de desajuste de nombre de certificado
• Falta de certificado intermedio
• Certificado caducado
• El certificado visto no es el instalado

Servir contenido mixto, o contenido HTTP y HTTPS, puede invalidar su certificado, ya que todo el contenido debe ser cargado desde una fuente segura. Esto suele ocurrir con complementos, imágenes y fragmentos de JavaScript. Si tienes problemas para identificar contenido no seguro en una página, prueba la herramienta gratuita WhyNoPadLock.com.

Un error de desajuste de certificado a menudo resulta de solicitar un certificado SSL para lo que supone que es su nombre de dominio, pero en realidad no coincide con el dominio en sí. Por ejemplo, si su sitio web está protegido por un certificado que especifica «www.wonderfullywhisked.com» y su sitio web está cargando una versión que no es www, se producirá un error de desajuste.

Para que se establezca una conexión HTTPS, el dominio en la barra del navegador debe coincidir exactamente con el dominio que ingresó cuando registró el certificado.

Muchas personas pasan por alto el hecho de que debe instalar un certificado intermedio/de cadena para que su certificado funcione correctamente. Dependiendo del tipo de servidor, es posible que deba usar uno o dos certificados intermedios.

Asegúrese siempre de que su certificado esté actualizado. Muchos navegadores le permitirán verificar esto en su Configuración avanzada, pero también puede usar el Comprobador SSL de Comprador SSL para obtener esta información. La mayoría de los certificados se pueden renovar tan pronto como 90 días antes de que caduquen.

Si aparece un certificado que no es el que acaba de instalar, es porque solo se puede instalar un certificado en la misma IP y en el mismo número de socket. Se reconocerá el primero instalado.

Elegir un certificado

Elegir un certificado SSL puede ser complicado, ya que no todos los proveedores ofrecen los mismos tipos de certificados. Para simplificar el proceso, puede consultar la siguiente tabla, que describe las ofertas de certificados de seis de los principales proveedores de SSL. Si planea seguir con el mismo proveedor de SSL por más de un año, a menudo puede recibir un descuento sustancial si paga por dos o más años por adelantado.

Comprar a través de un distribuidor externo tiende a ser la opción más barata, la única advertencia es la calidad de la asistencia al cliente que puede recibir.

Cómo elegir un certificado:

• Identifique los tipos de propiedades que desea proteger (dominio, subdominio).
• Identifique si necesita protección para una sola propiedad o varias propiedades (comodín o dominio múltiple).
• Luego, decida qué nivel de protección necesita.
  • dominio validado — BAJO
  • organización-validar — MEDIO
  • extended validation — ALTA

Fuentes:

• https://casecurity.org
• https://wiki.mozilla.org/CA:Problematic_Practices#Email_Address_Prefixes_for_DV_Certs
• https://cabforum.org/about-ev-ssl
• https://tools.ietf.org/html/rfc6101
• https://www.icann.org/en/system/files/files/valentin-idn-ct-01dec04-en.pdf
• https://letsencrypt.org/getting-started

las Opiniones expresadas en este artículo son las del autor invitado y no necesariamente Tierra del Motor de Búsqueda. Los autores del personal se enumeran aquí.

Sobre El Autor

Stephanie LeVonne es Directora de Cuentas Estratégicas en Conductor y ha estado en la industria SEO durante más de 7 años. El enfoque de Stephanie es aprovechar las soluciones tecnológicas para ayudar a los clientes a obtener mejores conocimientos sobre su rendimiento orgánico y visibilidad.