¿Qué aporta un certificado digital SSL a mi sitio web? ¿Cómo seleccionar uno?

Publicado el 16/01/2015, por INCIBE
arroba

En la actualidad, garantizar la seguridad de un sitio web es sinónimo de implementar SSL (Secure Socket Layer) y para ello es imprescindible disponer de un certificado digital e instalarlo en nuestro sitio web. Sin embargo, es importante destacar que existen distintos tipos de certificados. En esencia, un certificado digital es un par de claves criptográficas que emplea el protocolo SSL para garantizar al usuario del sitio:

  • Protección de la información en tránsito: Se garantiza el cifrado en todas las comunicaciones con el sitio, cuando el navegador de un cliente conecta con el sitio web, automáticamente se negocia cifrado y todas las comunicaciones realizadas entre ambos son seguras, siendo ininteligibles para un tercero.
  • Identificación del sitio web: El certificado digital de un sitio web se emite para un dominio concreto, por lo que es fácil comparar el dominio al que nos conectamos con el que se define en el certificado.
  • Integridad de la información en tránsito: Si se produjera alguna modificación malintencionada o pérdida en la información intercambiada entre cliente y servidor se podría identificar y así descartarla.
  • No repudio: Si una transmisión de datos se considera válida no se puede rechazar, ya que el protocolo garantiza que ambos extremos son legítimos y que se mantiene la integridad de la misma. Este factor es consecuencia de los tres anteriores.

Es importante destacar que sea cual sea el certificado empleado otorgará confidencialidad a la información transmitida y además garantizará su integridad.

Un punto y aparte es la identificación de sitios web, en la que no nos servirá cualquier certificado, ya que es fundamental tener en cuenta la procedencia (el emisor) del certificado digital. Ilustremos este hecho con un pequeño ejemplo. Un certificado digital es a una web lo que un DNI a una persona; como se ha comentado un certificado es un par de claves criptográficas firmadas, y estas claves se pueden generar fácilmente en cualquier ordenador personal. Si esta situación se reprodujera a un DNI significaría que cualquiera de nosotros podría imprimir un DNI completamente legítimo en su casa. El nivel de confiabilidad de la identificación de un sitio dependerá directamente de la procedencia del mismo.

En este contexto entran en escena las Autoridades de Certificación reconocidas (en adelante AC), que son organismos independientes que emiten certificados digitales. Actúan de mediador, y garantizan la legitimidad de un certificado digital mediante la aplicación de controles de seguridad y verificaciones para la emisión de cualquier certificado. Los certificados emitidos por una AC se denominan certificados de confianza. De cara al uso de un certificado digital en un sitio web corporativo o comercial recomendamos que al menos se trate de un certificado digital de confianza.

Sin embargo, aún tratándose de certificados digitales de confianza, existen distintos niveles de confiabilidad en los certificados, dependiendo de las garantías que ofrezca sobre el mismo la propia AC.

Básicamente, cuando conectamos a un sitio web que implementa SSL el navegador muestra un candado cerrado, y la URL a la que nos conectamos comienza por https://. Sin embargo, los navegadores siguen distinguiendo tipos de certificados con las distintas notificaciones o indicadores que muestran al usuario durante la navegación en estos sitios. La mejor forma de mostrar los distintos tipos de certificados es mediante dichas diferencias.

Existen 3 tipos fundamentales de certificados SSL para sitios web. En primer lugar está un certificado digital asociado a un sitio web no haya sido emitido por una AC. En estos casos, lo habitual es que el navegador web informe al usuario con un mensaje del tipo “Esta conexión no está verificada” o “La conexión no es privada”. El navegador en este caso le está transmitiendo al usuario que no es posible verificar la legitimidad de la procedencia del certificado digital, y por tanto no se puede tener la certeza de que se esté conectando al sitio web legítimo que queremos conectar. Puesto que no se dispone de un certificado digital emitido por una AC de confianza, cualquiera podría generar un certificado para nuestro dominio con las mismas garantías, sin que el usuario pudiera distinguirlos en ningún caso. Estas condiciones facilitarían en gran medida que se pudiera producir un ataque de phishing (estafa) contra los usuarios del sitio.

Captura de pantalla de conexión no verificada

Ilustración 1 - Ejemplo de error de certificado - Mozilla Firefox

captura de pantalla Ejemplo de error de certificado - Mozilla Firefox

Ilustración 2 - Ejemplo de certificado no confiable (excepción añadida) - Mozilla Firefox

En resto de casos, se empleará un certificado digital emitido por una AC. Existen dos niveles de seguridad fundamentales para los certificados, diferenciando si el certificado se emite desde una jerarquía de certificación que dispone de Validación Extendida o si no.

En el supuesto que el certificado no disponga de validación extendida, el usuario no recibirá ninguna alerta de que el certificado no es confiable, conectará al sitio sin problemas, pero si inspecciona la información de seguridad del sitio en su navegador no recibirá todas las garantías posibles. El navegador garantizará que efectivamente se ha conectado al dominio adecuado, aunque no podrá asegurar que dicho dominio y certificado pertenecen a una organización real.

Captura de pantalla de Ejemplo de certificado de confianza- Mozilla Firefox

Ilustración 3 - Ejemplo de certificado de confianza- Mozilla Firefox

El sello de Validación Extendida se obtiene en base a una certificación internacional de gestión de certificados y seguridad que se expide, previa auditoría, a las autoridades de certificación que así lo deseen y cumplan los requisitos. En concreto, esta exigente especificación constituye un anexo complementario al sello Webtrust . Webtrust es un estándar de excelencia para seguridad y gestión de servicios de certificación emitido por AICPA y CPA Canadá (Organismos principales de auditoría de cuentas en Estados Unidos y Canadá).

Por su parte, el estándar de Validación Extendida (EV SSL - Extended Validation) emitido por el CAB Forum asegura que la Autoridad de Certificación, cuando emite un certificado de este tipo, valida adecuadamente al solicitante y propietario, asegurándose con las máximas garantías no solo de el dominio al que se conecta es real, sino de que empresa o persona que consta en el mismo es propietaria del dominio para que se solicita el certificado, que quien lo solicita es un representante legal y autorizado, si la organización existe en realidad, etc. Estos certificados otorgan las máximas garantías respecto a la identidad y propiedad del sitio que los emplea. Como es obvio, y dado que este tipo de certificados requiere mayores gestiones que los habituales, normalmente tienen un coste más elevado.

Este tipo de certificados son validados automáticamente por los navegadores, y los distingue normalmente con un distintivo verde (normalmente un candado). En el caso de este certificado sí que se facilita información del propietario verificada.

Captura de pantalla de Ejemplo de certificado de confianza con Validación Extendida - Mozilla Firefox

Ilustración 4 - Ejemplo de certificado de confianza con Validación Extendida - Mozilla Firefox

La selección del tipo de certificado dependerá de las necesidades de cada empresa, así como del tipo de servicio prestado, aunque como mínimo se recomienda emplear un certificado emitido por una Autoridad de Certificación de confianza.