¿Qué es SSL?

El protocolo SSL (Secure Sockets Layer) crea un enlace encriptado entre un navegador y un servidor web, de modo que todos los datos que circulan entre ambos permanecen confidenciales. El protocolo SSL es el predecesor del protocolo TLS (Transport Layer Security), pero SSL sigue siendo más conocido y utilizado hoy en día.

SSL-Gateway-Illustration

¿Qué significa SSL y por qué es importante?

En primer lugar, es importante comprender qué sucedió antes de que se introdujera el protocolo SSL en 1995. Antes, cuando el navegador de un cliente se conectaba con el servidor de una empresa, todos los datos se transmitían en texto sin formato. Esto implicaba que si un mal actor interceptaba los datos en tránsito, podía leerlos, incluyendo datos de tarjetas de crédito y cualquier otra información personal sensible. Este tipo de pirateo se conocía como «ataque de intermediario».

Para intentar eliminar a este «intermediario» permanentemente, en los años 90, el desarrollador de navegadores Netscape creó el protocolo de seguridad de internet, SSL. La empresa estaba decidida a crear un protocolo que garantizara la integridad y privacidad de los datos, así como un proceso de autenticación fiable tanto para el usuario del navegador como para el propietario del servidor, es decir, el cliente y la empresa.

Y tuvieron éxito, ya que empresas de todo el mundo adoptaron el protocolo SSL para apoyar y proteger las interacciones de sus clientes. ¿Qué paso con el «intermediario»? Si intercepta cualquier dato que se transmita, el SSL garantiza que todo lo que ve es una masa de caracteres mezclados, dejándolo aislado.

¿Cuál es la diferencia entre SSL y TLS?

Data Security Resources - OVHcloud

Para la mayoría de la gente, no hay una gran diferencia. En 1999, se introdujo TLS (Transport Layer Security o seguridad de la capa de transporte) para reemplazar el cifrado SSL, ofreciendo características de seguridad actualizadas que incluyen el abordaje de vulnerabilidades SSL conocidas a ciertos ataques, la introducción de mejores algoritmos de cifrado y más. Aunque ahora cualquier dispositivo utiliza TLS (técnicamente, el cifrado SSL ya no está disponible), se sigue usando la denominación SSL en el mundo de TI y los proveedores de certificación. Esto se debe a que SSL se ha convertido en una parte establecida de la tradición de la seguridad de los datos, y por eso usamos la denominación SSL aquí y en nuestras páginas de productos cuando en realidad estamos hablando de TLS.

¿Cómo puede saber si un sitio web está protegido por el cifrado SSL?

Existen dos indicadores principales de lo que es un SSL. El primero es un icono de candado en la ventana de dirección del navegador, normalmente a la izquierda de la dirección web. Haga clic en él y recibirá información sobre la versión del certificado SSL del sitio, incluida la opción de ver el propio certificado. Esto incluirá la fecha de expiración del mismo. Si no está actualizado, el protocolo SSL no estará activo, por lo que los usuarios deberán abandonar la página de inmediato. En segundo lugar, en vez de ver «http://» al iniciar la dirección web, verá «https://». La «s» indica que el protocolo SSL está presente y que la conexión está protegida por SSL.

¿Cómo funciona el protocolo SSL?

A fin de garantizar la autenticidad, Secure Sockets Layer crea un proceso de enlace entre el navegador y el servidor cuando se intenta establecer una conexión. Este proceso se divide en seis pasos:

1. Saludo del cliente

El cliente utiliza su navegador web para intentar conectarse al servidor SSL del sitio web de la empresa. Antes de que se pueda establecer una conexión, el navegador solicita primero al servidor que se identifique a sí mismo. En la práctica, el cliente está diciendo «hola».

Icons/concept/Cloud/Cloud Server Created with Sketch.

2. Saludo del servidor

Para identificarse ante el navegador, el sitio web envía los datos de su certificado SSL más la clave pública de su servidor. Esta es la forma en la que el servidor le responde «hola».

3. Comprobación del certificado

El navegador del sitio web autentica automáticamente este certificado con una lista de entidades emisoras de certificados de Secure Sockets Layer de confianza para comprobar el certificado SSL.

4. Clave de sesión

Si la comprobación del certificado SSL es satisfactoria, el navegador sabe que ahora se puede confiar en el servidor, por lo que crea una clave de sesión simétrica a través de la clave pública del servidor, que se envía al servidor.

Icons/concept/padlock/transitPadlock Created with Sketch.

5. Descifrado de claves

El servidor del sitio web recibe la clave de sesión y la descifra antes de enviar un acuse de recibo, que también se cifra utilizando la clave de sesión del cliente.

6. Inicio de sesión

Una vez finalizado el protocolo «handshake» digital (establecimiento de comunicación), la sesión puede comenzar oficialmente con cualquier dato que se mueva entre el navegador del cliente y el servidor de la empresa, ahora cifrado gracias al SSL.

¿Por qué es importante el SSL para el negocio?

Una palabra: confianza. Indica a los clientes que la empresa se toma en serio la seguridad de los datos. A su vez, esto genera confianza en los clientes y aumenta las posibilidades de que realicen un pedido. Si una empresa no cuenta con certificación, esto transmite al cliente que sus temores y preocupaciones sobre la seguridad online no son importantes para la empresa. Esto no luce particularmente bien en ninguna organización.

La certificación de seguridad SSL también le ofrece tranquilidad a su empresa. El protocolo SSL reduce considerablemente la posibilidad de que se produzcan violaciones de datos, así como las oportunidades de acceso de usuarios no autorizados mediante intentos de pirateo, como los ataques de phishing.

Los proveedores de motores de búsqueda como Google también consideran que un SSL es importante y potencialmente mejorará el posicionamiento en los motores de búsqueda de aquellas organizaciones protegidas con SSL. También están los protocolos comerciales y regulatorios. Por ejemplo, si una empresa permite que los pagos con tarjeta de crédito se realicen en su sitio web, se requiere la certificación SSL para cumplir con la normativa de seguridad de la industria (conocida como conformidad de tarjetas de pago de la industria).

Algunos territorios también tienen regulaciones que exigen que las empresas tomen medidas adecuadas en materia de seguridad de los datos. No adoptar estas medidas expone a la empresa a posibles acciones legales, incluidas multas. En otras palabras, la seguridad SSL y el protocolo SSL son vitales en era actual del e-commerce. Sin el soporte SSL, una organización queda expuesta a un conjunto de riesgos financieros, de seguridad y de reputación.

¿Cuáles son los diferentes tipos de definición SSL?

Si nos preguntamos ‘¿qué significa ssl?’, debemos profundizar en los tipos disponibles de SSL. Existen diferentes certificados SSL disponibles en función de la naturaleza y necesidades de la empresa. Cada oferta de SSL requerirá que la empresa pase por un proceso de validación para verificar que la propietaria del dominio y, en algunos casos, proporcionar detalles completos sobre su organización. Los tipos de certificación incluyen:

Certificado Extended Validation SSL

Esta versión de Secure Sockets Layer (SSL) es imprescindible para cualquier empresa que quiera destacar la legitimidad de su sitio web a fin de aumentar la confianza de sus visitantes. Para obtener un SSL, la organización deberá pasar por un proceso de validación, demostrando que es la propietaria del dominio que desea certificar. Este certificado SSL es fundamental para cualquier empresa que quiera realizar operaciones financieras en su sitio web o recopilar datos sensibles.

Certificado Organisation Validated SSL

Esta forma de SSL no es adecuada para transacciones financieras, sino que se utiliza para cifrar los datos de actividad del usuario que se mueven entre el servidor y el navegador web.

Certificado Domain Validation SSL

Esta versión del certificado SSL solo ofrece un nivel bajo de encriptación y, como no sabrá quién o qué recibe sus datos encriptados, es una oferta básica adecuada solo para blogs y sitios web personales. Quienes necesiten niveles excepcionales de encriptación SSL deben buscar en otra parte.

Certificado Wildcard Validation SSL

Este SSL permite a la empresa utilizar el mismo certificado de protocolo SSL que adquirió para su dominio en todos sus subdominios también. Es una alternativa más rentable que comprar un certificado para cada uno de los subdominios.

Certificado Unified Communications SSL

Esta versión de SSL proporciona la certificación SSL para varios dominios propiedad de una organización. Es posible proteger hasta 100 dominios con un único certificado.

¿Cómo obtener un certificado SSL?

Si desea proteger un certificado SSL para una organización, utilice el siguiente proceso para garantizar un resultado satisfactorio:

  • Elija la versión del certificado SSL que necesite. Como se ha detallado anteriormente, los distintos certificados satisfacen necesidades específicas. Es esencial comprender qué es el cifrado SSL y conocer la definición de SSL antes de tomar una decisión.
  • Obtenga un par de claves privadas y públicas. Estas pueden generarse en su servidor. Las claves son necesarias como parte de una solicitud de firma de certificado (CSR, por las siglas en inglés), que se utiliza para iniciar el proceso de certificación del SSL. El CSR suele contener el nombre de la empresa, su ubicación, su tipo y tamaño, y su nombre de dominio.
  • Envíe el CSR a una entidad emisora de certificados (CA), asegurándose de elegir una entidad que tenga confianza pública. Una vez adquirido, siga las instrucciones del CA para instalar el nuevo certificado SSL el servidor. Esto incluirá cargar y probar el certificado. Una vez realizado este paso, ya está todo listo.
  • Recuerde que, independientemente de la versión, todos los certificados del protocolo SSL tienen una fecha de expiración, por lo que deberá saber cuándo la suya llegará a su fin. De lo contrario, los clientes podrían recibir advertencias de seguridad en sus navegadores web de que el sitio no está protegido por SSL y esto podría afectar a los niveles de confianza.
     

OVHcloud y SSL

La seguridad en el cloud es vital. Por eso ofrecemos un acceso fácil y procesos de validación simplificados para todos sus requisitos de protocolo SSL. También podemos recomendarle la oferta SSL que mejor se adapte a sus necesidades particulares. OVHcloud pone a su disposición otras funcionalidades de seguridad vitales con el fin de garantizar el aprovechamiento de los últimos procesos de ciberprotección en cada una de las áreas de su empresa.