Mejor SSL para alojamiento de servidores web

La seguridad de su entorno de alojamiento, sitio web e interacciones con el cliente es más importante ahora que nunca. Con amenazas y ataques constantes, desea asegurarse de que sus visitantes confíen en que usted tiene su seguridad en mente y está activo en la protección de su información. Proporcionar una conexión segura a su sitio web con un certificado de capa de conexión segura (SSL) es uno de los métodos más fáciles de demostrar a sus visitantes que se toma la seguridad en serio. Sin embargo, no todos los certificados SSL se consideran iguales ni ofrecen las mismas garantías. Determinar cuál es mejor para usted y su negocio es una elección importante y depende de sus necesidades particulares.

¿Qué es un certificado SSL?

Para decidir qué SSL es mejor para su negocio, primero necesita comprender qué es un certificado SSL. Un certificado SSL es un «certificado» digital (básicamente un archivo) que se utiliza para proporcionar cifrado y descifrado entre un anfitrión (usted) y un cliente (su visitante). Este certificado certifica la propiedad y autenticidad de un dominio. En otras palabras: le dice a su visitante (y lo que es más importante: su navegador) que el dominio que está visitando es en realidad el dominio al que cree que va y que pertenece a quien cree que debería pertenecer. Este certificado también permite que su navegador se comunique con su sitio web de manera segura. Cuando mira la URL / barra de direcciones en el navegador y ve https, la parte «s» representa la conexión segura que proporciona el certificado SSL. 

¿Cómo funciona un SSL?

Antes de que pueda elegir qué SSL se adapta mejor a sus necesidades, también debe comprender el proceso de cómo se utiliza un SSL. La idea básica es crear una “cadena de confianza”; una ruta que comienza en su computadora con su navegador y termina con una organización que proporciona el certificado SSL conocido como «Autoridad de certificación» o «CA». Cuando visita un sitio, su navegador mira el certificado SSL y comienza a «seguir» la información que contiene, revisando cada paso y asegurándose de que el componente esté «firmado» digitalmente por una organización o CA en la que su navegador confíe. Siguiendo esta ruta su navegador puede garantizar que la información que recibe de un sitio es precisa ya que cada paso verifica el último, terminando en la CA que tiene un acuerdo específico con su navegador [1] .

Además, su navegador utiliza el certificado SSL para establecer una conexión segura con el servidor del sitio web que está visitando. Hay una serie de mensajes de ida y vuelta para negociar o confirmar que el sitio y su navegador pueden comunicarse de forma segura y que el sitio web que está visitando su navegador es realmente el sitio web en el que cree que se encuentra.  

[1] – Esta es una de las razones por las que los SSL pueden tener un cargo asociado. La Autoridad de Certificación debe ser aprobada por todos y cada uno de los navegadores por los que desea que los certificados SSL reconozcan. Esto es parte del costo de la mano de obra y es un proceso difícil y que requiere mucho tiempo. También es la razón por la que se puede confiar en los certificados SSL: no cualquiera puede iniciar una autoridad de certificación y emitir certificados SSL en los que confiarán los navegadores más utilizados.

Tipos de certificados SSL

Para determinar qué SSL es mejor para la empresa o el sitio que opera, también debe comprender los diferentes tipos de SSL y la forma en que se pueden utilizar. Este artículo abordará brevemente cuatro tipos de certificado SSL entre los que puede elegir:

Autofirmado

Este certificado SSL es uno que usted crea y esencialmente «firma» usted mismo, indicando que usted es quien dice ser y que su sitio es el sitio que proclama ser. Estos están bien cuando se trabaja con un sitio que solo las personas que usted conoce / confía accederán a él. No tienen que preocuparse por la autenticidad porque ya saben exactamente quién lo está operando y que es seguro. Estos no deben usarse para ningún tipo de negocio o sitio en línea donde los visitantes al azar se detengan, ya que los certificados autofirmados presentarán un error / advertencia en la mayoría de los navegadores sobre no ser confiable (lo que puede asustar a los visitantes / clientes).

Dominio único

El certificado SSL de dominio único representará exactamente lo que dice: un nombre de dominio único y completo. Esto no admite ningún tipo de subdominio de un dominio a menos que sea para eso que el SSL está configurado específicamente (por lo que un SSL para mail.example.com solo proporcionará seguridad y autenticidad a mail.example.com, no a www.example.com ). Además, los dominios de nivel superior alternativos (TLD) como .net, .org, etc… no se cubren automáticamente a menos que se compre / configure explícitamente un certificado SSL para ese nombre de dominio TLD.

Comodín

El comodín SSL proporciona seguridad y autenticidad para todos los subdominios de un nombre de dominio. El término «comodín» representa todos y cada uno de los posibles subdominios que podrían usarse con su nombre de dominio principal. Esto es especialmente útil si no está seguro de cómo podría utilizar subdominios para su negocio o si sabe que tiene una gran cantidad de subdominios que necesitan cobertura (lo suficiente como para que el mayor costo de un subdominio comodín sea más económico que comprar SSL de dominio único individual para cubra todos sus subdominios).

Multidominio

El SSL multidominio, en lugar de centrarse en cubrir varios subdominios, proporciona cobertura para varios nombres de host. Estos nombres alternativos de sujeto (SAN) se enumeran en el certificado SSL y su navegador verifica cada uno individualmente cuando visita un sitio. Después de recibir el certificado SSL y revisar las SAN, su navegador identificará si el dominio coincide con una de las SAN y, de ser así, creará la conexión segura. Este tipo de SSL es extremadamente útil si hay varios dominios que controlas que quieres proteger o que se relacionan con tu negocio ya que solo tienes un certificado para administrar y mantener actualizado / configurado en tus servidores.

Niveles de validación

Aparte de los tipos específicos de certificados SSL que se ofrecen, las distintas Autoridades de Certificación pueden proporcionar diferentes niveles de «validación» para demostrar que el propietario del SSL es quien dicen ser. Los diversos tipos de validación se presentan de manera diferente a su navegador y brindan a los visitantes de los sitios que utilizan SSL una confirmación visual de la conexión SSL. Además: el grado de validación que se utilizó para demostrar que el solicitante / propietario del SSL es quién dice ser, aumenta con los distintos niveles que se ofrecen en función de las necesidades de su negocio. Un desglose rápido de esos niveles de validación es el siguiente:

Dominio validado (DV)

Este es el nivel de validación más común y más fácil de aprobar. El único calificativo es que demuestre que el dominio para el que solicita un SSL está bajo su control. Esto podría ser responder a un correo electrónico enviado a una dirección en ese dominio para modificar un registro DNS para el dominio para que un sistema automatizado pueda revisarlo. Este método de validación suele tardar entre unos minutos y un par de horas como máximo. Los navegadores mostrarán un icono de candado en la barra de direcciones que indica que se está realizando una conexión segura y encriptada al sitio proporcionado por SSL.

Organizacional Validado (OV)

Esta es una validación más profunda y detallada. Se contacta al propietario o empresa y se debe presentar la documentación que demuestre que su empresa es una empresa legítima. El nombre de la persona u organización está asociado con el SSL si se revisa; sin embargo, los navegadores mostrarán el mismo indicador visual que con un SSL validado por dominio. Por lo general, esto se puede completar en un par de días.

Validación extendida (EV)

Este es el nivel de validación más complicado y toma más de una semana o más. Los registros públicos se utilizan para probar la ubicación de su negocio, que su negocio existe / es legítimo y, por lo general, requiere comunicación en persona / por teléfono para proporcionar verificación e información adicional. Este es un proceso de investigación extremo que requiere mucha comunicación de ida y vuelta y sigue pautas estrictas; sin embargo, da como resultado un indicador visual de barra verde en los navegadores; el único SSL que lo ofrece y se considera el más confiable de los SSL.

¿Por qué son importantes los SSL?

Este artículo ha abordado brevemente por qué un certificado SSL es importante, pero es fundamental ampliar ese punto, ya que la seguridad es una necesidad cada vez mayor de que las empresas se lo tomen en serio. Los clientes esperan que sus datos estén protegidos y que puedan confiar en los sitios que visitan. Perder esa confianza significa perder negocios y reputación. 

Hay tres razones principales para los SSL: privacidad, autenticación e integridad de los datos. La primera, la privacidad, es extremadamente importante ya que el certificado SSL y la conexión encriptada que ayuda a crear protegen la información que sus clientes le brindan para que no sea interceptada y vista en «texto sin formato». Esto evita que la información de su cliente, como números de tarjetas de crédito, nombres de usuario u otros datos personales, sea interceptada por atacantes malintencionados. 

Esto conduce al segundo punto: autenticación. Los SSL ayudan a garantizar que solo la fuente y el destino sepan qué datos son y puedan usarlos, pero también le demuestran a la fuente que se están comunicando con quién esperan comunicarse. El certificado SSL es una forma rápida y fácil de demostrar que un dominio es legítimo, que una empresa ha sido examinada y que el sitio que está viendo un visitante es el que espera ver. Los sitios de phishing son extremadamente comunes, pero debido a los certificados SSL y al proceso de investigación, es muy poco probable

Por último, integridad de los datos. En términos simples, esto significa que la información que un visitante le envía es la información que recibe (y viceversa). Esto es tan importante como los otros dos aspectos, ya que queremos asegurarnos de que si realizamos una transacción financiera o una solicitud de compra, esa solicitud se interpretará correctamente. El certificado SSL y la encriptación / integridad de los datos que proporciona permite a las empresas brindar a sus visitantes un nivel de certeza de que lo que le piden o le envían es lo que usted recibe.

Todos los puntos anteriores son extremadamente importantes para cualquier entidad en Internet en la actualidad. Las industrias bancaria, médica, de transporte y de compras dependen de la protección de la comunicación de datos. Las organizaciones reguladoras y de cumplimiento, como PCI o HIPAA, tienen requisitos estrictos para ser aprobadas y un certificado SSL casi siempre está en la parte superior de la lista. 

¿Qué hace que un SSL sea bueno / mejor / mejor?

Hay algunos factores que son diferentes entre los distintos tipos de SSL y cómo se adquieren. Lo primero que debe tener en cuenta es la longitud de la clave. La forma más fácil de recordar la longitud de la clave y lo que debe obtener es que las más grandes (claves más largas) sean mejores y brinden mayor seguridad. Es una práctica común pedir ahora un SSL con 2048 bits para la longitud de la clave. Ya no debe pedir SSL con longitudes de clave de 1024 bits, ya que se ha demostrado que son ineficaces y atacantes malintencionados pueden romper fácilmente los datos entre su sitio y los visitantes.

Anteriormente hablé sobre las autoridades de certificación y cómo no todas son aceptadas por todos los navegadores. Este es un componente importante a considerar al adquirir un certificado SSL, ya que necesita conocer a su audiencia y si pueden estar usando navegadores poco conocidos o solo las variantes populares. Cuanto mayor sea la base de un navegador, más exigente será, ya que debe garantizar que brinde la máxima seguridad a los usuarios que debe considerar. Las autoridades de certificación más consolidadas también trabajan para proteger su reputación y quieren ser conocidas por tomarse en serio su proceso de investigación para que se las considere como personas que ayudan a las personas que pueden tener intenciones maliciosas detrás de sus solicitudes de SSL.

Por último, el propósito de por qué desea un SSL. Hoy vemos un impulso de todas las empresas de tecnología importantes para «proteger la web» y utilizar SSL en todos los ámbitos. Cada sitio debe intentar y esforzarse por brindar la máxima seguridad posible (o práctica) a sus visitantes. Los certificados SSL, si bien son necesarios para las empresas, son incluso relevantes para sitios simplemente informativos y relacionados con noticias como blogs. Tener un SSL para un blog puede proporcionar esa seguridad y confirmación a los visitantes de que están en el blog que esperan y no una imitación o un intento de phishing o incluso alguien que intenta pasar información falsa (como un blog de seguridad que le dice a la gente que use contraseñas simples).

¿Qué SSL es mejor para el alojamiento de servidores web?

Con nuestro conocimiento de los certificados SSL y cómo se utilizan, ahora podemos examinar qué es lo mejor para la industria común de servidores web y alojamiento. Si bien la seguridad es extremadamente importante para cualquier tipo de presencia en línea, rara vez vemos la necesidad de una investigación extrema que requieren los certificados SSL con EV. Las industrias médica, financiera y del transporte tienden a tener visitantes que son cautelosos e inicialmente cautelosos simplemente debido a que esas empresas son frecuentemente imitadas y atacadas por ataques maliciosos. Además, tienen requisitos estrictos para las pautas de seguridad que deben seguir por ley. Los SSL con EV son ideales para ellos, pero no para el servidor web típico de una empresa en línea. 

El SSL validado por la organización o el dominio es la opción ideal de validación para la inmensa mayoría de las empresas en línea, ya que son más rápidas de adquirir y brindan el mismo nivel de protección y confirmación visual. A menos que sienta que el SSL identifica ciertos aspectos de su negocio, un SSL DV con validación de control de dominio simple es el SSL que mejor se adapta a la mayoría de las personas, empresas y sitios en línea.

En términos de qué tipo de SSL obtener, con frecuencia recomiendo que las personas planifiquen para el futuro. El comodín SSL le permite brindar una protección SSL simple para su dominio, al mismo tiempo que brinda la libertad de expandirse con cualquier subdominio que se encuentre dentro del alcance de su plan de negocios o las necesidades de su sitio. Es posible que no necesite proporcionar protección SSL para sus subdominios, pero tener la opción siempre es mejor. Además: al tener un solo certificado SSL para realizar un seguimiento de usted, ya no tendrá que preocuparse por la expiración de varios certificados en días diferentes, lo que reduce la complejidad operativa. Un solo certificado simplifica la replicación en múltiples servidores web y facilita las tareas de administración, reduciendo en última instancia sus costos y riesgos.

Conclusión

En general, solo usted sabrá las necesidades que tiene su sitio en línea y la mejor manera de satisfacerlas. El uso de un certificado SSL para proteger su sitio y los visitantes es una de las formas más fáciles de transmitir que se toma en serio su presencia en línea y la seguridad de sus visitantes como una prioridad. Pensar en el crecimiento de su negocio y hacia dónde ve su sitio puede ayudar a prevenir problemas técnicos para sus servidores web y cómo protegerlos en el futuro. 

¿Quieres recibir en tu buzón un correo con las últimas novedades?