Mantente informado de todas nuestras noticias

Actualizamos nuestro blog de forma asidua, no te pierdas ninguna publicación.

Este campo es obligatorio y debe tener el formato de un email

Error inesperado al ejecutar la petición, compruebe que no esté ya suscrito, o si no pruebe más tarde
Se deben aceptar las cookies para el correcto funcionamiento de este formulario.
Se ha registrado correctamente a la newsletter

Este campo es obligatorio

Seguridad web

¿Qué debe tener una web para que sea segura?

29ene.21

Orlando

Hoy en día el flujo de información que se mueve a través de la red es casi incontrolable, por eso es necesario poder disponer de mecanismos que permitan tener ese flujo de datos con algún tipo de control. Ya sea porque estás realizando compras en una tienda online, como si estás registrando tus datos en alguna web para realizar un curso, por ejemplo, todo debe estar protegido para que no hayan fugas de tu información personal.

 

Para ello disponemos de lo que se denomina el certificado SSL que hará de controlador de todos los datos que salen del usuario y van a parar a los diferentes portales web. Tanto los datos personales, como los de las transacciones, o de las tarjetas que utilicemos, todo ello estará bajo el paraguas de un certificado SSL.

 

¿Qué es un certificado SSL?

 

El certificado SSL (Secure Sockets Layer) es un protocolo que está en un servidor web, y se ejecuta dentro de este y poder dotar de las herramientas de cifrado necesarias para que un navegador web pueda tener todo el flujo de datos entre ambos (navegador y servidor web), controlado y cifrado. Es decir, esto provoca que las páginas visitadas y que tengan este certificado estarán protegidas ante los posibles hackeos de información que puedan haber, porque todo el contenido estará protegido con claves de encriptación. Así se aseguran datos personales, datos económicos, transacciones, etc...

 

Por otro lado, cuando un usuario envía información a una web sin certificado SSL, el navegador toma el control y activa una advertencia al usuario, de que el sitio no es seguro y que la seguridad de sus datos se puede ver comprometida, y puede ser visible por terceros. Esto provocará que los usuarios no confíen en dicha web, y posiblemente abandonarán la web para realizar la misma gestión en otra web que sí tenga el certificado.

 

Esto se traduce en pérdida de ventas, si hablamos de una tienda online, o perdida de unos datos de contacto, si se trata de una página. Unos datos que pueden ser vitales para cualquier negocio. Con lo cual, es muy importante tener este certificado instalado, y es, junto la elección del dominio, uno de los 2 pasos más importantes cuando se crea un sitio web.

 

¿Cómo sabemos si el certificado SSL está instalado en una web?

 

Para saber que un sitio web tiene el certificado SSL instalado lo podemos ver inmediatamente cuando entramos en dicha web, puesto que a la izquierda del dominio podemos apreciar un icono de un candado cerrado como se ve en la siguiente imagen, donde lo hemos marcado con un círculo rojo.

Si clicamos sobre el icono del candado se nos abre una ventana donde aparece información relevante sobre el certificado, así como datos de las cookies que tiene aceptadas/bloqueadas dicha web, y también podremos acceder a la configuración del navegador.

 

  • Certificado: veremos toda la información sobre el certificado.

  • Cookies en uso: desde aqui podremos gestionar las cookies, por ejemplo, bloquear las que no queramos tener activas.

  • Configuración de sitios: desde aquí podremos acceder a todas las opciones de configuración de nuestro navegador.

 

¿Qué datos importantes contiene un certificado SSL?

De entre los datos que contiene un certificado SSL encontramos una serie de información como es:

 

  • El nombre del titular del certificado.
  • El número de serie del certificado y la fecha de vencimiento.
  • Una copia de la clave pública del titular del certificado.
  • La firma digital de la Autoridad de Certificación que emite el certificado.

 

¿Qué es una Autoridad de Certificación (AC)?

 

Cuando hablamos de Autoridad de Certificación podemos decir que es una entidad, que es de confianza, y es la responsable de emitir y rechazar los certificados digitales o certificados, que se utilizan en la firma electrónica.

 

¿Qué ocurre al entrar en una web con certificado SSL?

Vamos a explicar los pasos que se van sucediendo cuando un usuario entra en una web, cuales son los actores principales y como actúan.

 

Los actores principales son:

 

  • Usuario que accede a una web.
  • Navegador utilizado por el usuario.
  • Web de destino del usuario.
  • Servidor de la web de destino.

 

Pasos que se suceden con el certificado SSL cuando un usuario entra en la web:

 

  • Paso 1: el navegador pide acceso a la web.
  • Paso 2: el servidor de esta le envía información sobre el certificado.
  • Paso 3: el navegador se asegura que debe cumplir: certificado de confianza, que no haya expirado y que nombre del dominio coincida con el de la web.
  • Paso 4: si cumple requisitos el navegador le envía un mensaje cifrado utilizando una llave pública del propio servidor.
  • Paso 5: el servidor descifra el mensaje con una llave privada, y le contesta al navegador que esta de acuerdo en iniciar una sesión SSL cifrada.

 

Toda la información entre navegador y servidor web será cifrada, lo cual permite que no haya fuga de información del usuario. Con el protocolo http se utiliza el puerto 80, pero cuando se trata de https ya se utiliza el puerto 443.

 

En el archivo .htaccess es desde donde se puede crear una redirección entre una web que tiene el protocolo http y se quiere pasar al protocolo https, esto se haría a través del comando de redirección 301, sería algo como sigue:

Redirect 301 /antigua-url https://tusitioweb.com/nueva-url

 

Diferencias entre certificado SSL gratuito y de pago

Si hablamos de certificados SSL gratuitos y de pago ambos tienen el mismo nivel de seguridad, ya que están desarrollados bajo los mismos estándares autorizados y publicados. Estos tienen un periodo de validez, y pasado dicho periodo se deberá renovar, de esta forma se asegura que el certificado se mantiene actualizado con las nuevas amenazas, a lo largo de los años.

 

Los certificados gratuitos suelen necesitar la renovación cada 3 meses, mientras que los de pago, suelen tener una validez de 1 año. Tras el periodo de validez el certificado dejará inutilizada tu web si no lo quieres renovar, por tanto, es importante tener presente esta acción que se ha de hacer para que la web siga vigente año a año (o a los 3 meses, si escoges la opción gratuita).

 

Cabe recordar que cuando tienes un certificado de pago estas respaldado por el soporte de la empresa que te está dando ese servicio, o bien para posibles incidencias, o bien para tener más información acerca del mismo.

 

El certificado gratuito suele cubrir únicamente un dominio, mientras que el certificado de pago tiene otras muchas funcionalidades como puede ser el cubrir a una empresa y todos los dominios que de ella dependan.

 

Conclusiones y recomendaciones

 

Hemos hablado del certificado SSL dando algo de información genérica, y hemos entrado un poco en detalle cuando quieres saber que ocurre en el momento que un usuario se conecta a una web, pero de todo esto, aparte de los detalles técnicos, nos hemos de centrar única y exclusivamente en 2 puntos:

 

  • Escoge un alojamiento web que ya te incluya el certificado SSL, puesto que te dará todas las funcionalidades completas.
  • Nada más contratar tu dominio, actívale el certificado SSL.

 

Teniendo claros estos 2 puntos desde el principio, te ahorrarás muchos quebraderos de cabeza futuros, puesto que si no dispones de certificado SSL se pueden perder datos de contacto de un usuario, datos de transacciones en una tienda online, datos de tarjetas del usuario.