Ahora que los espacios de trabajo digitales se están convirtiendo en la nueva norma, los intereses de la seguridad SSL han aumentado. Pero, ¿Qué es exactamente la seguridad SSL? ¿Y cómo puede mejorar la seguridad de su sitio web?
¿Qué es la seguridad SSL?
SSL es un protocolo que establece conexiones cifradas y autenticadas entre un navegador web (o cliente) y un servidor web. SSL consigue la seguridad vinculando las identidades de las empresas y los sitios web a través de dos pares de claves criptográficas: las claves pública y privada.
La clave privada es secreta y se guarda en el servidor de origen, mientras que la clave pública se distribuye a través de certificados digitales que siguen el estándar X.509. Aunque las dos claves son distintas, tienen una relación matemática especial: una clave privada correspondiente sólo puede descifrar los datos cifrados por la clave pública.
Además, una entidad puede utilizar la clave privada para firmar documentos digitales, incluidas las páginas web y las transacciones. Una vez firmados, cualquier persona con la correspondiente clave pública puede verificar la firma. El Protocolo de Transferencia de Hipertexto Seguro (HTTPS) -también llamado HTTP sobre SSL o HTTP sobre TSL- combina el HTTP tradicional con SSL o TSL para conseguir seguridad.
Cuando una entidad utiliza HTTPS en su dirección URL, significa que la comunicación entre el cliente y el servidor web es segura. En otras palabras, cuando un sitio web utiliza HTTPS, cualquier intercambio de datos entre éste y el navegador está asegurado mediante SSL.
La seguridad SSL funciona con el concepto de criptografía de clave pública y clave privada, como se indica en el siguiente diagrama:
- El cliente intenta conectarse a un servidor web con SSL. En este caso, el cliente solicita al servidor web que se identifique.
- El servidor envía al cliente una copia de su certificado SSL que contiene la clave pública del servidor, su validez y los nombres de dominio, entre otras cosas. Este proceso se denomina handshake SSL. Durante el handshake SSL, tanto el cliente como el servidor utilizan criptografía asimétrica para intercambiar datos generados aleatoriamente. A su vez, los datos aleatorios crean nuevas claves (claves de sesión) para transferir datos entre ellos.
- El servidor reconoce al cliente para iniciar una sesión SSL.
- El cliente utiliza las claves de sesión generadas en el paso 2 -una forma de criptografía simétrica- para cifrar sus datos e intercambiarlos con el servidor.
Tipos de certificados SSL
En la seguridad SSL, la Autoridad de Certificación (CA) emite certificados basados en X.509 a las organizaciones que desean establecer comunicaciones cifradas con sus clientes. De este modo, la CA actúa como un tercero de confianza que valida a diversas entidades tras realizar rigurosas auditorías sobre ellas. Existen seis tipos de certificados SSL:
- Certificados SSL de dominio validado (DV). Estos certificados demuestran que la URL especificada por el cliente está efectivamente registrada. En este caso, la CA puede validar la URL a través de correo electrónico, HTTP o Sistema de Nombres de Dominio (DNS). Estos certificados tienen una única responsabilidad: cifrar los datos del usuario. Lo único que necesita el usuario es demostrar su identidad al sitio web, tras lo cual se inicia la transacción.
- Certificados SSL validados por la organización (OV). Estos certificados demuestran que una organización es propietaria del dominio especificado. Además, también verifica otros detalles de la organización, como el país, el estado, la ciudad y el pueblo, entre otros.
- Certificados SSL con validación ampliada (EV). Estos certificados proporcionan el mismo nivel de seguridad SSL que DV y OV. Sin embargo, también demuestran que una organización está legalmente registrada como entidad comercial.
- Certificados SSL Wildcard. Estos certificados garantizan que cuando se adquiere un único certificado para un dominio, se puede utilizar para otros subdominios.
- Certificados SSL de dominio único. Estos certificados protegen sólo un dominio. No puede utilizarlo para gestionar un dominio o subdominio completamente diferente.