¿Qué es un certificado SSL?
Un certificado SSL es un certificado digital que autentica un sitio web y permite una conexión cifrada.
La abreviatura SSL significa Secure Sockets Layer, un protocolo de seguridad que crea una conexión cifrada entre un servidor web y un navegador web.
Las empresas y organizaciones necesitan añadir certificados SSL a los sitios web para proteger las transacciones en línea y mantener la privacidad y seguridad de los datos de los clientes.
SSL protege las conexiones a Internet e impide que los atacantes lean o modifiquen la información transmitida entre dos sistemas.
Si aparece el icono de un candado junto a una dirección web en la barra de direcciones, este sitio web está protegido con SSL.
Cómo cifra y qué riesgos mitiga
El uso de SSL garantiza que los datos transmitidos entre usuarios y sitios web, o entre dos sistemas, no puedan ser leídos por terceros o sistemas, es decir, no es posible un ataque del tipo «hombre en el medio» (MITM) debido a una conexión no cifrada. SSL utiliza determinados algoritmos para cifrar los datos transmitidos.
Estos datos incluyen todos los datos que pasan entre un servidor y un cliente, incluida información potencialmente sensible como nombres, direcciones, números de tarjetas de crédito, datos de autenticación, datos financieros y otros datos importantes.
El proceso funciona así:
- El navegador o el servidor intentan conectarse a un sitio web(servidor web) protegido con SSL.
- El navegador o el servidor solicita autenticación al servidor web.
- En respuesta, el servidor web envía una copia de su certificado SSL al navegador o servidor.
- El navegador o servidor comprueba si este certificado SSL es de confianza.
Si es así, informa de ello al servidor web. - A continuación, el servidor web devuelve una confirmación firmada digitalmente e inicia la sesión encriptada SSL.
- Los datos encriptados se comparten entre el navegador o servidor y el servidor web.
Este proceso se denomina a veces «apretón de manos SSL».
Aunque la descripción de este proceso parece larga, en realidad dura milisegundos.
Claves públicas y privadas
Como sabes, la base de todos los métodos de codificación es una clave que ayuda a codificar o leer la información.
El protocolo SSL utiliza un cifrado asimétrico con dos tipos de claves:
- Público.
Esto es en realidad un certificado SSL.
Encripta los datos y se utiliza cuando se transfiere información del usuario al servidor.
Por ejemplo, un visitante introduce el número de su tarjeta bancaria en el sitio y pulsa el botón «Pagar» y los datos se envían a través de HTTP. - Privado.
Necesaria para descodificar el mensaje en el servidor.
No se transmite junto con la información, como ocurre con la clave pública, y permanece siempre en el servidor.
Autoridades de certificación
La principal fuente de certificados SSL son las autoridades de certificación de confianza o autoridades de certificación (CA).
Se trata de organizaciones que tienen una autoridad innegable en el mercado de los servicios informáticos y utilizan una clave criptográfica pública bien conocida.
En los navegadores, normalmente puedes ver una lista de ellas en la sección «Autoridades de certificación raíz de confianza».
Una firma digital certificada por el certificado de dicho centro es una prueba de la autenticidad de la empresa propietaria del nombre de dominio y determina el derecho del propietario a utilizar legalmente la clave secreta.
Es «de confianza».
Las firmas no fiables incluyen:
- Un certificado autofirmado que el propietario del sitio emite para sí mismo.
También garantiza la seguridad de la conexión, pero no garantiza la autenticidad de la empresa.
En este caso, el navegador advertirá al visitante de que el SSL no es seguro. - Un certificado firmado por una autoridad «no fiable».
En este caso, el recurso se considerará verificado, pero el «verificador» sigue siendo dudoso.
Normalmente, estos centros venden certificados a absolutamente todo el mundo, sin verificar la autenticidad de la empresa. - Una firma digital emitida por un centro que ha perdido la confianza.
Configurar certificados para sitios WordPress
Si quieres proteger a tus usuarios y mejorar la clasificación de tu página web, instalar incluso un certificado SSL gratuito en tu sitio de WordPress es una de las formas más sencillas.
En los tiempos que corren, no hay ninguna razón real por la que uno pueda decidir prescindir de un certificado SSL.
Obtener uno para tu sitio es absolutamente imprescindible.
Primero tienes que comprar un certificado SSL a tu proveedor de alojamiento.
Algunos servicios te permiten transferir el certificado a terceros.
Pero antes, asegúrate de que no tienes ya un certificado SSL.
Algunos planes de alojamiento te permiten instalar un certificado SSL por defecto. También hay servicios como Let’s Encrypt, que te permiten obtener un certificado SSL gratis.
Una vez que hayas comprado un verificador SSL, tienes que instalarlo.
Aquí puedes hacerlo a través de la configuración de tu alojamiento -la forma recomendada- o utilizar un plugin especializado.
Muchos de ellos realizan automáticamente los cambios necesarios inmediatamente después de que adquieras un certificado SSL para el sitio.
Algunos plugins configuran el certificado de forma automática inmediatamente después de su propia activación – no se requiere ninguna acción por tu parte.
Estos son los plugins que puedes utilizar:
- SSL realmente sencillo
- WP Forzar SSL
Después de instalar el plugin de gestión de SSL, tendrás que cambiar la configuración de WordPress.
Ve a la sección «Configuración» del panel de administración.
Aquí verás el campo de texto «Dirección del sitio web».
Asegúrate de que el prefijo de tu dominio es «https». y no hay ninguna señal de advertencia, lo que significa que todos los recursos de tus páginas web se cargan a través de una conexión segura.
This will help redirect users to protected content and will solve several problems with posts and pages that don’t display correctly at once.
Caducidad del certificado y autorrenovación
Como sabes, los certificados SSL tienen un periodo de validez limitado.
Es un requisito del Foro CA/B, el regulador del sector de la certificación SSL.
Hace unos años, era bastante legal pedir certificados SSL de tres, cuatro o incluso cinco años.
Hoy, los certificados SSL pueden tener un periodo de validez de hasta 27 meses (2 años + 3 meses, que se dan para ampliar la validez del certificado anterior).
El sector limita el periodo máximo de validez de los certificados SSL por motivos de seguridad.
Por tanto, el certificado SSL debe renovarse o sustituirse, cada año o cada 2 años.
Para comprobar la disponibilidad, el periodo de actividad y el contenido del certificado instalado en un sitio, utiliza estos servicios en línea:
- Serpstat
- Gusano
- Digicert
- Qualys
También puedes hacer clic en el icono del candado de la barra de direcciones del navegador y comprobar la información del certificado. Generalmente, los proveedores de certificados SSL envían un recordatorio a los clientes sobre la renovación del SSL hace unos días y algunos ofrecen meses de renovación adicionales si los clientes renuevan su certificado SSL con antelación. Si utilizas un certificado de Let’s Encrypt, tienen un bot de renovación automática que puedes utilizar.