Certificados SSL
Un certificado SSL (sería más exacto llamarlo certificado TLS), es necesario para poder tener cifrado HTTPS en una página web. Es decir, para que funcione el cifrado HTTPS es necesario disponer de un certificado SSL.
Los certificados SSL contienen:
- la clave pública de la página web
- el nombre del dominio al que se ha expedido el certificado
- la firma digital de la autoridad del certificado que lo ha expedido
- otra información importante
Se usan para:
- evitar ataques on-path
- spoofing de dominio
- otros métodos que los atacantes usan para suplantar un sitio web y otros usuarios
HTTPS crea una conexión cifrada entre el navegador web de un usuario y el servidor web el cual se está comunicando, protegiendo las comunicaciones de ser interceptadas.
Tipos de certificados SSL
Single Domain SSL Certificates
Aplica solamente a un solo dominio. No se puede usar para autenticar con cualquier otro dominio, ni siquiera subdominios del dominio el cual se ha expedido.
Wildcard SSL Certificates
Son para un dominio concreto y todos sus subdominios. Los subdominios están bajo el paraguas del dominio principal. Cualquier subdominio será listado en el certificado SSL.
Multi-Domain SSL Certificates
Lista múltiples dominios diferentes en un solo certificado.
Validación de certificado SSL
Un banco no emite un préstamo a alguien sin antes hacer unas comprobaciones de crédito.
De forma parecida, antes que una autoridad de certificados (CA) expida un certificado SSL a una organización tienen que validar la organización, es decir, tiene que ser probado que la organización posee y opera el dominio. Es lo que se conoce como validación de certificado SSL.
Las pruebas que se realizar para hacer esta comprobación son muy variadas. Desde validaciones mínimas hasta investigaciones más profundas. Con cualquiera de estos niveles de validación, el certificado SSL que se expide proporciona el mismo nivel de encriptación TLS. La única diferencia es cuánto a fondo la CA ha autenticado la identidad de la organización.
Certificados SSL de validación de dominio
Es la validación de certificado menos exigente. Para obtener uno de esos certificados, la organización solo comprueba que tiene control sobre el dominio. Puede hacerse por ejemplo alterando un registro DNS asociado al dominio, o a veces simplemente enviando un email a la CA. Normalmente este proceso suele ser automático. Es una buena opción para blogs o pequeños negocios que solo buscan lanzar HTTPS de forma rápida y barata.
Certificados SSL de validación de organización
Requieren un proceso de revisión manual. La CA contacta la organización que ha hecho una petición para obtener un certificado SSL, y la CA hace una investigación más profunda. Estos certificados contendrán el nombre de la organización y la dirección, haciéndolo más confiable que los certificados SSL de validación de dominio.
Certificados SSL de validación extendida
Estos certificados implican una comprobación profunda de la organización. La CA comprueba y se asegura que la organización existe y está registrada legalmente como negocio, que de hecho están presentes en la dirección que ellos informan y demás. Este tipo de validación es la que toma más tiempo y la más cara, pero es la más segura y confiable. Grandes empresas, instituciones financieras y tiendas online deberían obtener un certificado SSL de validación extendida. Sobretodo si manejan información sensible como contraseñas o números de tarjeta de crédito.