Català
Español
Guia pràctica de certificats digitals
- By Laia Morales
- Consultoría IT, Desarrollo Web
- 0
La xarxa que fem servir centenars d'hores anuals connectats no és segura. És molt probable que darrerament hagis sentit parlar de ciberseguretat, ciberdelinqüència, ciberatacs, phishing ... i és que la seguretat informàtica és una tendència a l'alça per un important motiu. Empreses grans, mitjanes i PIMES utilitzen tot tipus de dispositius per accedir a internet sense saber que la major part de la informació que gestionen és vulnerable. Els atacs informàtics són cada vegada més sofisticats, de manera que els sistemes de seguretat estan en constant evolució.
En els primers anys de l'aparició d'internet es van implementar protocols per garantir la seguretat de les connexions, evitant així atacs i pèrdues d'informació. A la dècada dels 90 van aparèixer les primeres versions del protocol SSL, ja desfasat, ja que el més utilitzat en l'actualitat és el protocol TLS 1.2, disponible des de 2008.
Què és un certificat digital?
Els certificats digitals fan l'autenticació entre el servidor i l'equip client. Quan un lloc web està protegit, l'usuari rep una notificació al navegador que la connexió està protegida pel certificat de seguretat. El sistema autentica la identitat del propietari abans d'emetre el certificat, garantint d'aquesta manera que l'usuari està accedint a una empresa registrada i impedint el frau.
Una altra de les principals característiques d'un certificat digital és l'encriptació de les dades, aspecte que assegura que les transaccions d'informació a Internet siguin segures, impedint l'accés remot o no desitjat a la nostra informació.
Els certificats digitals estan signats per entitats certificadores que verifiquen la seguretat de la connexió entre el client i l'empresa a través d'un lloc web segur. Tots els navegadors mostren un detall de la connexió segura, normalment en color verd, a la barra de navegació.
Nivells d'encriptació
Els certificats SSL compten amb una encriptació mínima de 40 bits, però són insuficients per a transaccions crítiques en què intervinguin dades bancàries o personals. Per a aquest tipus de transaccions és necessària una encriptació mínima de 128 bits i fins a 256 bits, proporcionada pels certificats SGC (Server-Gated Cryptography).
DV - Validació de domini
Aquest és el certificat més bàsic i fàcil d'obtenir. Per aconseguir-ho no és necessari passar per un procés d'auditoria, de manera que les dades del propietari no es validen. En no poder-se comprovar al 100% l'autoria de les dades, aquests no apareixen en el certificat. La validació de domini inclou:
- Encriptació de dades
- Validació del nom de domini
- Presència del https al navegador
- Emissió del certificat en 10 minuts
OV - Validació d'organització
L'emissió és més lenta ja que les entitats certificadores verifiquen la identitat del propietari. La verificació de la identitat es realitza mitjançant una comprovació a l'Agència Tributària, el sistema Whois i un anuari públic. La validació d'organització inclou:
- Validació del nom de domini i l'organització
- Inclou la informació de l'empresa en el certificat
- Apareix el cadenat verd de https al navegador
- El certificat s'emet en 1 o 2 dies
EV - Validació extesa
És la certificació digital més completa i estricta. Les dades passen per 5 elements de validació, incloent la comprovació de dades amb recursos humans. La validació estesa inclou:
- Validacions més estrictes (S.A.)
- El certificat mostra la informació de l'empresa i el nom de la mateixa a la barra de navegació
- Apareix el cadenat verd de l'https
- El certificat s'emet entre els 7 i 10 dies
Tipus de certificats i segells de qualitat
Hi ha dos tipus de certificats: Wildcard i SAN (Subject Alternative Names).
Els certificats Wildcard asseguren un nombre il·limitat de subdominis, pel que és possible assegurar totes les subpàgines del lloc web amb el mateix certificat.
Exemple: *.microblau.net
Els certificats SAN (Subject Alternative Names), també coneguts com certificats multidomini, permeten assegurar múltiples elements sota un mateix certificat (FQDN, subdominis, IP pública, etc.). Aquest tipus de certificat facilita enormement la instal·lació i gestió, pel que és un dels més sol·licitats per les empreses.
Exemple: *.microblau.net, *.microblau.cat
En el moment de la compra d'un certificat, el client rep un segell de qualitat emès i validat per l'entitat verificadora. És altament recomanable incloure aquests segells en algun lloc visible del lloc web, ja que aporten confiança i credibilitat a les transaccions realitzades a través de qualsevol pàgina dins del lloc. En els últims estudis publicats per INCIBE es denota l'impacte positiu en l'experiència d'usuari en realitzar transaccions a través d'un lloc web certificat. Com a dada curiosa cal esmentar que únicament el segell de Norton rep més de 500.000 clics diaris.
Organismes certificadors
Hi ha múltiples organismes i entitats certificadores. Entre les més destacades trobem Symantec, Thawte, Geotrust, GlobalSign, Digicert o Comodo. L'elecció variarà en funció de les necessitats de cada empresa, ja que cada solució difereix en preu i reputació de marca. En cas de dubte pots comptar amb el nostre equip de consultors, que t'ajudarà a seleccionar la solució més adequada per a la teva empresa.
Leave a comment