La red en la cual pasamos cientos de horas anuales conectados no es segura. Es muy probable que últimamente hayas oído hablar de ciberseguridad, ciberdelincuencia, ciberataques, phishing... y es que la seguridad informática es una tendencia al alza por un importante motivo. Empresas grandes, medianas y PYMES utilizan todo tipo de dispositivos para acceder a internet sin saber que la mayor parte de la información que manejan es vulnerable. Los ataques informáticos son cada vez más sofisticados, por lo que los sistemas de seguridad están en constante evolución.
En los primeros años de la aparición de internet se implementaron protocolos para garantizar la seguridad de las conexiones, evitando así ataques y pérdidas de información. En la década de los 90 aparecieron las primeras versiones del protocolo SSL, ya desfasado, pues el más utilizado en la actualidad es el protocolo TLS 1.2, disponible desde 2008.
¿Qué es un certificado digital?
Los certificados digitales realizan la autenticación entre el servidor y el equipo cliente. Cuando un sitio web está protegido, el usuario recibe una notificación en el navegador de que la conexión está protegida por el certificado de seguridad. El sistema autentica la identidad del propietario antes de emitir el certificado, garantizando de esta forma que el usuario está accediendo a una empresa registrada e impidiendo el fraude.
Otra de las principales características de un certificado digital es la encriptación de los datos, aspecto que asegura que las transacciones de información en Internet sean seguras, impidiendo el acceso remoto o no deseado a nuestra información.
Los certificados digitales están firmados por entidades certificadoras que verifican la seguridad de la conexión entre el cliente y la empresa a través de un sitio web seguro. Todos los navegadores muestran un detalle de la conexión segura, normalmente en color verde, en la barra de navegación.
Niveles de encriptación
Los certificados SSL cuentan con una encriptación mínima de 40 bits, pero son insuficientes para transacciones críticas en las que intervengan datos bancarios o personales. Para este tipo de transacciones es necesaria una encriptación mínima de 128 bits y hasta 256 bits, proporcionada por los certificados SGC (Server-Gated Cryptography).
DV - Validación de dominio
Este es el certificado más básico y fácil de obtener. Para conseguirlo no es necesario pasar por un proceso de auditoría, por lo que los datos del propietario no se validan. Al no poderse comprobar al 100% la autoría de los datos, éstos no aparecen en el certificado. La validación de dominio incluye:
- Encriptación de datos
- Validación del nombre de dominio
- Presencia en el https del navegador
- Emisión del certificado en 10 minutos
OV - Validación de organización
La emisión es más lenta ya que las entidades certificadoras verifican la identidad del propietario. La verificación de la identidad se realiza mediante una comprobación en la Agencia Tributaria, el sistema Whois y un anuario público. La validación de organización incluye:
- Validación del nombre de dominio y la organización
- Incluye la información de la empresa en el certificado
- Aparece el candado verde de https en el navegador
- El certificado se emite en 1 o 2 días
EV - Validación extendida
Es la certificación digital más completa y estricta. Los datos pasan por 5 elementos de validación, incluyendo la comprobación de datos con recursos humanos. La validación extendida incluye:
- Validaciones más estrictas (S.A.)
- El certificado muestra la información de la empresa y el nombre de la misma en la barra de navegación
- Aparece el candado verde de https
- El certificado se emite entre los 7 y 10 días
Tipos de certificados y sellos de calidad
Existen dos tipos de certificados: Wildcard y SAN (Subject Alternative Names).
Los certificados Wildcard aseguran un número ilimitado de subdominios, por lo que es posible asegurar todas las subpáginas del sitio web con el mismo certificado.
Ejemplo: *.microblau.net
Los certificados SAN (Subject Alternative Names), también conocidos como certificados multidominio, permiten asegurar múltiples elementos bajo un mismo certificado (FQDN, subdominios, IP pública, etc.). Este tipo de certificado facilita enormemente la instalación y gestión, por lo que es uno de los más solicitados por las empresas.
Ejemplo: *.microblau.net, *.microblau.cat
En el momento de la compra de un certificado, el cliente recibe un sello de calidad emitido y validado por la entidad verificadora. Es altamente recomendable incluir estos sellos en algun lugar visible del sitio web, pues aportan confianza y credibilidad a las transacciones realizadas a través de cualquier página dentro del sitio. En los últimos estudios publicados por INCIBE se denota el impacto positivo en la experiencia de usuario al realizar transacciones a través de un sitio web certificado. Como dato curioso cabe mencionar que únicamente el sello de Norton recibe más de 500.000 clics diarios.
Organismos certificadores
Existen múltiples organismos y entidades certificadoras. Entre las más destacadas encontramos Symantec, Thawte, GeoTrust, GlobalSign, Digicert o Comodo. La elección variará en función de las necesidades de cada empresa, pues cada solución difiere en precio y reputación de marca. Ante la duda puedes contar con nuestro equipo de consultores, que te ayudará a seleccionar la solución más adecuada para tu empresa.
Leave a comment