Publicado por & archivado en Seguridad.

Desde 2017 se ha ido generalizando el uso de certificados SSL en los dominios, especialmente producido por la presión de Google al añadir en Chrome la coletilla «No es seguro», algo que es una verdad a medias, como explicaba aquí hace algo más de dos años. Pero entonces ¿Qué son estos certificados y para qué sirven?

Los certificados SSL son desde sus inicios para dos cosas:

  1. El cifrado de los datos: Los datos son ininteligibles si se interceptan entre emisor (servidor WEB) y receptor (navegador del usuario).
  2. La validación del propietario del dominio al que estamos conectando.

Los certificados SSL son una infraestructura de clave pública (PKI), para cifrar los datos mediante un sistema de clave pública y privada emitidos por una autoridad de certificación (AC). Actualmente se usa el estándar X.509 para los certificados SSL.

La utilidad del cifrado es evidente, si se envían datos privados se evita que un tercero que intercepte las comunicaciones pueda ver lo que enviamos, por ejemplo si alguien vulnera la red Wi-Fi de nuestra oficina.

Certificar al propietario del dominio sirve para que al conectar a una web sepamos quien es realmente la persona o entidad que lo gestiona y este fue desde el principio el objetivo de los certificados (por eso se llaman así), es decir, certificar quién es el propietario del dominio, puesto que el cifrado de datos no requiere de una autoridad que verifique nada, es posible hacerlo sin más que instalar un software.

El uso de certificados SSL se ha generalizado desde que Google decidió poner la coletilla «No es seguro» cuando se cargan las páginas sin certificado

El uso de estos certificados se ha extendido mucho en los últimos 3 años debido a la presión de Google, que parece tener mucho interés en que todo el mundo use cifrado y en último término acabó añadiendo en Chrome la coletilla «no es seguro», alarmando innecesariamente a todo el mundo y «obligando» a todo hijo de vecino a poner un certificado SSL, tal como explico aquí.

El problema de los certificados SSL inicialmente es que eran muy caros, cuando no son más que un código generado con un software, es decir, son un producto altamente especulativo.

Esto, permitió en 1995 al Sudafricano Mark Shuttleworth, recien licenciado y con 22 años, montar una empresa que emitía certificados SSL (Thawte), y sin apenas medios económicos le permitió hacerle sombra a la que por entonces era prácticamente la única empresa que emitía estos certificados (VeriSign), que terminó comprándole la empresa 4 años después de su fundación por 575 millones de USD.

Como curiosidad, Mark Shuttleworth con ese dinero se convirtió en el segundo turista espacial de la historia (después del millonario Dennis Tito), y fundó la empresa Canonical Ltd, conocida por ser la creadora de la distribución de Linux Ubuntu.

El alto coste y la especulación hacían que los certificados SSL no fueran muy populares, y aunque generar un certificado es algo que cualquiera puede hacer con un ordenador (certificados autofirmados), si lo hacemos así, el navegador dirá que no reconoce a la autoridad firmante y mostrará un error.

Aun con cada vez más competencia un certificado costaba como poco 10 o 20 veces más que un dominio, por lo que sólo empresas dedicadas al comercio electrónico compraban estos certificados y fue ahí cuando se popularizaron los «certificados de dominio» de bajo coste (hoy en día los hay desde 5€ al año).

Los certificados de dominio no verifican quién es el propietario

Estos certificados no validan quién es el propietario del dominio (Organización), sólo certifican que quién tiene el control del dominio es el que solicitó el certificado, pero claro, cualquiera puede comprar un dominio, así que en esencia no certifican nada, son sólo un código de cifrado de datos. Estos certificados se pueden ver, en Chrome, pulsando en el candado y en «Certificado», veremos esto:

Organización (O) <No incluido en el certificado

En cambio, si el certificado si identifica al propietario, veríamos algo parecido a esto:

Organización (O) Amazon.com, Inc.

Desde 2016 es posible tener certificados SSL gratuitos usando Let’s Encrypt

Emitir uno de estos certificados de dominio es trivial, porque sólo hay que pedir al propietario del dominio que ponga un código en su web o enviarle un email para verificarlo, eso hizo que el precio de estos dominios bajara cada vez más, hasta que en 2016 se creó la autoridad certificadora «Let’s Encrypt» para emitir este tipo de certificados de forma gratuita.

Estos certificados sólo tienen una validez de 3 meses, pero pueden ser generados de forma automatizada, por lo que usando un software podemos tener un certificado SSL para siempre sin gastar dinero.

Los certificados EV muestran el nombre de la empresa en la barra del navegador con un fondo verde, ofreciendo más confianza al usuario

Aquí es donde entran en juego los certificado EV (Extended Validation), propuestos en 2005 por el CEO de Comodo, que además de validar el dominio certifica quién es su propietario y lo muestra en la barra del navegador, normalmente con un fondo verde.

Actualmente existen dominios que certifican al propietario pero que no son EV y lo usan grandes empresas de comercio electrónico como Amazon, pero hay que pulsar en el icono del candado y mirarlo en el certificado por lo que a primera vista no se distinguen de los certificados de dominio. En cambio, con un certificado EV el nombre de la empresa aparece directamente en la barra del navegador.

Empresas muy grandes y conocidas como Amazon o El Corte Inglés, no tienen actualmente certificados EV, supongo que porque les da exactamente igual, todo el mundo sabe quienes son y cual es su dominio, pero empresas no tan conocidas pueden beneficiarse de estos certificados mostrando en la barra del navegador su nombre para generar más confianza o tal vez prestigio.

Los certificados incluyen también un seguro que tiene coberturas distintas según la empresa emisora, pero que en la práctica no sirven para nada porque las coberturas que ofrecen cubren situaciones que son casi imposible que sucedan.

Los certificados de dominio gratuitos son la mejor alternativa, pero puedes optar por un EV si quieres mejorar la apariencia de seguridad de tu sitio WEB

Resumiendo, dado que Google a decido poner «No seguro» y eso puede hacer recelar a quién no entiende como funcionan los certificados, lo más recomendable parece instalar un certificado gratuito de dominio del que ya disponen muchos proveedores de hospedaje.

Si quieres que, por prestigio o para aumentar la confianza de los usuarios, aparezca la barra verde con el nombre de tu empresa, puedes instalar un certificado EV, pero piensa que además del coste tendrás que pasar el proceso de validación cada vez que renueves el certificado (uno o dos años como máximo).

 

¿Qué diferencias hay entre certificados EV de distintos emisores?

La respuesta rápida es: El precio.

Aparte del precio la única diferencia son las coberturas de los seguros y tal vez el soporte que te ofrecen a la hora de verificar la titularidad, pero, como decía antes, los seguros nunca se usan y a efectos prácticos todos los certificados SSL EV funcionan exactamente igual, el usuario final no ve ninguna diferencia.

Si decides pagar por un certificado EV, no hay diferencias significativas entre distintos emisores, por eso, la mejor opción es comprar el más barato

Hace unos años algunos certificados fallaban en algunos navegadores o dispositivos, pero el cambio a SHA-256 en 2016 hizo que el soporte fuera el mismo, ya no existen certificados SSL que funcionen en dispositivos obsoletos, por lo que técnicamente de igual uno que otro.

Los precios de estos certificados varían mucho de unas a otras empresas, estos son los más populares en el momento de escribir esta entrada:

Certificado Precio
Comodo PositiveSSL EV 149€
Godaddy SSL EV Premium 188€
Comodo EV SSL 249€
GeoTrust TrueBusinessID EV 307€
Thawte Web Server EV 344€
*Symantec Secure Site EV 895€
*Symantec Secure Site PRO EV 1299€

*Los certificados de Symantec son los que antes se llamaban VeriSign.

Como puede verse hay diferencias de precio entre unos y otros de más de 8 veces, que es la misma diferencia que hay entre comprarse un utilitario y un deportivo de altas prestaciones, sólo que en este caso es como si te compras un Citröen C1 y le pones la etiqueta de un Posche Cayenne, porque a efectos prácticos todos los certificados EV tienen exactamente las mismas prestaciones.

Claro que aquí las diferencias no van de 10K a 87K EUR, pero es la misma proporción y no existe un motivo convincente para pagar más por lo mismo, por eso mi consejo es que si decides pagar por un certificado SSL EV, compres el más barato.

Deja un comentario

Tu dirección de correo electrónico no será publicada.