Certificado SSL gratuito con Let's Encrypt

El cifrado de datos en Internet es imprescindible para evitar que terceros intercepten o modifiquen la comunicación. Sin una criptografía eficaz, los servidores transmiten todo tipo de información en lo que se denomina texto claro como caracteres digitales, que cualquier nodo intermedio puede almacenar, leer y manipular. Es indispensable proteger toda comunicación mediante procedimientos oficiales - ya sea con certificados SSL de pago o gratuitos, como los de Let's Encrypt, para impedir el espionaje.

¿Qué son los certificados SSL y para qué sirven?

Requisito para un cifrado eficaz es que al menos un punto final - por ejemplo, un sitio web - se identifique de forma inequívoca con su identidad. A continuación comienza un intercambio de varias claves, que Let's Encrypt al igual que todos los demás procedimientos utiliza para comunicaciones seguras bi- o multilaterales. Se trata de un llamado cifrado asimétrico - el cifrado de la información se realiza mediante una clave de conocimiento público. Sin embargo, la conversión de nuevo a texto claro requiere un código completamente independiente, secreto y privado, que también es generado por proveedores como Let's Encrypt y que se encuentra exclusivamente en poder del titular.

Este procedimiento ofrece varias ventajas que se consideran la base para una seguridad TI eficiente. Entre ellas se incluyen:

• Posibilidad de cambiar entre algoritmos de cifrado en cualquier momento
• Intercambio seguro de claves entre dos entidades desconocidas
• La seguridad no se ve afectada por la transferencia a través de conexiones inseguras
• Compatibilidad garantizada entre el tráfico de red cifrado y el abierto
• Distribución sencilla para una difusión amplia y de cobertura
• Identificación inequívoca de los participantes por parte de proveedores como Let's Encrypt

Los certificados SSL comerciales o gratuitos, legitimados por instancias oficiales - ya sean de Let's Encrypt u otros proveedores - utilizan una cadena de firmas para identificar de forma inequívoca y segura a una entidad.

¿Qué hay detrás del certificado SSL gratuito de Let's Encrypt?

Hasta la segunda década del siglo XXI no existía un proveedor como Let's Encrypt que ofreciera certificados SSL gratuitos, por ejemplo para sitios web. Aunque estos se pueden generar sin problemas con la herramienta OpenSSL, dicho procedimiento pierde ventajas como la identificación inequívoca del punto final. Por ese motivo, navegadores como Firefox, Safari, Microsoft Edge o Google Chrome y otras alternativas consideran ese tipo de certificados SSL gratuitos como no fiables y los rechazan mostrando el correspondiente mensaje de error. Este enfoque proviene de una iniciativa impulsada por Google cuyo objetivo fue aumentar notablemente la seguridad en Internet. Para convertirla indirectamente en estándar, el buscador anunció desde aproximadamente 2015 de forma pública que tendría en cuenta de forma positiva en el posicionamiento la cifrado mediante HTTPS y que más adelante penalizaría su ausencia degradando el ranking.

En el marco de esta transición de una conexión abierta a una protegida mediante certificados SSL gratuitos, se creó la autoridad de certificación sin ánimo de lucro Let's Encrypt, a la que, además de Google, otras grandes empresas como Microsoft contribuyen mediante donaciones.

¿Cómo funciona el cifrado SSL gratuito de Let's Encrypt?

Let's Encrypt permite emitir certificados SSL gratuitos para sitios web siempre que el solicitante pueda autenticarse mediante determinados procedimientos. Para ello, Let's Encrypt utiliza básicamente dos métodos distintos: el responsable de un sitio web puede dejar una entrada especial en el Sistema de Nombres de Dominio (DNS) que contenga un código criptográfico. Si esto no es posible, existen alternativas que funcionan igual de bien tanto para un hosting web sencillo como para servidores dedicados. En ese caso, el usuario o un script crea una página web especial, diseñada exclusivamente para Let's Encrypt, en una ruta oculta; si ésta puede ser leída y accedida, se considera una prueba segura de que la presencia en Internet está bajo el control del solicitante.

¿Cuáles son las alternativas a Let's Encrypt?

La gran popularidad de Let's Encrypt se debe sobre todo a que el proveedor ofrece certificados SSL gratuitos en cuestión de minutos y con un bajo esfuerzo de tiempo, coste e información. Se trata de una autoridad certificadora autorizada que acredita sus credenciales de forma oficial mediante su propia legitimación emitida por los órganos superiores. Existen numerosas alternativas comerciales a Let's Encrypt, como GigiCert, GeoTrust, Thawte, Comodo o RapidSSL —más información en nuestra Comparativa de certificados SSL. A su vez, ofrecen diversas ventajas, como un periodo de validez más largo, la visualización del titular o una indicación en el navegador considerada especialmente segura. No obstante, todas estas alternativas a Let's Encrypt son de pago y, especialmente en uso comercial, pueden suponer costes anuales elevados de hasta tres cifras en euros.

¿Por qué es necesario el cifrado SSL, ya sea de pago o gratuito?

El cifrado SSL en un sitio web propio garantiza que todos los datos entre el servidor y el dispositivo del visitante del sitio web se transmitan de forma cifrada. El objetivo del cifrado es asegurar la confidencialidad e integridad de toda la comunicación entre el servidor y el visitante del sitio web. De este modo, los datos transmitidos no pueden ser interceptados por terceros no autorizados. Así se pueden prevenir eficazmente los llamados ataques man-in-the-middle y los ataques de phishing. Especialmente la transmisión de datos sensibles, como información personal, datos de pago o datos de dirección en las compras online o en la banca online, debería realizarse exclusivamente a través de conexiones cifradas.

Pero hoy en día existen muchas más razones para optar por el cifrado SSL en un sitio web propio:

Con la entrada en vigor del RGPD (Reglamento General de Protección de Datos) en mayo de 2018, el legislador exige una protección exhaustiva de los datos personales en Internet. Esto incluye direcciones de correo electrónico e incluso direcciones IP, por lo que el uso de cifrado SSL se recomienda no solo para tiendas online y servicios web, sino prácticamente para cualquier tipo de sitio web.

Otro motivo para los administradores web para optar por conexiones cifradas es el gigante de los buscadores, Google. Este ya ha declarado en varias ocasiones que los sitios web cifrados con SSL obtienen una ventaja en el posicionamiento en los resultados de búsqueda. ¿Y quién no querría que su sitio web aparezca más arriba? Además, los sitios web no cifrados llevan ya un tiempo siendo marcados como inseguros en el navegador Chrome de Google, lo que los visitantes podrían percibir como una señal negativa de falta de confianza.

Una conexión cifrada se reconoce por el protocolo https (Hypertext Transfer Protocol Secure), que se muestra delante del nombre de dominio en el navegador. A diferencia del protocolo normal http (Hypertext Transfer Protocol), en la variante segura los datos transmitidos se cifran mediante SSL/TLS.

Usar Let’s Encrypt como certificado SSL gratuito

Durante mucho tiempo, los certificados SSL solo se podían obtener pagando al proveedor de hosting web. Pero eso cambió con la introducción de los certificados SSL gratuitos de Let’s Encrypt. Detrás de Let’s Encrypt está un consorcio sin ánimo de lucro que trabaja por un Internet más seguro a nivel mundial y que pretende ahorrar a los responsables de sitios web el coste de los certificados SSL. Entre los principales patrocinadores del proyecto se encuentran, entre otros, actores destacados del sector como la Electronic Frontier Foundation (EFF), la Mozilla Foundation, Google y Cisco Systems; además hay otros colaboradores de renombre como la University of Michigan o la Linux Foundation.

El objetivo de Let’s Encrypt es impulsar el uso mundial de certificados SSL y hacerlo de forma gratuita. Para ello, deben ser gratuitos y fáciles de integrar, renovarse automáticamente sin apenas esfuerzo y garantizar siempre la mejor protección de los datos transmitidos.

Configurar el cifrado SSL gratuito con Let’s Encrypt

La configuración práctica de los certificados SSL de Let’s Encrypt suele ser muy sencilla para los responsables de sitios web, ya que muchos proveedores de hosting web alemanes ya han integrado este servicio en sus ofertas de hosting web. La activación puede realizarse fácilmente desde la interfaz de administración. Tras solicitar el certificado, el propio sitio web estará accesible por https en pocos minutos. Para garantizar la plena funcionalidad del sitio, el administrador solo tiene que cambiar en el backend todas las URL del antiguo estándar http al nuevo estándar https.

Un cifrado SSL gratuito con Let’s Encrypt es adecuado para prácticamente todos los sitios web. En cuanto a seguridad, los certificados gratuitos no tienen nada que envidiar a las ofertas de pago de otros proveedores. Solo los responsables de sitios web que necesiten funciones adicionales específicas, como la validación de organización con verificación de identidad (Organizational Validation) o la Validación Extendida con «barra de direcciones verde» (Extended Validation), deberán buscar certificados SSL de pago en certificados SSL.

La activación de un cifrado SSL para el propio sitio web es posible gracias a los certificados SSL de Let’s Encrypt de forma gratuita y sin grandes esfuerzos para cualquier administrador. Debido a los estrictos requisitos legales, a las ventajas promovidas por el gigante de los motores de búsqueda Google y a la mayor seguridad de los datos personales de los visitantes, existen múltiples razones para migrar el sitio a SSL cuanto antes.

Foto: servicio de cerrajería en Pixabay