¿Qué es un certificado SSL de servidor? Lo aclaramos

Un certificado de servidor SSL es la base para el cifrado de un sitio web por parte del responsable. No solo protege la comunicación, sino que además garantiza la autenticación segura de un sitio web. Así evita tanto la interceptación no autorizada de información como la suplantación de identidad, una práctica habitual en los llamados ataques de phishing. Para el visitante de un sitio web, un certificado de servidor SSL no supone ningún cambio, pero sí ofrece un alto nivel de seguridad.

El certificado de servidor SSL se considera hoy en día un estándar para un Internet seguro

Durante mucho tiempo, los responsables de sitios web concedieron relativamente poca importancia al cifrado de los mismos, salvo cuando se trataba de datos sensibles como la información de pago. Una de las razones fue el alto coste que durante años supuso un certificado de servidor SSL oficial, que para los particulares no justificaba el beneficio. Incluso grandes proveedores como Facebook utilizaron durante muchos años conexiones sin cifrar, lo que suponía una vulnerabilidad importante en redes Wi‑Fi abiertas. Desde 2014 esta situación ha cambiado radicalmente, en parte debido a la presión de empresas como Google y Microsoft y de los fabricantes de navegadores como Mozilla Firefox. Hoy en día el cifrado se considera un factor importante de posicionamiento y, desde aproximadamente 2017, los navegadores advierten de manera contundente sobre sitios web sin un certificado de servidor SSL válido.

¿Cómo está estructurado un certificado SSL de servidor?

Un certificado SSL de servidor puede almacenar su información en formato binario o de texto. Consta de uno o varios archivos que incluyen tanto el propio certificado como la clave pública y la clave privada. Entre los datos de un certificado se encuentran, entre otros:

• Número de serie único e individual
• Titular del certificado, por ejemplo el nombre de la empresa
• Dominio certificado (URL)
• Período de validez
• Información técnica sobre los algoritmos utilizados
• Emisor (CA)
• Firma de la autoridad certificadora
• Huella digital
• Clave pública

Estos datos se envían primero al navegador al visitar el sitio, para que pueda verificar el certificado SSL de servidor y confirmar su autenticidad. Además, con ayuda de la clave pública establece una primera conexión segura y, con la contraparte, intercambia una clave de sesión generada aleatoriamente. Un certificado SSL de servidor incluye asimismo una clave privada estrictamente confidencial, que a veces se guarda en un archivo separado con la extensión .key. Esta es la contraparte de la clave pública y nunca debe publicarse ni almacenarse en un directorio de acceso público.

Diferentes proveedores y el certificado Wildcard

Para autenticar de forma inequívoca al titular de un certificado, este debe ser emitido por una autoridad de certificación oficial (Certification Authority, CA). Al expedirlo, la CA comprueba que el solicitante es propietario del sitio web o que tiene acceso sin restricciones al servidor utilizado. Hasta 2015 este proceso se realizaba de forma manual y, por tanto, era lento y costoso. Para establecer la encriptación en Internet como estándar, desde entonces la autoridad de certificación sin ánimo de lucro Let's Encrypt ofrece un certificado SSL de servidor gratuito para responsables de sitios web. Desde 2018 también incluye un certificado Wildcard (comodín), que abarca varios subdominios que de otro modo necesitarían un certificado SSL de servidor individual. En un comparador de certificados SSL Let's Encrypt suele ocupar uno de los primeros puestos debido a su oferta gratuita.

Posibles inconvenientes y alternativas

En Internet, HTTPS en combinación con un certificado SSL de servidor se ha impuesto por su facilidad de uso para el visitante y por su seguridad. Las alternativas solo pueden implementarse con gran esfuerzo y requiriendo los conocimientos técnicos adecuados. En la práctica, el procedimiento presenta muy pocos inconvenientes: el cifrado aumenta ligeramente el consumo de recursos en ambas partes. Corresponde a cada autoridad de certificación verificar a sus clientes de distintas maneras. Proveedores gratuitos como Lets Encrypt ofrecen en este contexto, debido al elevado esfuerzo que supondría otra cosa, solo una verificación técnica del responsable, por ejemplo mediante el servidor DNS o la propia web, pero no una certificación general de empresas. Este servicio solo lo ofrecen proveedores comerciales, cuyos costes pueden consultarse en una comparativa de certificados SSL.

Imagen: typographyimages - pixabay.com