Ocultar WP-Admin

¿Es más inseguro un certificado SSL gratuito que uno de pago?

Desde mayo de 2016, Let's Encrypt está disponible como versión completa y ofrece a todos los operadores de sitios web la posibilidad de configurar gratis SSL. Pero, ¿cuál es la diferencia entre un certificado SSL gratuito y uno de pago? Técnicamente nada, pero organizativamente mucho más.

La respuesta más importante desde el principio: No, un certificado SSL gratuito no es más inseguro que uno de pago. Pero, ¿cuál es la diferencia clave? De alguna manera, los certificados SSL gratuitos tienen que ser financiados de forma cruzada. También hay una respuesta rápida a esto: a través del patrocinio. Let's Encrypt muestra cómo funciona el sistema.

La misión de la iniciativa Let's Encrypt puede resumirse así: La comunicación encriptada debería ser un derecho básico en Internet. Porque hasta 2016, los usuarios solían tener que pagar por el cifrado de la comunicación entre el servidor web y el navegador. Por lo tanto, el libre acceso a los certificados no estaba garantizado.

Sin embargo, con Let's Encrypt existe desde el año pasado una nueva autoridad de certificación que emite un certificado SSL gratuito para cada usuario y, por tanto, pone el cifrado a disposición de todos los propietarios de sitios web del mundo. Esto cambia mucho: porque con los certificados gratuitos, las exigencias de HTTPS como nuevo estándar en la web están al alcance de la mano.

Para los operadores de tiendas o empresas, el candado en la línea de dirección siempre ha sido un importante indicador de confianza, aunque sólo sea por razones legales. Pero, en realidad, todos los operadores de sitios web, ya sean blogueros, autónomos o propietarios de tiendas, deberían confiar en la codificación. Porque esto conlleva muchas ventajas, independientemente del coste del certificado. Porque en términos de principios técnicos de encriptación, los tipos de certificados no difieren.

Así que en este artículo, voy a hablar de los beneficios y los fundamentos técnicos de la autenticación y el cifrado SSL.

Un certificado SSL hace que tu sitio sea más seguro y es bueno para Google

En primer lugar, el aspecto de la seguridad es, por supuesto, decisivo en relación con el SSL. Por un lado, un certificado confirma la autenticidad del servidor controlado. Por otro lado, la comunicación entre el servidor web y el cliente, es decir, el navegador, está cifrada. Esto protege la comunicación del acceso y los cambios y, por tanto, hace que los datos personales, como la dirección o la información bancaria, sean inaccesibles.

Un certificado SSL también juega un papel importante para la optimización de los motores de búsqueda. Aunque no se sabe hasta qué punto concreto el SSL es relevante como criterio de clasificación para Google, está demostrado que el HTTPS es una señal de clasificación. Hace dos años, Google anunció que daría un trato preferente a las páginas encriptadas en los resultados de búsqueda y que ampliaría gradualmente esta tendencia.

Además, recientemente se ha sabido que el navegador de Google, Chrome, pronto marcará las páginas no cifradas con un "No es seguro" en la barra de direcciones. Al menos, si las páginas en las que se solicitan las contraseñas o los datos de la tarjeta de crédito no están codificadas. En la conferencia de desarrolladores Google I/O, celebrada en enero de 2016, los desarrolladores de la empresa de seguridad CloudFlare presentaron una captura de pantalla que da un anticipo de lo que Google está planeando.

Por último, pero no menos importante, Google también prefiere HTTPS para el rastreo.

Un certificado SSL gratuito evita que Chrome marque "no es seguro"
Incluso los sitios absolutamente confiables como t3n.de se marcan como inseguros con Google Chrome. En este caso, sin embargo, el marcado no proviene de un sitio inseguro, sino de la configuración de mi navegador al llamar a sitio.

Un certificado SSL hace que el sitio web tu sea más rápido y fiable

HTTPS significa que la comunicación del servidor web con el cliente está cifrada. Sin embargo, esto no significa que el SSL sea un asesino del rendimiento. Todo lo contrario: desde que existe el estándar HTTP/2, las páginas encriptadas se ejecutan mucho más rápido que las no encriptadas. Esto también se aplica a sus versiones móviles. Así que para aquellos que hasta ahora se han abstenido de la codificación por razones de rendimiento, esta preocupación es infundada.

En definitiva, un certificado SSL siempre tiene un efecto psicológico en los visitantes de tus sitio . El símbolo del candado en la barra de direcciones y la buena sensación de la codificación tienen un efecto en las conversiones. Se podría pensar que el cifrado es, por tanto, más relevante para los sistemas de tiendas, proveedores de pagos, etc. A más tardar, desde que Let's Encrypt ofrece certificados SSL gratuitos, los blogueros y otros profesionales de Internet también pueden disfrutar de las ventajas del HTTPS, y sin costes adicionales.

Un certificado SSL gratuito ofrece las mismas ventajas técnicas que un certificado SSL de pago.

Al hablar de las características de seguridad de SSL, primero es importante distinguir entre las Autoridades de Certificación y los propios Certificados SSL.

Una autoridad de certificación (CA) emite certificados y los firma, es decir, confirma su autenticidad. En este proceso, los certificados se depositan en el servidor web. Si un cliente visita ahora un sitio web en este servidor web, este sitio web puede identificarse como el propietario del certificado.

A continuación, el navegador comprueba el certificado almacenado en sitio con el "árbol de certificados" almacenado con él (véase la ilustración siguiente). El llamado certificado raíz está en la parte superior del árbol. Todos los demás certificados y, en última instancia, también los certificados gratuitos de Let's Encrypt se basan en éste. Si el certificado raíz y todos los demás certificados ascendentes son válidos, se establece una conexión cifrada. Las autoridades de certificación son, por tanto, el eje de la validación del dominio. Y la confianza es lo más importante en estos casos.

Tanto si tienes un certificado SSL gratuito como si no, así es como funciona el proceso de verificación del navegador.
Así es como funciona básicamente el proceso de autenticación SSL. Ya sea un certificado SSL gratuito o uno de pago.

A su vez, los certificados sirven para autenticar a los interlocutores de la comunicación -es decir, el servidor web y el navegador- y para iniciar el mecanismo de encriptación propiamente dicho. Garantizan que el servidor web y el navegador reciben las claves públicas y privadas correctas para iniciar la comunicación protegida.

En primer lugar, el servidor se autentifica ante el cliente como titular del certificado. A continuación, se establece un cifrado asimétrico y se intercambian las claves correspondientes. De esta forma, se puede realizar una encriptación simétrica. A partir de este momento, toda la comunicación entre el cliente y el servidor está encriptada.

Las llaves se renuevan regularmente durante toda la comunicación. De este modo, el flujo de datos permanece protegido contra las escuchas y las modificaciones, incluso si un atacante logra hackear una sola vez.

Pero, ¿hasta qué punto es fuerte el cifrado en realidad? Eso depende totalmente de las configuraciones del servidor web del respectivo hoster.

Cadena de confianza de los certificados SSL gratuitos de Let's Encrypt
Esta figura muestra la llamada cadena de confianza de los certificados Let's Encrypt. Puedes ver: Los certificados de Let's Encrypt se basan en los certificados raíz de la autoridad de certificación IdenTrust.

Tanto si tiene un certificado SSL gratuito como si no, la confianza lo es todo

Desde el punto de vista técnico, no hay ninguna diferencia fundamental entre los certificados SSL de pago y los gratuitos. Sin embargo, lo que es muy diferente es la autoridad de certificación. Las opiniones difieren sobre la cuestión de la confianza que se puede depositar en la AC.

Detrás de los organismos de certificación clásicos hay una empresa de mayor o menor éxito económico. El objeto de capital más importante de esta empresa es la confianza de los clientes y del público en su servicio de certificación.

En cambio, Let's Encrypt y su organización matriz, el Grupo de Investigación sobre Seguridad en Internet, no tienen ánimo de lucro, sino que persiguen una misión no lucrativa. Sin embargo, gigantes del sector como Chrome, Facebook, Mozilla y Linux respaldan a Let's Encrypt.

Por tanto, la cuestión de la confianza en el organismo de certificación es hasta cierto punto una cuestión de juicio: ¿es más probable que confíe en la empresa que hace marketing para maximizar la confianza depositada en ella, o en el organismo de certificación sin ánimo de lucro que se basa en la reputación de los líderes del sector que lo apoyan?

Conclusión: apenas hay diferencias técnicas, pero sí organizativas.

Independientemente de si procede de Comodo, Thawte y compañía o de Let's Encrypt: el cifrado SSL aporta muchas ventajas a tus sitio y, por tanto, lo hace más competitivo en general. A nivel técnico, los tipos de certificado apenas difieren: HTTPS es HTTPS. A su vez, la fuerza de encriptación tiene que ver principalmente con la configuración del servidor web.

Si tienes un certificado SSL gratuito, no tienes que preocuparte por las desventajas en comparación con los certificados de pago. Porque el punto de partida más importante para la seguridad de los certificados validados por el dominio es la autoridad de certificación, no el propio certificado. En qué Autoridad de Certificación confías es, de nuevo, una cuestión de discreción. Tanto la iniciativa de código abierto, promovida por los gigantes del sector, como la empresa con ánimo de lucro, cuyo valor corporativo más importante es la confianza de sus clientes, tienen interés en ser considerados lo más fiables posible.

Nosotros, el equipo de Raidboxes, hemos decidido confiar en el proyecto Let's Encrypt. Esto es así porque nos permite trasladar las numerosas ventajas del SSL directamente -y sobre todo gratuitamente- a nuestros/as clientes/as.

¿Te ha gustado el artículo?

Con tu valoración nos ayudas a mejorar aún más nuestro contenido.

Un comentario sobre "¿Es más inseguro un certificado SSL gratuito que uno de pago?"

  1. para usar protocolo TLS 1.3 el emisor del certificado debe tener esta caracteristica instalada o debe ser en el hosting donde lojare la pagina e instalare el certificado?

Escribe un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *.