Desde los años 90, la cantidad de información personal y sensible que compartimos con las webs ha aumentado exponencialmente. Son muchos los usuarios que hacen transacciones financieras por Internet, y que lo utilizan como medio principal de compra. Esto es debido a que las webs incluyeron un protocolo de seguridad conocido como Secure Sockets Layer Protocol (SSL), el cual se actualiza constantemente para ser más seguro.
SSL everywhere
Los certificados SSL son autorizaciones digitales que permiten saber la fuente de la que proviene la información es segura. Estas autorizaciones pueden ser obtenidas por una web o un usuario que utilice información sensible, de manera que la información sea transportada de manera segura entre el servidor y el navegador. Gracias a ellos, un atacante no puede modificar el texto de una web.
El certificado SSL contiene toda la información del servidor. Esta información está completamente cifrada, y la clave para descifrarla viene dentro del mismo certificado. Éste contiene la información sobre quien crea el certificado, el número de serie, fecha de caducidad, y una firma digital que nos asegura quien envía el certificado. Así, el navegador puede saber que la web es real.
En cualquier web en la que entremos que utilice HTTPS, se está utilizando este protocolo SSL. Gracias a él, podemos estar seguro de que estamos utilizando un enlace seguro. HTTPS es una mezcla entre HTTP y SSL. Sitios como Gmail, Hotmail, Amazon, y un larguísimo etcétera lo utilizan. Si requieren una cuenta, necesitarán certificados SSL.
Aunque es de los métodos de cifrado web más seguros, SSL tiene muy de vez en cuando algún fallo de seguridad, pero son muy poco comunes.
TLS, el eterno sucesor
Este sistema de cifrado utiliza la misma vía para cifrar datos, pero es más seguro ya que se hizo pensando en sustituir a SSL. A pesar de ello, apenas está implantado hoy día. Las versiones previas a la 1.3 tenían fallos de seguridad minúsculos que no tenían aplicación en el mundo real. Se utiliza sobre todo en pagos online, y las autoridades invitan a que se utilice cada vez en más webs, con el objetivo de sustituir al SSL.
Let’s Encrypt, gratuito
Symantec lanzó su propio sistema de cifrado en diciembre de 2015. Desde entonces, han mandado ya 5 millones de certificados. Lo bueno de este sistema es que los certificados son gratuitos, al igual que las actualizaciones de seguridad. Chrome, Mozilla o Facebook, entre otros, lo financian.
Si está bien, no lo toques
SSL y TLS están demasiado asentados. Actualizar los certificados tampoco es fácil, ya que muchas webs prefieren utilizar métodos de pago seguros como PayPal antes que actualizar sus propios sistemas de cifrado.
Recordamos que, si la conexión para pagar en una web no es privada, no utilicéis nunca credenciales ni datos bancarios, pues estaréis expuestos a hackers.
El precio de los certificados ha bajado mucho en los últimos años, y países como Estados Unidos ofrecen certificados gratis con actualizaciones de pago, y facilitar que en 2018 todas las webs HTTPS sean 100% seguras.