Cada navegador web moderno muestra el uso de la conexión cifrada HTTPS en la barra de dirección e indica si el certificado SSL de la página web es inválido.
Presta atención a la barra de dirección de tu navegador web
Las siguientes capturas de pantalla muestran el navegador Internet Explorer mientras se accede a la página web de dos bancos diferentes:
- Al solicitar el primer dominio, santander.co.uk, el usuario accede al URL http://www.santander.co.uk/uk/index – una conexión sin cifrar.
- Al solicitar el segundo dominio, db.com, el usuario accede al URL https://www.db.com/index_e.htm – una conexión cifrada.
Ejemplo de un certificado SSL inválido en el navegador web Chrome
Para ambos dominios web en la siguiente captura de pantalla, el certificado SSL no es válido y el navegador web Chrome muestra lo siguiente:
¿Por qué los dos certificados SSL son inválidos y por lo tanto crean una conexión sin cifrar?
- Marcado en rojo: un certificado SSL autofirmado cuya identidad no puede ser comprobada.
- Marcado en amarillo: Un certificado SSL emitido por un AC (Autoridad de Certificación) cuya identidad es comprobada. Sin embargo, no todos los recursos son cargados sobre una conexión certificada, lo que significa que existe un riesgo de seguridad potencial y el navegador web no valida el certificado.
Atención: Porqué un certificado SSL válido es importante
Al utilizar un certificado SSL podrás ser capaz de establecer una conexión cifrada HTTPS. Esto es solamente seguro si el certificado SSL en uso valida el 100% de la página web. Sin el cifrado, todos los datos enviados y recibidos por tu página web pueden ser accedidos en su totalidad en su camino a través de Internet y terceros pueden ser capaces de modificar los datos en tránsito.
Además, HTTPS es un factor de posicionamiento para Google. En caso de un certificado inválido, no recibirás un impulso en el posicionamiento de tu página web.
Con la comprobación gratuita de certificados por parte de globalsign.ssllabs.com, podrás obtener una idea sobre el certificado SSL de un dominio.
Ejemplo de un certificado fiable:
Ejemplo de un certificado inseguro:
Los problemas de los certificados SSL – porqué pueden no ser validados
Las siguientes circunstancias pueden causar que un navegador web no valide un certificado SSL y lo considere inseguro:
- Certificado autofirmado
- Sin certificado de raíz conocida (no reconocido por la Certification Authority (Autoridad de Certificación))
- El certificado expiró
- El dominio accedido no coincide con el rango válido del dominio registrado en el certificado
- La página web contiene recursos sin cifrar, los cuales, por ejemplo, son cargados por páginas web de terceros sin soporte HTTPS
- El soporte para la indicación de nombre del servidor (SIN, en inglés) no se encuentra en el certificado
- Una versión antigua del protocolo debido al uso de una versión antigua de OpenSSL. ¡Siempre utiliza la librería TLS más reciente!
- SSL v2 es inseguro y no debería ser utilizado
- SSL v3 y TLS v1.0 son muy usados, sin embargo, su seguridad está siendo cuestionada
- TLS v1.1 y v1.2 son los estándares más nuevos y seguros
- La longitud de la clave es menor a 2048 bit
Vídeo explicativo: ¿Qué es el SSL?
Este vídeo te explica los conceptos básicos de SSL, los cuales siempre es bueno saber y cómo funciona el cifrado.
Información adicional sobre este tema
- Mejores Prácticas de implementación del SSL/TLS: PDF
- Comprobación del servidor SSL con las pruebas SSL-Labs de Qualys