¿Qué es la encriptación SSL y qué papel juega en el SEO?

de_DEit_IT

Si proporcionas tu sitio web con encriptación SSL, es posible enviar datos desde los navegadores de tus visitantes a tus servidores a través de una conexión segura.

SSL significa Secure Sockets Layer y se ha convertido en sinónimo de cifrado de flujos de datos Online. El formato original SSL ya no se utiliza. Ha sido reemplazado por el nuevo y más seguro Transport Layer Security Standar.

Esta es una conexión segura a través del protocolo HTTPS. Al igual que el protocolo HTTP, se trata de un protocolo de comunicación para la transferencia de datos en internet. La diferencia entre HTTPS y HTTP es la transmisión cifrada y a prueba de escuchas de datos a través de TLS.

Recuerda: HTTPS = HTTP + SSL/TLS

En agosto de 2014 Google comenzó a determinar HTTPS como un factor de ranking. Si un sitio web se basa ahora exclusivamente en el protocolo HTTPS, puede recibir una pequeña bonificación en los rankings de Google. Esto significa: HTTPS es sólo un factor de ranking débilmente ponderado.

Además de lo ya mencionado, Google también ha anunciado que desembalará un cartucho en forma de Google Chrome en 2017. A partir de la versión 56 del popular navegador, que se espera que salga a la venta en enero de 2017, Google tiene previsto mostrar un “No seguro” al principio de la línea del navegador para todas las conexiones HTTP.

¿Por qué debería encriptar mi sitio web?

Sin encriptación, todos los datos a transmitir pueden ser visualizados en texto en internet y ser manipulados o modificados por terceros.

Esto es especialmente un problema cuando se transfieren datos sensibles a un sitio web. Estos pueden ser los datos de la tarjeta de crédito en una tienda web, el nombre de usuario y la contraseña en un proveedor de correo electrónico o foro y los mensajes personales en una red social, que sólo se refieren a una persona determinada.

Si decidieras enviar el mensaje “Hola mundo” a través de una conexión no cifrada, se podría leer este paquete de datos en el camino de mi navegador al servidor y encontrar “Hola mundo” en forma de texto.

Si utilizas una conexión cifrada, se podría mostrar el mensaje “Hola mundo”, por ejemplo como “ChRryvbo7r1iaedkdDHEwmp1qYewD+vcoxW39n0yD6g=“.

Sólo el servidor con el que he establecido una conexión cifrada tiene la información necesaria para convertir el “ChRryvbo7r1iaedkdDHEwmp1qYewD+vcoxW39n0yD6g=” de nuevo en un “Hola Mundo”.

¿Cómo funciona el cifrado SSL?

Para que un navegador pueda establecer una conexión cifrada con un servidor (un dominio), el navegador debe saber si el servidor también pertenece al dominio para el que afirma ser. Para ello se utilizan certificados SSL.

Qué es un certificado SSL

Un certificado SSL es un método para verificar la autenticidad de un sitio web. Para ello, un sitio web debe solicitar un certificado a un organismo de certificación acreditado.

Estos organismos de certificación se denominan Autoridades de Certificación, o CA para abreviar, y solicitan una gama de información al solicitante. La cantidad de información requerida depende del alcance del certificado que se va a emitir.

Una vez verificado el dominio, la clave pública también se almacena en la CA. Esta clave criptográfica entonces encripta los mensajes. Para cambiar el mensaje a su estado original, se requiere otra clave, la clave privada. Esta clave privada sólo se instala permanentemente en el servidor verificado y puede descifrar los mensajes.

Lo importante es que un mensaje codificado con una clave pública no pueda decodificarse con la misma clave pública. Por lo tanto, las instrucciones sobre cómo encriptar un mensaje pueden estar disponibles gratuitamente, mientras que la única manera de desencriptar el mensaje encriptado puede mantenerse bajo llave.

Las claves tienen diferentes longitudes y hoy en día se debe utilizar al menos una clave con 256 bits. Sin embargo, incluso llaves más grandes son mejores.

¿Qué diferentes certificados SSL están disponibles?

Se distingue entre tres niveles diferentes de certificación, con diferentes niveles de confianza. La validación de dominio (Domain Validation o DV), una validación organizacional (Organizational Validation o OV) y una validación extendida (Extended Validation o EV).

La validación de dominio

Un certificado DV tiene el nivel más bajo de confianza y sólo valida el nombre de dominio. Puedo probar que una solicitud de domain.de proviene realmente del domain.de, pero no se solicita más información. Este tipo de certificado también se conoce como certificado de baja seguridad.

La validación organizacional

Para obtener un certificado VO, no sólo se comprueba si eres el titular de un dominio, sino que también se comprueba la información sobre tu identidad y dirección. En este caso, una empresa no sólo debe probar que es propietaria del dominio, sino también que es la empresa nombrada y confirmar su ubicación. Este tipo de certificado también se conoce como certificado de alta seguridad.

La validación extendida

Para obtener un certificado EV no sólo tiene que demostrar que existe una empresa en la ubicación específica que posee el dominio deseado. Este certificado se comprueba activamente para ver si es una organización registrada que tiene una cuenta activa con la que puede participar en transacciones comerciales activas. Además, la dirección y el número de teléfono se utilizan para verificar si la empresa es sólo una empresa ficticia y, por último, también se verifica a las personas que solicitan el certificado EV.

Estos certificados son los más completos y caros, pero también ofrecen al usuario la mayor seguridad posible. Además, los navegadores modernos muestran el nombre de la organización junto a la barra del navegador para este tipo de certificado; en los navegadores Microsoft Internet Explorer y Edge, la línea de dirección completa también aparece resaltada en verde.

¿En qué medida pueden utilizarse los certificados?

La mayoría de los tipos de validación se pueden crear para un solo nombre (también llamado Single Name Certificate), para un dominio completo (incluyendo todos los subdominios, también llamado Wildcard Certificate) o para varios dominios simultáneamente (también llamado Multi-Domain Certificate).

Single Name Certificate

Con este certificado de nombre, sólo se verifica el host específico. Por lo tanto, un certificado para www.domain.de sólo es válido para el host www. Por ejemplo, si hubiera un subdominio shop.domain.de, no se beneficiaría del certificado del host www.

Wildcard Certificate

El certificado comodín (*) permite al operador de un sitio web obtener la certificación para todos los subdominios de un dominio simultáneamente. Con un certificado para *.domain.de tanto el host www.domain.de, shop.domain.de y blog.domain.de serían validados.

Importante: Un certificado Wildcard no se puede utilizar junto con Extended Validation. Sólo los certificados DV y OV pueden ser certificados comodín.

Multi-Domain Certificate

Con el certificado multidominio se puede verificar varios dominios y combinarlos bajo un mismo certificado. Con este tipo podríamos validar los dominios www.domain.de y www.domain.com juntos. Se puede utilizar un certificado multidominio junto con Extended Validation, pero los hosts individuales deben estar definidos explícitamente.

¿Qué certificado necesito?

Para tu blog o tu sitio web personal, un Single Name Certificate puede ser suficiente para asegurar las contraseñas para la opción de comentarios. Lo mismo se aplica, por ejemplo, a los foros y los inicios de sesión allí.

Para el sitio web de su empresa ofrecemos un Certificado de Validación Organizacional, para que puedaa dar a tus visitantes la sensación de que el sitio web no sólo lleva el nombre de su empresa, sino que también puede ser asignado a ella. La necesidad de un Wildcard Certificate depende de si se utilizan varios nombres de host o no.

Para todas las aplicaciones en las que se transmiten datos sensibles del usuario, como datos personales, bancarios o de tarjetas de crédito (es decir, siempre que vendas algo a través de tu sitio web), debe invertir en un Extended Validation Certificate. Esto no sólo protege los datos del usuario, sino que también le da al usuario confianza adicional a través de la línea verde del navegador.

Conclusión

Cada operador de sitio web puede decidir por sí mismo cuán importante es la comunicación encriptada para su propio sitio web. Para una función de blog sin comentarios no sería necesario, desde el punto de vista de la seguridad cifrar los datos del usuario mediante un certificado SSL. Sin embargo, si gestiona el CMS de su blog a través de una interfaz web (por ejemplo, WordPress), entonces se debería pensar en encriptar la conexión al menos a través de un Single Name Certificate sólo por sus propios datos de inicio de sesión.

Tan pronto como entre en el campo del comercio electrónico, debe asegurarse de que todas las páginas necesarias que transmiten datos sensibles estén encriptadas.

Además, un candado verde, delante de la línea del navegador o incluso el nombre verde de la empresa (en el caso de un certificado EV), puede aumentar la confianza del usuario en el sitio. El anuncio de Google de clasificar las conexiones HTTP no cifradas en el navegador Chrome como “no seguras” sugiere lo mismo.

Con todas las ventajas que ofrece el cifrado HTTPS de tu propio sitio web, también hay puntos que deben tenerse en cuenta e incluirse antes de la conversión, así como los que deben tenerse en cuenta después de la conversión.

 

Artículos relacionados