El origen de SSL se remonta a los primeros días de la Internet pública. Cuando la World Wide Web (la “web”) entró por primera vez en el dominio público a principios de la década de 1990, la información que se enviaba y recibía a través de este canal digital emergente se transfería como “texto sin formato”, sin ningún cifrado de seguridad real. Pronto se hizo evidente que la transmisión de información no segura representaba una clara amenaza para los usuarios. En respuesta, en el año 1995, Netscape desarrolló y lanzó el protocolo de capa de sockets seguros.

SSL se convirtió rápidamente en el estándar de seguridad de los sitios web y las transacciones a través de Internet. Sin embargo, con el tiempo se descubrieron vulnerabilidades de seguridad en el protocolo SSL. Para solucionarlo, en 1999 se lanzó una versión mejorada del protocolo SSL: la seguridad de la capa de transporte (TLS).

Si bien SSL tuvo un rol fundamental en el avance del cifrado y la autenticación de datos en Internet, sus vulnerabilidades eran demasiado amplias para abordarlas a través de versiones posteriores. En su lugar, en 1999 se lanzó TLS. Partiendo de las bases establecidas por SSL, TLS se diseñó para proteger la comunicación de una forma similar en términos de cifrado y autenticación, pero con características de seguridad mejoradas, algoritmos de cifrado más potentes y una mayor protección contra las vulnerabilidades que plagaban a SSL.

Entre las diferencias clave entre SSL y TLS se encuentran las siguientes: 

• TLS incorpora algoritmos criptográficos más avanzados para establecer un método seguro para gestionar la autenticación y el intercambio de datos.
• Aunque es más seguro que SSL, TLS constituye en realidad un proceso de autenticación de datos menos complejo, lo que permite que la conexión digital sea más rápida.
  
• TLS admite paquetes de cifrado más sólidos y seguros, lo que mejora el cifrado de los datos. 

Si bien SSL fue pionero en su época, TLS representa la evolución moderna y más segura de los protocolos criptográficos que se utilizan para proteger la comunicación en Internet. En la actualidad, TLS es el estándar de transmisión segura de datos para garantizar una experiencia en línea más segura, tanto para los usuarios como para las empresas. A pesar de esto, el gran avance en la seguridad de los sitios web que representó SSL perdura en la terminología. Incluso hoy en día, más de 20 años después del lanzamiento inicial de TLS, el término SSL todavía se usa con asiduidad para describir los protocolos de Internet modernos. Por motivos de coherencia, en este documento utilizaremos principalmente el término SSL para referirnos tanto a SSL como a TLS; solo debes recordar que las comunicaciones modernas a través de Internet utilizan, casi de forma exclusiva, TLS. 

Un certificado SSL es una credencial digital que tiene un rol fundamental en el establecimiento de conexiones seguras a través de Internet, que sirve como indicador de confianza y que garantiza el cifrado y la autenticación de los datos durante las interacciones en línea. Los certificados SSL, que toman la forma de pequeños archivos de datos, vinculan una clave criptográfica con los detalles de una organización. Cuando se instalan en un servidor web, cifran la información del protocolo de transferencia de hipertexto (HTTP), lo que habilita el protocolo seguro de transferencia de hipertexto (HTTPS) y garantiza conexiones seguras entre el servidor y un navegador. Las conexiones HTTPS se representan en las barras de direcciones del navegador web mediante el icono de un candado y las letras “https” antes de la URL del sitio web.

Información que contiene un certificado SSL

Un certificado SSL facilita el cifrado, el descifrado y la verificación eficaces y en tiempo real de la información digital que se transmite a través de Internet. Para lograrlo, el certificado SSL contiene elementos cruciales que se utilizan para establecer la autenticidad del sitio web y permitir el intercambio seguro de datos entre usuarios y servidores. Esta información incluye lo siguiente:

• Nombre de dominio 
  El certificado SSL está vinculado a un nombre de dominio específico que identifica el sitio web para el que se emite. El nombre de dominio garantiza que el certificado solo sea válido para el sitio web designado y que no se pueda usar de forma maliciosa en otros dominios.
• Autoridad de certificación 
  La autoridad de certificación (CA) es la entidad responsable de emitir y firmar digitalmente el certificado SSL. Las autoridades de certificación son organizaciones de terceros de confianza que validan la identidad del propietario del sitio web y confirman la propiedad del dominio.
• Firma digital 
  Para garantizar la integridad y autenticidad del certificado SSL, la autoridad de certificación adjunta una firma digital al certificado. Esta firma digital es un sello criptográfico que confirma el origen y la validez del certificado 
  
• Fecha de emisión 
  El certificado SSL incluye una fecha de emisión que indica cuándo lo emitió la autoridad de certificación. Esta información es relevante para rastrear el periodo de validez del certificado.
• Fecha de vencimiento 
  Los certificados SSL tienen un período de validez finito, que suele oscilar entre unos meses y varios años. La fecha de vencimiento del certificado especifica cuándo dejará de ser válido. Después de esa fecha, el certificado debe renovarse o reemplazarse para que las conexiones continúen siendo seguras.
• Clave pública 
  La clave pública es un componente esencial del certificado SSL. Esta clave se utiliza para cifrar los datos durante el protocolo de enlace de SSL y establecer una conexión segura entre el navegador del usuario y el servidor web.
• Versión de SSL 
  El certificado SSL indica la versión del protocolo que admite el sitio web. De esta manera, se garantiza la compatibilidad entre el navegador y el servidor web, lo que proporciona un canal de comunicación seguro con los algoritmos de cifrado adecuados. 

La certificación SSL implica una serie de pasos que establecen una conexión segura y cifrada entre un servidor web y el navegador de un usuario. En este proceso, que generalmente se conoce como “protocolo de enlace” de SSL, ambas partes intercambian información para reconocerse y verificarse mutuamente, acordar una versión del protocolo y, por último, establecer los algoritmos criptográficos que se usarán para comunicarse. Los pasos específicos de este proceso pueden variar dependiendo del algoritmo que se utilice, pero cada protocolo de enlace de SSL incluirá alguna variación de las siguientes etapas:

1. Solicitud del cliente

El protocolo de enlace de SSL comienza cuando un usuario intenta acceder a un sitio web protegido con TLS. El navegador del usuario envía una solicitud de conexión al servidor web.

2. Configuración del servidor

Al recibir la solicitud, el servidor web devuelve su certificado TLS al navegador del usuario. Este certificado contiene la clave pública del servidor, los detalles de la organización y la firma digital de una autoridad de certificación de confianza.

3. Verificación del certificado

El navegador del usuario verifica la autenticidad del certificado SSL. Verifica la firma digital usando el certificado raíz de la autoridad de certificación que hay incrustado en el navegador. Si el certificado es válido y fue emitido por una autoridad de certificación de confianza, el proceso de verificación continúa.

4. Generación de las claves de sesión

A continuación, el navegador genera las claves de sesión, un par único y simétrico de claves de cifrado que se llaman “clave pública” y “clave privada”. La clave pública se utiliza para verificar las firmas digitales, mientras que la clave privada descifra el resto de los datos de la sesión. Estas claves se vuelven a generar para cada sesión nueva.

5. Establecimiento de una conexión segura

El navegador envía la clave de sesión cifrada con la clave pública del servidor al servidor web.

6. Comunicación cifrada

Una vez que se ha compartido la clave de sesión, tanto el navegador del usuario como el servidor web la utilizan para cifrar y descifrar los datos que se transmiten durante la sesión. De esta manera, si un atacante malintencionado intercepta los datos, estos seguirán siendo ininteligibles.

7. Cierre de la sesión

Cuando el usuario termina de interactuar con el sitio web, la sesión SSL finaliza y las claves de sesión se desechan.

No hay que mirar muy lejos para ver el daño que se puede hacer cuando los datos personales o empresariales se ven comprometidos. SSL proporciona una línea de defensa esencial en torno a la información que se intercambia a través de las redes digitales, por lo que es fundamental para garantizar la seguridad y la confianza en línea. Al cifrar los datos y verificar la autenticidad de los sitios web, los certificados SSL ofrecen varias ventajas de gran magnitud:

Mejora de la protección de los datos privados

La certificación SSL ayuda a proteger la información confidencial que intercambian los usuarios y los servidores web. Cuando la información se transmite a través de una conexión segura, se cifra, lo que hace casi imposible que atacantes malintencionados intercepten y descifren los datos. Este nivel de protección de datos es vital para poder hacer frente a la constante evolución de las amenazas cibernéticas.

Aumento de la confianza del cliente

Como ya se ha mencionado, los sitios web con certificados SSL contienen indicadores visuales, como el icono del candado y las letras “https” en la barra de direcciones. Estos indicadores revelan que la conexión es segura y aseguran a los usuarios que sus datos estarán protegidos durante las interacciones en línea. Indicadores como estos generan confianza en los clientes y les animan a compartir su información, realizar transacciones e interactuar de mejor grado con el sitio web.

Reducción del riesgo de incumplimiento de las normativas

La certificación SSL suele ser un requisito previo para cumplir los reglamentos de seguridad de datos y los estándares del sector. Por medio de los certificados SSL, los sitios web demuestran su compromiso con la seguridad de los datos y el cumplimiento de los reglamentos pertinentes. Además, esta acción reduce significativamente el riesgo de infringir las leyes de protección de datos y de tener que hacer frente a las sanciones que conllevan dichas leyes, que pueden llegar a ser muy altas.

Mejora de la presencia en Internet

La certificación SSL es uno de los factores que utilizan Google y otros motores de búsqueda para clasificar los resultados de las búsquedas. Los sitios web que tienen los certificados SSL más actualizados tienen más probabilidades de aparecer en las primeras posiciones de las páginas de resultados de los motores de búsqueda, lo que puede aumentar la visibilidad y, por consiguiente, el tráfico. De hecho, Google ni siquiera permite a los usuarios acceder a los sitios web que no tienen una configuración SSL adecuada; en su lugar, los redirige a una página de error en la que se advierte de que el sitio no es seguro. Por este motivo, una certificación SSL adecuada no es solo una mera medida de seguridad, sino que también es un movimiento estratégico que mejora la visibilidad y la competitividad en línea.

Un aspecto crucial de la certificación SSL radica en el rol que desempeñan las autoridades de certificación responsables de validar la autenticidad de los sitios web y emitir los certificados SSL para facilitar el intercambio seguro de datos. Las autoridades de certificación llevan a cabo un proceso de validación exhaustivo para generar confianza entre los usuarios de Internet y garantizar que los propietarios de los sitios web sean genuinos y que sus dominios sean seguros.

Hay tres tipos distintos de certificados SSL, que representan tres niveles de validación:

Certificados con validación de dominio (DV)

Los certificados con validación de dominio ofrecen el nivel más bajo de autenticación de la identidad. Son relativamente fáciles y rápidos de obtener, por lo que son adecuados para cubrir necesidades básicas de cifrado. Sin embargo, la información que proporcionan los certificados con validación de dominio sobre el propietario del sitio web es mínima y, por este motivo, no garantizan a los usuarios la legitimidad del sitio web más allá de la propiedad del dominio.

Certificados con validación de la organización (OV)

Los certificados con validación de la organización proporcionan un mayor nivel de autenticación, ya que las autoridades de certificación llevan a cabo comprobaciones adicionales para verificar la existencia y legitimidad de la organización que está detrás del sitio web. Entre otras cosas, confirman el estado jurídico, la dirección física y los detalles de contacto de la organización. Como resultado, los certificados con validación de la organización mejoran la protección de la marca e inspiran una mayor confianza entre los usuarios.

Certificados con validación extendida (EV)

Los certificados con validación extendida representan el estándar más alto de protección de la identidad y la marca. Para estos certificados SSL, las autoridades de certificación llevan a cabo un exhaustivo proceso de verificación mediante el cual validan la existencia jurídica, la ubicación física y la propiedad de la organización. Los sitios web con certificados con validación extendida muestran una barra de direcciones verde prominente en la mayoría de los navegadores para reflejar la firmeza de su compromiso con la seguridad e inspirar la mayor confianza posible entre los usuarios.

Se dice que lo bueno no dura para siempre, y la verdad es que esto también se aplica a los certificados SSL individuales. El ciclo de vida de los certificados SSL consiste en una serie de etapas cruciales que rigen la creación, la emisión, la gestión y, con el tiempo, el vencimiento o la revocación de los certificados SSL. Este ciclo de vida se puede dividir en las cinco etapas que se indican a continuación:

1. Solicitud del cliente

El ciclo de vida de un certificado SSL comienza cuando el propietario o administrador de un sitio web inicia el proceso para solicitar un certificado. Durante este paso, el solicitante proporciona información esencial sobre el dominio, la organización y los datos de contacto a la autoridad de certificación. Esta información es necesaria para verificar la legitimidad del solicitante y el dominio que desea proteger.

2. Emisión del certificado

Una vez que la autoridad de certificación recibe la solicitud de certificado y valida la información proporcionada, emite el certificado SSL. Este certificado contiene la clave pública y otros datos esenciales que son necesarios para establecer conexiones seguras entre los navegadores de los usuarios y el servidor web.

3. Aprovisionamiento del certificado

Tras la emisión, la autoridad de certificación entrega el certificado SSL al propietario o administrador del sitio web. A continuación, el propietario del sitio web instala el certificado en su servidor web, lo que le permite facilitar una comunicación segura y cifrada.

4. Detección de certificados

A lo largo del ciclo de vida del certificado, es esencial rastrear de cerca todos los certificados que hay instalados en los extremos de una red. El proceso de detección (o “exploración”) permite identificar los certificados que están cerca del final de su ciclo de vida para poder renovarlos.

5. Revocación/renovación del certificado

Puesto que el periodo de validez de los certificados SSL es finito, acaban caducando y deben renovarse. Asimismo, si una clave privada se ve comprometida o si el certificado queda obsoleto, será necesario revocar el certificado. Revocar un certificado significa invalidarlo antes de que venza de forma natural para asegurarse de que no se pueda usar con fines malintencionados.

El certificado SSL es un elemento esencial para las empresas que desean garantizar el cumplimiento de la normativa, proteger su presencia en línea y generar confianza entre los usuarios. El proceso de adquisición de un certificado SSL no es tan complejo como para ser prohibitivo, pero incluye varias etapas importantes que deben tenerse en cuenta antes de que una autoridad de certificación pueda emitir la certificación con seguridad.

Las etapas del proceso de adquisición de un certificado SSL son las siguientes:

1. Elegir un tipo de certificado

El primer paso consiste en determinar el tipo de certificado SSL que se adapte mejor a las necesidades de la organización. En función del nivel de autenticación de la identidad y protección de la marca que se requiera, la organización puede elegir entre certificados con validación de dominio, con validación de la organización y de validación extendida.

2. Seleccionar una autoridad de certificación

A continuación, la organización debe elegir una autoridad de certificación reputada y de confianza para que emita su certificado SSL. El sector cuenta con varias autoridades de certificación de renombre, y todas ofrecen varios tipos de certificados SSL. Es esencial seleccionar una autoridad de certificación que esté en línea con los requisitos de la organización y que cumpla los estándares de seguridad necesarios.

3. Enviar una solicitud de certificado

Una vez seleccionada la autoridad de certificación, la organización debe enviar una solicitud de certificado. Normalmente, en esta solicitud se debe proporcionar información sobre el nombre de dominio, los detalles de la organización y la información de contacto. La autoridad de certificación verifica la información para garantizar la legitimidad del solicitante y del dominio que se quiere proteger.

4. Completar el proceso de validación

Dependiendo del tipo de certificado SSL elegido, la autoridad de certificación puede realizar diferentes niveles de validación. Para los certificados con validación de dominio, el proceso de validación es relativamente sencillo, y se centra principalmente en verificar la propiedad del dominio. Para los certificados con validación de la organización y de validación extendida, se realizan comprobaciones adicionales para validar la existencia jurídica, la dirección física y otros detalles relevantes de la organización.

5. Instalar el certificado

Por último, tras la validación, la autoridad de certificación envía el certificado SSL a la organización junto con la clave privada asociada. A continuación, la organización instala el certificado SSL en su servidor web para permitir conexiones seguras y cifradas.

La certificación SSL es un elemento de protección fundamental para las interacciones en línea, ya que protege los datos confidenciales frente a posibles amenazas. Lamentablemente, a medida que Internet sigue evolucionando, las empresas cada vez tienen más y más certificados, lo que convierte su gestión en un desafío constante. Certificate Management de ServiceNow® aborda ese desafío de manera directa.

Certificate Management es una poderosa herramienta que permite centralizar y coordinar la gestión de certificados en toda la organización. Disponer de un inventario completo de certificados permite a las empresas identificar y rastrear fácilmente todos los certificados SSL a lo largo y ancho de toda la infraestructura. El panel de información de certificados ofrece una vista resumida de todos los certificados, lo que permite comprender su estado con claridad. Además, es posible automatizar la renovación de los certificados para proteger los datos clave (y la reputación de la empresa) frente al riesgo que conllevan el vencimiento o la pérdida de un certificado.

Además, ServiceNow puede automatizar el proceso de renovación de los certificados mediante un flujo de trabajo automatizado para reducir el riesgo de que los servicios se vean afectados.

Despídete del rastreo manual de certificados y de los procesos de renovación complicados. Certificate Management de ServiceNow puede ampliarse de forma sencilla para que puedas gestionar los certificados SSL sin complicaciones y sin perder el ritmo de la evolución digital. ¡Programa una demostración hoy mismo!