¿Qué es un certificado de seguridad de un sitio web y por qué debería importarte?
Alguna vez has visto el error, “Hay un problema con el certificado de seguridad de este sitio web.” y se preguntó qué significaba? Explicaré qué es un certificado de seguridad y cómo funciona, para que pueda volver a navegar sin preocuparse..
La seguridad en Internet es bastante compleja, por lo que este artículo ofrece solo una descripción general simple del tema para lectores no técnicos y consejos sobre qué hacer cuando se producen errores de seguridad..
Por qué importan los certificados de seguridad
Cuando accede a un sitio web donde necesita iniciar sesión y administrar una cuenta, es importante que los detalles de su cuenta se mantengan entre usted y su proveedor de servicios, para que su dinero, identidad e información personal se mantengan seguros. Su proveedor de servicios en línea puede ser su banco, una tienda en línea o sitio web de comercio electrónico, PayPal, su correo electrónico o su blog privado..
Cuando acceda a este tipo de sitios web, notará que la URL comienza con un icono de candado y “https: //” en lugar de solo “http: //”.
HTTPS (Protocolo de transferencia de hipertexto seguro) indica que el sitio web está protegido por Secure Socket Layer / Transport Layer Security. Los datos enviados entre usted y el sitio web están encriptados, por lo que la información es privada y se identifica que el sitio web es quien dice ser. Al igual que la forma en que verifica su identidad (por medio de un nombre de usuario y contraseña, y otra información que pueden solicitar, como en la autenticación de dos factores) ¿Qué es la autenticación de dos factores y por qué debe usarla? ¿Qué es la autenticación de dos factores? Por qué debería usarlo La autenticación de dos factores (2FA) es un método de seguridad que requiere dos formas diferentes de probar su identidad. Se usa comúnmente en la vida cotidiana. Por ejemplo, pagar con una tarjeta de crédito no solo requiere la tarjeta,… Leer más ), el sitio web también lo necesita. El sitio web prueba que es operado por sus verdaderos propietarios al mostrar un certificado de seguridad en su navegador de Internet, que luego le indica que el sitio es legítimo con el símbolo de bloqueo.
Si no ve esas cosas cuando debería estar en un sitio seguro, o si ve una advertencia, significa que el sitio web podría ser falso. En un sitio como ese, puede estar enviando sus datos a las personas equivocadas, lo que lo convertiría en una víctima de un ataque de hombre en el medio ¿Qué es un ataque de hombre en el medio? Explicación de la jerga de seguridad ¿Qué es un ataque de hombre en el medio? Explicación de la jerga de seguridad Si ha oído hablar de ataques "intermediarios" pero no está seguro de lo que eso significa, este es el artículo para usted. Lee mas . Puede hacer clic en el símbolo de candado para obtener más detalles, si no aparece en verde, o si tiene una marca de advertencia amarilla..
Los símbolos de seguridad difieren: verifique las explicaciones de Google para las utilizadas en Chrome, mientras que los usuarios de Internet Explorer deben consultar la clave de Microsoft. Los botones de seguridad del navegador Safari aparecen al final de la URL, como lo explica Apple.
Propietarios de sitios, navegadores y autoridades de certificación
Los propietarios de sitios web de comercio electrónico pagan a un tercero llamado Autoridad de Certificación (CA) para verificar quién es la empresa y que sus transacciones son auténticas.
Los navegadores web, como Google Chrome, Firefox e Internet Explorer mantienen listas de Autoridades de Certificación que consideran confiables. Cuando accede a lo que debería ser un sitio web seguro, el sitio presenta su certificado de seguridad a su navegador. Si el certificado está actualizado y es de una Autoridad de Certificación confiable, se le permite iniciar sesión y completar sus transacciones, sin advertencia.
Si está iniciando un sitio web seguro, hay muchas CA diferentes para elegir. Pueden incluir a Norton, GoDaddy, Microsoft y muchos otros. Su trabajo es verificar que usted es dueño del sitio para el que emiten un certificado, también conocido como Verificación de Dominio. Esto se puede hacer enviando un correo electrónico con instrucciones para actualizar la configuración del Servidor de nombres de dominio (DNS) de su sitio web, o los archivos de su servidor web, a la dirección de correo electrónico asociada con el dominio del sitio web. La idea es que solo la persona que recibió ese correo electrónico tendrá las instrucciones exactas para actualizar el sitio web y podrá hacerlo..
Mayor seguridad
Hay otros tipos de certificados más estrictos que una CA puede ofrecer (que cuestan más) para verificar quién es usted y su empresa, como la Validación ampliada, que puede costar cientos de dólares (las grandes empresas a veces pagan miles). La validación extendida incluye información de verificación como la identidad legal del propietario del sitio web, el nombre de la empresa, la dirección física, el registro y la jurisdicción de incorporación. La seguridad de este sitio web es una medida importante de confianza si tiene una empresa. ¿Qué es un certificado de seguridad de sitio web y por qué debería importarle? ¿Qué es un certificado de seguridad de un sitio web y por qué debería importarte? Lee mas .
Cuando visita un sitio que ha sido sometido a Validación Extendida, los navegadores modernos incluyen el nombre de la compañía en verde en la barra de URL, para hacerle saber que está tratando con la compañía correcta.
Autoridades de Certificación Gratis
Existen Autoridades de Certificación gratuitas, pero como el servicio es gratuito, no tienen las mismas capas de seguridad y marca que los grandes nombres. Además, a menudo carecen en su ubicuidad de reconocimiento del navegador. Eso significa que si obtiene un certificado de seguridad gratuito, es posible que los lectores de su sitio web escuchen que su navegador presenta una advertencia cuando visitan su sitio indicando que la Autoridad de certificación de su sitio no es confiable. Puede obtener la verificación de dominio gratuita de StartSSL (sin validación de identidad), y eso hará que su navegador sea confiable para los navegadores Mozilla, Safari e Internet Explorer. Sin embargo, no obtendrá la barra verde para los paquetes de Validación extendida, que cuestan alrededor de $ 200. Sin embargo, la compañía tiene su sede en Israel y debe conservar sus documentos de verificación durante varios años..
CACert es una Autoridad de Certificación gratuita y dirigida por la comunidad. Los Asesores de CACert voluntarios se reúnen con los propietarios del sitio para revisar sus documentos de identificación en persona. Desafortunadamente, los certificados de CAcert no son confiables en los principales navegadores y solo se incluyen en algunos sistemas operativos de código abierto.
Sin embargo, el uso de CACert y StartSSL ofrecerá el cifrado de su sitio, por lo que si tiene una interacción simple de usuario en su sitio (como un foro o una wiki), estos servicios gratuitos pueden ser justo lo que necesita..
Qué hacer si ve una advertencia de certificado
Lo importante que debes hacer cuando recibas la advertencia del navegador es verificar los detalles. Podrá averiguar por qué se rechazó el certificado y decidir por sí mismo si desea continuar y usar el sitio de todos modos. Si el certificado ha caducado, el propietario del sitio web puede haber olvidado renovarlo a tiempo. Si ve mucho este error, debe verificar la fecha del reloj de su computadora y asegurarse de que sea correcta.
Sin embargo, si se revocó el certificado de seguridad, significa que el sitio está utilizando el certificado de manera fraudulenta y no debe confiar en él. También puede recibir la advertencia de que la Autoridad de certificación no es de confianza. Si cree que comprende y confía en el modelo de verificación de igual a igual de CACert o en la verificación de dominio de StartSSL, puede decirle a su navegador que confíe en esas CA. Hay otros tipos de advertencias y errores, así que mantén los ojos bien abiertos y lee los detalles..
Cuando vea una advertencia de certificado de un sitio en el que confía, también puede intentar revisar el feed de Twitter del sitio web, que a menudo incluye actualizaciones sobre el sitio, el tiempo de inactividad, la seguridad y otros problemas..
Si no tienen actualizaciones, y si puede, puede ayudar a ponerse en contacto con el propietario del sitio web y preguntar qué está pasando. Es posible que esté ahorrando al propietario del sitio web y a otros usuarios mucho dolor, en el caso de que aún no estén al tanto de la advertencia del certificado..
En resumen, esté atento (ya que las estafas de suplantación de identidad (phishing) usan estafas de suplantación de identidad (phishing). La página de inicio de sesión de Google (phishing) se utiliza de manera fraudulenta. Aparentemente, una configuración sofisticada de suplantación de identidad (phishing) está enseñando al mundo otra lección de seguridad en línea. Lea más están disponibles), pero también sea curioso. Ve y descubre por qué ves advertencias de seguridad..
¿Alguna vez ha encontrado una advertencia de certificado de seguridad? ¿Te tomas el tiempo para averiguar por qué lo estás viendo? ¿Cuáles te preocupan más? ¿Tienes algún consejo sobre qué hacer al respecto??
Explorar más sobre: Seguridad en línea, Compras en línea.