Página principal / Artículos / Guías de alojamiento web / La guía de la A a la Z para la capa de sockets seguros (SSL) para negocios en línea

La guía de la A a la Z para la capa de sockets seguros (SSL) para negocios en línea

Configurando su sitio para HTTPS

Para construir una relación se necesita confianza y esto es mucho más intenso para una en la que es muy probable que las dos partes se encuentren y nunca se reunirán.

La confianza en Internet es de suma importancia, especialmente si esa relación es transaccional; donde hay dinero de por medio. Incluso más profundo que eso es el hecho de que Los datos son el nuevo oro., así que casi todo lo que hacemos en la red necesita ser seguro.

Construir esa relación de confianza no es fácil, pero ha habido una presión cada vez mayor sobre los propietarios de sitios web para crear un entorno que permita a sus usuarios sentirse seguros. SSL los certificados son un medio clave para hacer esto, ya que aseguran a los usuarios que la conexión que tienen con ese sitio web es segura.

Para el usuario final, todo lo que necesitan para verificar esto es un ícono simple que se muestra en su navegador. Para los propietarios de sitios web, es un poco más complicado, pero no tiene que serlo.

Tabla de Contenido

¿Qué es la capa de sockets seguros (SSL)?

SSL es un protocolo de seguridad que asegura a los usuarios que la conexión entre su computadora y el sitio que están visitando es segura. Durante una conexión, mucha información pasa entre dos computadoras, incluidos los que pueden ser datos altamente confidenciales, como números de tarjetas de crédito, números de identificación de usuario o incluso contraseñas.

En circunstancias normales, estos datos se envían en texto sin formato, lo que significa que si la conexión fuera interceptada por un tercero, esos datos podrían ser robados. SSL evita esto al exigir el uso de un algoritmo de cifrado durante la conexión en ambos extremos.

El candado o el ícono del candado verde se ha convertido en un indicador de seguridad para los usuarios de que el sitio web que visitan toma en serio su seguridad.

Leer también

Indicación de SSL en diferentes navegadores de Internet.
Indicación de SSL en diferentes navegadores de Internet.

¿Por qué necesitamos un SSL ¿Certificado?

Originalmente, la pregunta común era "¿Necesitamos un SSL certificado".

Y la respuesta típica sería 'depende'. Después de todo, ¿por qué los sitios web que no necesitaban manejar datos confidenciales relacionados con finanzas deberían ser tan seguros?

Desafortunadamente, como se mencionó anteriormente, la era de lo digital ha significado que, aparte del efectivo inmediato, los piratas informáticos de hoy en día han comenzado a buscar información personal.

El factor de google

A partir de julio de 2018 con el lanzamiento de Chrome 68, Chrome marcará todos los sitios HTTP como "no seguros". El cambio de política de Google ha tenido un gran impacto en Internet: más del 75 por ciento del tráfico de Chrome ahora está protegido. Si no ha realizado el cambio a HTTPS y desea obtener más información, este artículo es para usted.
A partir de julio de 2018 con el lanzamiento de Chrome 68, Chrome marcará todos los sitios HTTP como "no seguros". El cambio de política de Google ha tenido un gran impacto en Internet: más del 75 por ciento del tráfico de Chrome ahora está protegido.

Reconociendo esto, a partir de julio de 2018, Google etiquetará todas las páginas HTTP estándar como no seguras. Es importante reconocer esto, porque significa que los sitios reconocidos como no seguros por Google podrían sufrir una penalización de clasificación de búsqueda. Los sitios web prosperan con el tráfico y si no aparece en los listados de Google, entonces no obtendrá mucho en términos de tráfico del sitio web.

Consejos del profesional.

Si hubo una mejora en la clasificación, fue insignificante. A pesar de esto, tener SSL todavía era un movimiento inteligente.

Es una señal de confianza y evita la posibilidad de que Chrome muestre "no protegido" en su sitio. Y aunque los beneficios de la clasificación directa pueden ser pequeños en este momento, es posible que sean más significativos en el futuro.

Inicialmente me había abstenido de cambiar a SSL. Escuché muchas historias de terror sobre el tráfico en picada y sin recuperarse. Afortunadamente este no fue el caso. El tráfico disminuyó levemente durante alrededor de una semana, luego volvió.

- Adam Connell, Blogging Wizard

Según la Blog de seguridad en línea de Google, desde el comienzo de 2018, más del 68% del tráfico de Chrome tanto en Android como en Windows se ha protegido y 81 de los principales sitios de 100 en la web ya están usando HTTPS de forma predeterminada.

Conexión HTTPS a través de Google Chrome en diferentes plataformas.
Porcentaje de cargas de página sobre HTTPS en Chrome por plataforma. 64% del tráfico de Chrome en Android ahora está protegido. Más del 75% del tráfico de Chrome en ChromeOS y Mac ahora está protegido. Las tres cifras muestran un incremento significativo en comparación con el año anterior.

Por ahora, es posible que no necesite un SSL Certificado todavía, pero sería prudente considerar seriamente implementar uno. Aunque en este momento Google solo emite advertencias y penaliza las clasificaciones de búsqueda, dado el estado actual de la ciberseguridad, es probable que no se detenga allí.

Lee también: Guía de SEO para principiantes

Cómo SSL ¿Trabajos?

Hablando de manera simplista, hay tres componentes principales en la creación de una conexión;

  1. El Cliente – Esta es la computadora que está solicitando información.
  2. El servidor – El ordenador en el que se encuentra la información solicitada por el Cliente.
  3. La Conexión – La ruta por la que viajan los datos entre el cliente y el servidor.
Cómo SSL funciona: la diferencia entre HTTP y HTTPS.
HTTP vs conexión HTTPS (Fuente: Sucuri)

Para establecer una conexión segura con SSL, hay algunos términos más que debe tener en cuenta.

  • Solicitud de firma de certificado (CSR) - Esto crea dos claves en el servidor, una privada y una pública. Las dos teclas trabajan en conjunto para ayudar a establecer la conexión segura.
  • Autoridad de certificación (CA) – Este es un emisor de SSL certificados Algo así como una empresa de seguridad que tiene una base de datos de sitios web confiables.

Una vez que se solicita una conexión, el servidor creará la CSR. Esta acción luego envía datos que incluyen la clave pública a la CA. La CA crea una estructura de datos que coincide con la clave privada.

La parte más crítica de la SSL Certificado es que está firmado digitalmente por la CA. Esto es vital porque los navegadores solo confían SSL Certificados firmados por una lista muy específica de CA como VeriSign or DigiCert. La lista de CA se examina rigurosamente y debe cumplir con los estándares de seguridad y autenticación establecidos por los navegadores.

Tipos de SSL Certificados

los navegadores identifican SSL Certificados (el Certificado EV se muestra en esta imagen) y active las mejoras de seguridad de la interfaz del navegador.

Aunque todos SSL Los certificados están diseñados para el mismo propósito, no todos son iguales. Piense en ello como comprar un teléfono. Todos los teléfonos están diseñados básicamente para hacer lo mismo, pero hay diferentes compañías que los fabrican y producen muchos modelos diferentes a diferentes precios.

Para simplificar las cosas, desglosamos el SSL Tipos de certificados por nivel de confianza.

1. Certificado de dominio validado (DV) 

Entre SSL Certificados, el Certificado Validado de Dominio es el más básico y simplemente asegura a los usuarios que el sitio es seguro. No hay muchos detalles excepto por ese simple hecho y muchas organizaciones de seguridad no recomiendan el uso de Certificados Validados de Dominio para sitios web que se ocupan de transacciones comerciales. El Certificado Validado de Dominio es el smartphone económico de la SSL mundo.

2. Certificado de organización validado (OV)

Los titulares de Certificados de organización son examinados de forma más estricta por las CA que los titulares de Certificados de dominio validado. De hecho, los propietarios de estos certificados son autenticados por personal dedicado que los valida contra los registros comerciales administrados por el gobierno. Los certificados OV contienen información sobre la empresa que los posee y, a menudo, se utilizan en sitios web comerciales y representan los smartphones de gama media del SSL mundo.

3. Certificado de validación extendida (EV)

Representando el más alto nivel de confianza en SSL clasificaciones, los Certificados EV son elegidos por los mejores de los mejores y examinados de manera extremadamente estricta. Al optar por usar certificados EV, estos sitios web están comprando profundamente la confianza del consumidor. Estos son los iPhoneX del SSL mundo.

El hecho de que SSL La certificación se ha vuelto tan recomendada hoy en día que muchos sitios web de fraude también han comenzado a usar SSL. Después de todo, hay poca diferencia con los sitios web, excepto por el candado de certificación verde. Esta es la razón clave por la que las organizaciones de mayor reputación optan por SSL Certificación que son más altamente examinadas.

Dado que cualquier éxito SSL conexión hace que aparezca el icono del candado, es probable que los usuarios no sepan si el propietario del sitio web ha sido validado o no. Como resultado, los estafadores (incluidos suplantación de identidad sitios web) han comenzado a utilizar SSL para agregar credibilidad percibida a sus sitios web. – Wikipedia .

Dónde conseguir SSL Certificados?

Conseguir un SSL certificado, necesita ir a una Autoridad de Certificación (CA).

Las Autoridades de Certificación (CA) son como empresas de seguridad privada. Son quienes emiten los certificados digitales que facilitan la SSL proceso de establecimiento. También pertenecen a una lista limitada de empresas que cumplen criterios detallados para mantener su lugar en esa lista. Las CA que mantienen su lugar en esa lista pueden emitir SSL Certificados, por lo que la lista es exclusiva.

El proceso no es tan simple como parece, ya que antes de que se pueda emitir un certificado, la CA debe verificar la identidad del sitio web que lo solicita. El nivel de detalle en esos controles depende de qué tipo de SSL se está solicitando.

¿Qué hace que una autoridad de certificación (CA) sea excelente?

La mejor CA es aquella que ha estado en el negocio durante algún tiempo y sigue las mejores prácticas en el negocio, no solo para sí misma sino también para cualquier socio.ssociado con el negocio. Idealmente, también deberían poder demostrar experiencia comprobada en el campo.

Busque una CA que cumpla con los estándares actuales, participe activamente en la industria de la seguridad y tenga la mayor cantidad de recursos posibles para apoyar a sus clientes.

Un buen CA también:

  • Tener tiempos de validación razonablemente cortos.
  • Ser de fácil acceso para sus clientes.
  • Tener un gran apoyo

Autoridades de certificación recomendadas

NameCheap SSL
NameCheap ofrece toda la gama de SSL certificados para que encuentre algo allí sin importar sus requisitos o presupuesto. Los certificados de validación de dominio estándar comienzan desde $ 8.88 por año, pero también hay certificados premium que cuestan hasta $ 169 por año (Visita en línea).

SSL.com y NameCheap son mis lugares favoritos cuando necesito comprar un SSL certificados Alternativamente - echa un vistazo a esta lista de los mejores SSL proveedores de certificados.

Gratis SSL de Let´s Encrypt

Para aquellos de ustedes que están ejecutando sitios personales o de pasatiempos, o cualquier cosa que no sea comercial, hay una salida para usted que todavía es aceptable para Google.

Let’s Encrypt es una CA de confianza que está abierta y es de uso gratuito (). Desafortunadamente, solo emite certificados validados por DNS o dominio sin planes de extender esto a OV o EV. Esto significa que sus certificados solo pueden validar la propiedad y no la compañía tenedora. Si eres un sitio comercial, ese es el mayor inconveniente.

Let's Encrypt está preconfigurado en determinadas empresas de alojamiento (por ejemplo, GreenGeeks). Si planeas ir con Encriptemos Gratis SSL, es mejor alojar con uno de estos servidores web.

Lee también:

Let's Encrypt SSL
GreenGeeks ofrece gratis Let's Encrypt SSL y proporciona un instalador fácil de usar en su panel de usuario.

Cómo instalar un SSL ¿Certificado?

SSL Instalación para cPanel

SSL Instalación para cPanel

Procedimiento

  1. En las opciones de “Seguridad”, haz clic en “Administrador SSL/TLS”.
  2. En “Instalar y administrar SSL”, selecciona “Administrar sitios SSL”.
  3. Copia el código de tu certificado, que incluye “COMENZAR EL CERTIFICADO...” y “...FIN DEL CERTIFICADO”, y pégalo en el campo “Certificado: (CRT)”.
  4. Haz clic en “Autocompletar por certificado”.
  5. Copia y pega la cadena de certificados intermedios (paquete de CA) en el cuadro debajo de Paquete de autoridad de certificados (CABUNDLE).
  6. Haz clic en “Instalar certificado”.

* Nota: Si no estás utilizando una dirección IP dedicada, tendrás que seleccionar una en el menú de Dirección IP.

SSL Instalación para Plesk

Procedimiento

  1. Ve a la pestaña “Sitios web y dominios” y elige para qué dominio deseas instalar el certificado.
  2. Haz clic en “Asegurar sus sitios”.
  3. En el segmento “Cargar archivos de certificado”, haz clic en “Examinar” y elige el certificado y los archivos de paquete de CA necesarios.
  4. Haz clic en “Enviar archivos”.
  5. Vuelve a “Sitios web y dominios” y luego haz clic en “Configuración de alojamiento” para el dominio en el que estás instalando el certificado.
  6. Debajo de “Seguridad”, debería haber un menú desplegable para que selecciones el certificado.
  7. Asegúrate de que la casilla “Soporte SSL” esté marcada.
  8. Asegúrate de hacer clic en "Aceptar" para guardar los cambios.

Para validar si tu instalación fue exitosa, puedes usar esta herramienta de validación SSL gratuita.

Después de cambiar a HTTPS

Actualiza los enlaces internos de tu sitio web

Si revisas los enlaces internos de tu sitio web, notarás que todos utilizan HTTP. Obviamente, estos deben actualizarse a enlaces HTTPS. Ahora, en unos pocos pasos, te mostraremos una forma de hacer esto globalmente utilizando una técnica de redirección.

Sin embargo, sería bueno que practiques cómo actualizar tus enlaces internos de HTTP a HTTPS.

Si tienes un sitio web pequeño con solo unas pocas páginas, no debería tomar mucho tiempo. Sin embargo, si tienes cientos de páginas, llevará mucho tiempo, por lo que será mejor utilizar una herramienta para automatizar esto y ahorrar tiempo. Si tu sitio se ejecuta en la base de datos, realiza la búsqueda de base de datos y reemplázala utilizando este script gratuito.

Actualizar enlaces apuntando a tu sitio

Una vez que cambies a HTTPS, si tienes sitios web externos que lo enlazan, estarán apuntando a la versión HTTP. Podrás configurar la redirección en unos pocos pasos, pero si hay algún sitio web externo donde controles tu perfil, puedes actualizar la URL para que apunte a la versión HTTPS.

Buenos ejemplos de esto serían tus perfiles de redes sociales y cualquier listado de directorios donde tengas una página de perfil que esté bajo tu control.

Configurar un redireccionamiento 301

De acuerdo con la información técnica, y si no estás familiarizado con este tipo de cosas, definitivamente es hora de obtener ayuda de expertos. Es bastante sencillo y, de hecho, no lleva mucho tiempo, pero necesitas saber lo que estás haciendo.

Con un redireccionamiento 301, lo que estás haciendo es decirle a Google que una página en particular se ha movido permanentemente a otra dirección. En este caso, le dirás a Google que las páginas HTTP de tu sitio ahora son HTTPS, por lo que lo redireccionarás a las páginas correctas.

Para la mayoría de las personas que usan Linux Alojamiento Web esto se hará a través del archivo .htaccess (ver código a continuación: según la recomendación de Apache).

 ServerName www.example.com
 Redirect "/" "https://www.example.com/"

Lee también: Los fundamentos de .htaccess: Casos de uso y ejemplos.

Actualiza tu CDN SSL

Este es, en realidad, un paso opcional porque no todos la usan. CDN significa 'Content Delivery Network', y es una red de servidores distribuidos geográficamente que almacenan copias de tus archivos web y los presentan a tus visitantes desde un servidor geográficamente cercano para mejorar su velocidad de carga.

Además de las mejoras de rendimiento, una CDN también puede ofrecer una mejor seguridad porque sus servidores pueden monitorear e identificar el tráfico malicioso y así evitar que llegue a tu sitio web.

Un ejemplo de una popular CDN es Cloudflare.

De cualquier manera, solo pregunta a tu compañía de alojamiento si estás utilizando una CDN. Si no estás conforme, simplemente avanza al siguiente paso.

Si efectivamente estás disconforme, debes ponerte en contacto con la CDN y pedirles instrucciones para actualizar tu SSL, para que tu sistema de CDN lo reconozca.

Algunos SSL errores de certificado y soluciones rápidas

1. SSL Certificado no confiable

SSL Error no confiable

Casi todos los navegadores de uso generalizado como Chrome, Microsoft Edge, Mozilla Firefoxy Apple Safari tienen repositorios incorporados que se utilizan para reconocer SSL Certificados.

Si recibe un mensaje que indica que un sitio tiene un certificado que no es confiable, tenga cuidado ya que es probable que eso signifique que el certificado presente no fue firmado por una CA de confianza.

2. intermedio SSL Falta el certificado

Este error a menudo es causado por una instalación incorrecta SSL Certificado. Los errores durante el procedimiento de instalación pueden dar lugar a algunos SSL errores de conexion Debería haber un 'cadena de confianza'significa que todos los componentes necesarios en el proceso de firma deben ejecutarse sin interrupciones.

Si es el propietario de un sitio web y se encuentra con este error, intente consultar la sección que he cubierto en 'SSL INSTALACIÓN".

3. Problemas con los certificados autofirmados

Evitar SSL problemas, algunos propietarios de sitios web crean sus propios SSL Certificados. Esto es posible, pero no hace mucha diferencia ya que no estará firmado por una CA de confianza. La única vez que probablemente se utilicen certificados autofirmados es en entornos de prueba o desarrollo. Los sitios con certificados autofirmados no se mostrarán como seguros.

4. Errores de contenido mixto

SSL Errores de contenido mixto

Este es un problema de configuración. Para SSL Para que los certificados funcionen, cada página y archivo de su sitio debe estar vinculado a HTTPS. Esto incluye no solo páginas, sino también imágenes y documentos. Si una sola página no está vinculada a HTTPS, el sitio encontrará un error de contenido mixto y volverá a HTTP.

Para evitar estos problemas, asegúrese de que todos sus enlaces estén actualizados con enlaces HTTPS.

Resumen

Al final del día, SSL Los certificados son una situación en la que todos ganan. Sí, puede que nos lo impongan grandes empresas como Google, pero en realidad hay muy pocas desventajas.

Por un pequeño precio, puede garantizar a los clientes la seguridad de sus datos y su privacidad. Los clientes, por otro lado, pueden recuperar la fe en la tecnología digital, un campo que cada vez está más afectado por hackers, spammers y otros ciberdelincuentes.

eCommerce es uno de los pilares clave hacia la economía digital y ha ayudado a aumentar el comercio transfronterizo ahora más que nunca. Al mantener los datos seguros y protegidos, como propietarios de sitios web, también puede contribuir personalmente a la seguridad de Internet.

Por último, a la hora de elegir tu SSL, trate de evitar estar pendiente del precio y haga todo lo posible para volver siempre a una simple palabra cuando se sienta perdido o confundido; Confianza.

Cuando estes listo: Las mejores webs para comprar barato SSL certificados

Foto del autor

Artículo de Timothy Shim

Siga leyendo