Tener instalado un certificado SSL en tu web es básico para su seguridad y la de los usuarios que la visitan. Sin embargo, estos certificados tienen muchas más ventajas que merece la pena conocer. En este artículo te lo contamos todo sobre este sistema, te hablamos sobre los diferentes tipos que existen y te guiamos a la hora de instalarlo en tu página web.
En este artículo hablamos de:
- ¿Qué es un Certificado SSL?
- ¿Cómo funcionan los certificados SSL?
- ¿Cómo puedo saber si mi página web cuenta con un Certificado SSL?
- ¿Por qué son necesarios los certificados SSL? Beneficios
- Tipos de certificado SSL
- ¿Cómo obtener el Certificado SSL para tu web?
- Duración del Certificado SSL
- ¿Cómo se instala un certificado SSL? Nociones básicas
- Resumen
¿Qué es un Certificado SSL?
Los certificados SSL o Secure Sockets Layer son un protocolo que sirve para la autentificación de un sitio web y encriptar la información que se envía al servidor.
Estos certificados utilizan un sistema de cifrado cuya función es que los datos viajen en un formato encriptado y que solo pueda ser descifrado con una clave concreta.
Gracias a este protocolo, los usuarios pueden enviar datos personales o credenciales a un servidor, de manera que el navegador detecta el certificado SSL, estableciendo una conexión segura.
Por ello, se trata de una herramienta fundamental para la seguridad a la hora de transferir información en la red, sobre cuando se trata de datos confidenciales, por ejemplo a la hora de hacer una transacción económica.
¿Cómo funcionan los certificados SSL?
Como decíamos, la función del certificado SSL es que la información y los datos que se transfieren entre usuarios y los sitios que visitan o entre dos sistemas donde, es que no se puedan leer por terceros que intercepten dicha transmisión. Para ello se recurre al cifrado de la información, que se realiza mediante el empleo de algoritmos de cifrado.
El proceso, que se produce en menos de un segundo, funciona así:
- El navegador o servidor intenta acceder a un sitio web con certificado SSL.
- El navegador o servidor pide al sitio web que se identifique y este lo hace enviando una copia de su certificado SSL.
- El navegador o servidor comprueba si el certificado SSL es confiable. Sí es así, envía una señal al sitio web.
- El sitio web devuelve un reconocimiento firmado digitalmente para comenzar una sesión cifrada con SSL, de manera que los datos entre navegador o servidor y sitio web se comparten cifrados entre ambos.
¿Cómo puedo saber si mi página web cuenta con un Certificado SSL?
Las páginas web que cuentan con certificado SSL se distinguen porque contienen el protocolo https://. Es decir, al contrario que el resto de webs, las que cuentan con esta autentificación añaden un “s” al protocolo http:// que aparece al principio de la dirección web en la barra de direcciones.
Para saber si tu web tiene certificado SSL simplemente tienes que escribir la url en la barra de direcciones y comprobar si empieza por https://. Además, la dirección debería salir en tener el símbolo de un candado. Si pinchas en este candado podrás comprobar que el certificado está instalado correctamente.
También hay otras maneras de verificar el certificado SSL, por ejemplo con la herramienta de verificación que está disponible en la web DonDominio.
En cualquier caso, podemos decir que SSL y https siempre van juntos.
¿Por qué son necesarios los certificados SSL? Beneficios
Los sitios web necesitan certificados SSL y https para poder garantizar que los datos viajan cifrados y, por tanto, asegurar la seguridad de los usuarios, además, sirven para verificar la identidad del propietario del sitio web y hace que sea más “fácil” reconocer una versión falsa o copia fraudulenta de una página web.
Además, los certificados Secure Sockets Layer ofrecen numerosas ventajas para la seguridad del sitio. Pero los beneficios no se limitan a ser un sistema seguro.
Con un certificado SSL, tu empresa se ve más profesional
Las empresas cuyas páginas web cuentan con certificado SSL dan la impresión de estar más concienciadas con cumplir los requisitos de seguridad vigentes y preocuparse por sus usuarios. Una empresa que, después de varios años de la aparición de estos certificados, todavía sigue usando el protocolo http:// ofrece una imagen de dejadez y poca profesionalidad.
El SSL encripta la información
Cuando el usuario accede a una web con protocolo https:// desde su navegador, se aplica un sistema de cifrado de información. Esto garantiza la seguridad a la hora de realizar numerosas operaciones en internet.
El certificado SSL y la protección de datos personales
¿Qué operaciones en la red se protegen gracias al certificado SSL?
- Operaciones bancarias y transacciones económicas con tarjeta.
- Acceso a formularios o áreas de cliente.
- Correo electrónico.
- Trabajo en apps o plataformas virtuales o de cloud computing.
- Transferencia de archivos por FTP.
- Acceso y actividad en herramientas como cPanel.
- Tráfico en redes internas o intranets
Mayor protección frente a ataques cibernéticos
Las páginas web con protocolo http:// son mucho más vulnerables frente a ataques de virus, troyanos, gusanos y otro tipo de malware. En cambio, las que tienen protocolos https:// gracias a la instalación de SSL son más seguras, ya que el propio certificado escanea la web para detectar programas o software malicioso.
Aumentar la confianza y mejorar la experiencia de los usuarios
Seguro que alguna vez has intentado entrar en una página y te ha salido un aviso que dice algo así como “La conexión a este sitio web no es segura“. Lo has adivinado, eso es porque no han instalado el certificado SSL. Cuando ven este mensaje, los usuarios salen de la página automáticamente, ya que nadie quiere poner en riesgo sus datos en internet.
Mejorar el posicionamiento de tu web
Otra de las grandes ventajas del certificado SSL es que mejora el posicionamiento SEO de la página web en los motores de búsqueda. Las webs que se han pasado a https:// cobran ventaja, mientras que las que siguen usando el http:// pierden posicionamiento poco a poco pero de forma constante.
Google beneficia a los sitios con Https frente a Http
Google cuenta con cientos de algoritmos que evalúan una página web a la hora de posicionarla en los resultados de búsqueda. Hace ya algunos años que incluyó dentro de estos algoritmos el factor https://. Google considera que las webs que cuentan con el certificado SSL son más seguras y pertenecen a empresas más serias y transparentes. Por tanto, las posiciona mejor.
Cumplir con la industria de las tarjetas de pago (PCI)
Las PCI DSS o normas de seguridad de datos en la industria de las tarjetas de pago se crearon con el objetivo de desarrollar un marco uniforme que garantizara la seguridad de los titulares de las tarjetas a la hora de realizar operaciones económicas.
Estas normas se aplican a todos los agentes que participan en estas transacciones, incluyendo entidades emisoras de las tarjetas, titulares, comerciantes, proveedores de servicios o procesadores de datos.
Entre las 12 obligaciones principales que establece esta normativa se encuentra la obligación de que las entidades que participan en estas operaciones cuenten con un certificado SSL en su página web.
Tipos de certificado SSL
¿Qué tipos de certificaciones SSL existen? ¿Cuándo elegir entre una u otra? En este epígrafe te lo contamos.
SSL para la validación del dominio
El certificado SSL de validación de dominio es el más sencillo y conocido. Es una certificación que ofrece un nivel de seguridad básico a bajo coste, incluso gratis. Además, la emisión lleva muy poco tiempo. Suele ser la opción elegida por blogs o páginas webs de pequeño tamaño o para uso personal.
Validación de Organización
Estos certificados ya ofrecen un nivel de encriptación y seguridad superior a los anteriores. Lo requisitos para obtenerlos son un poco más exigentes. Normalmente, son de pago, y se requiere verificar los datos de la organización que lo solicita. De esta manera, se garantiza que la organización existe realmente. Suele ser el más empleado por pymes o tiendas online de tamaño mediano.
Validación Extendida
Es el nivel de certificación más complejo, pero también el más completo. Para obtenerlo es necesario que la empresa se someta a un riguroso análisis, tanto de la organización como de la página web. Además de mostrar el protocolo https:// y los datos de la organización, el nombre de la empresa también aparecerá en la barra de direcciones antes de la URL.
Es el tipo de certificación más extendida entre las empresas que manejan gran cantidad de datos personales, como grandes organizaciones o tiendas virtuales con un elevado volumen de negocio.
Según el número de dominios/subdominios protege
Por otro lado, los certificados SSL también se pueden distinguir en función del número de dominios o subdominios sobre los que se aplican. Así, se puede diferenciar entre SSL de dominio único, multidominios o Wildcards.
- Certificado SSL de dominio único: Protegen a un solo dominio. Si tienes varias páginas web y eliges este tipo de certificado, tendrás que instalar uno en cada página web que poseas. Es ideal para personas que tengan una web personal y empresas o tiendas online que solo tengan un dominio.
- Certificado SSL para multidominios: En este caso se trata de certificados que se pueden instalar en varias páginas web a la vez. El número de dominios para los que son válidos depende del proveedor del mismo, por lo que te recomendamos informarte previamente. Por ejemplo, este tipo de certificados son perfectos para redes de blogs o personas que posean muchas webs de nicho.
- SSL WildCard: Este tipo de certificado SSL se puede emplear en un dominio, y también en todos los subdominios que estén asociados a dicho dominio principal. Ojo, no es válido si tienes diferentes dominios principales que no están asociados a ningún otro.
Tipos de certificado SSL según el precio
El precio de un certificado SSL puede variar en función de sus características, como el número de dominios para los que tiene validez, o el grado de seguridad que ofrece.
- Gratuitos: Un certificado SSL gratis ofrece un grado de seguridad básico y solo se puede aplicar a un dominio. No es válido para empresas u organizaciones y el nivel de seguridad es menor que en los certificados de validación de entidad, y mucho menor que en los certificados extendidos. Además, no son reconocidos por algunos navegadores, sobre todo en dispositivos móviles. Un ejemplo sería el certificado SSL de Let’s Encrypt.
- De pago: Otra posibilidad es comprar un certificado SSL. Es la mejor opción si quieres una mayor protección. Los certificados de dominio y entidad o de validación extendida son de pago. Ofrece una mayor seguridad, muestran la url en la barra de direcciones, el candado y el nombre de la empresa (en caso de los certificados extendidos). Además, son compatibles con cualquier navegador.
¿Cómo obtener el Certificado SSL para tu web?
A la hora de obtener un certificado https para tu web puedes decantarte entre dos opciones: conseguirlo a través de un proveedor de alojamiento web, o solicitarlo a una empresa autorizada de certificación.
Usar un proveedor de alojamiento web con seguridad SSL
Muchos servicios de hosting y alojamiento web ofrecen la posibilidad de obtener los certificados SSL y de instalarlos en su panel de administración. Por ejemplo, algunos servicios de hosting que ofrecen esa opción son Webempres, Hostinet, Bluehost, Shopify, Wix, Squarespace y muchos otros.
Normalmente, los servicios de hosting ofrecen diferentes opciones de certificados, partiendo desde los más básicos y gratuitos, hasta los más completos. En todo caso, te recomendamos consultar con tu proveedor de hosting.
Obtener un certificado SSL de una autoridad de certificación (CA)
Otra opción es adquirir el certificado SSL a través de una autoridad de certificación o CA. Una vez que el certificado haya sido aprobado deberás instalarlo en el panel de administración de tu proveedor de hosting (o en tus propios servidores, en caso de tenerlos).
Este método suele ofrecer más confianza, ya que se verifica su autenticidad a través de una entidad autorizada, al contrario que ocurre con un certificado SSL autofirmado.
Algunas opciones para obtener este tipo de certificados son Thawte, Let’s Encrypt o Geotrust.
Duración del Certificado SSL
Los certificados SSL caducan, es decir, que los certificados de seguridad https tienen una duración determinada; desde 2020, esa duración para Google, Apple y Mozilla es de un año.
La razón por la que los certificados SSL caducan es sencilla; como cualquier otra forma de acreditación de identidad, la información que contiene puede variar a lo largo del tiempo (por ejemplo, la venta de una página web, el cambio de titular, etc.), de manera que para asegurar la autenticidad y validez de los datos del certificado SSL, este solo puede ser temporal, teniendo que renovarlo una vez caducado.
¿Qué ocurre cuándo caduca el Certificado SSL?
Si el certificado SSL caduca y no se renueva, cuando los usuarios intenten acceder al sitio web, se encontrarán con el mensaje que citábamos antes, “Este sitio no es seguro”. Esto no quiere decir que no se pueda acceder al sitio web (porque los usuarios podrán hacerlo), sin embargo, mientras no esté instalado el certificado SSL, el sitio no será seguro ni podrá garantizar la protección de la información y datos que circulan en él.
No renovar un certificado SSL caducado provocará la perdida de confianza de los usuarios en nuestro sitio web y muy posiblemente que no accedan a él.
¿Cómo se instala un certificado SSL? Nociones básicas
Ahora vamos a ver cómo instalar un certificado SSL en tu web.
Una vez que ya tienes el certificado, has de comunicar el nombre del dominio del sitio web en el que los deseas implementar. Es posible que antes de realizar este paso sea necesario realizar una solicitud de firma de certificado o CSR.
Pasar un WordPress de HTTP a HTTPS
Para instalar un certificado SSL en WordPress debes seguir una serie de pasos. No te preocupes, puede parecer complicado pero es más sencillo de lo que crees. Además, nosotros te guiamos paso a paso.
- Activa el certificado SSL en tu proveedor de hosting:
Partimos de la base de que ya has adquirido tu certificado y que ha sido validado. Ahora el siguiente paso es activarlo en el panel de tu proveedor de hosting. Simplemente busca la opción y actívala. Resulta especialmente sencillo con algunos certificados como Let’s Encrypt.
- Cambia la url en WordPress:
A partir de ahora, la dirección de tu página web empezará por https:// en lugar de http://. Es decir, debes añadir la “s” a la dirección de tu web.
Para ello, solo tienes que acceder al panel de administración de tu sitio web en WordPress e ir a Ajustes > Generales de WordPress. Tal como te hemos dicho, añade la “s” a la dirección url que aparece.
Ten en cuenta que cuando hagas este cambio, WordPress te sacará automáticamente del panel de administración. Es normal, no te asustes. Ten en cuenta que has cambiado la dirección, por tanto, en el momento del cambio pasarías a estar usando un url no válida.
A partir de ahora, siempre que accedas al panel de administración debes hacerlo incluyendo la “s” al final de http: Por ejemplo, https://nombredetuweb.com/wp-admin.
Además, desde este momento todo el nuevo contenido que crees en la web ya aparecerá con el protocolo https://.
- Modificar las URL ya existentes:
Sin embargo, ten en cuenta que todo el contenido que has creado hasta el momento sigue manteniendo el protocolo http://. Lo que debes hacer es modificar todas las urls anteriores para actualizarlas a https.
Afortunadamente, no tienes que ir una por una. Existen plugins para WordPress que te permiten realizar todo el proceso de una sola vez. Incluso algunos permiten realizar un simulacro para comprobar que el proceso se va a realizar correctamente.
Algunos de los plugins que puedes utilizar para instalar un certificado SSL en WordPress gratis son Really Simple SSL, Easy HTTPS Redirection y Better Search Replace.
- Forzar redirección 301:
Por último, debes tener en cuenta que los enlaces hacia tu web siguen figurando como http.
Para evitar que las páginas http convivan con las https y Google pueda interpretar que existe contenido duplicado, lo que debes hacer es forzar una redirección 301.
Te preguntarás cómo hacer esto. Es muy fácil, solo tienes que acceder al archivo .htaccess e incluir este fragmento de código:
# Forzar redirección https
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Y si no tengo WordPress, ¿cómo instalo el protocolo https?
WordPress es el gestor de contenido más utilizado en el mundo. Sin embargo, hay millones de páginas web creadas sobre otras plataformas. Normalmente, el proceso para instalar el certificado SSL suele ser muy similar en todas ellas.
Blogger
Para instalar el certificado https en Blogger debes hacer lo siguiente:
- Accede al panel de tu sitio web y vete a Configuración > Lo básico.
- En la parte derecha verás las opciones “HTTPS” y “Disponibilidad de HTTPS”. Debajo de ellas deberás marcar la opción “Sí”.
El siguiente paso será realizar la redirección a https, lo cual resulta sumamente sencillo en Blogger. Has de seguir los mismos pasos de antes:
- Accede al panel de tu sitio web y vete a Configuración > Lo básico.
- En la parte derecha verás las opciones “HTTPS” y “Redirigir a HTTPS”. Debajo de ellas deberás marcar la opción “Sí”.
Joomla
Para instalar el certificado SSL en Joomla has de seguir los siguientes pasos:
- Accede al panel de administración de tu sitio web y ve a Sistema > Configuración Global.
- Dirígete a la pestaña Servidores y donde pone Forzar HTTPS elige “Todo el sitio web”. Guarda y cierra.
Ahora debes ir al archivo configuration.php en el directorio de Joomla para confirmar el cambio de la dirección de la web. El proceso es el siguiente:
- Vete a gestión de archivos, abre Clickandbuilds y cambia el directorio de tu página web.
- Ahora ve a Acciones > Editar archivo y busca la línea “public Slive:site =“. Aquí debes introducir la nueva dirección de tu sitio web, por ejemplo “public Slive:site = ‘https://tudominio.es’ ;“. Guarda y estará hecho.
Por último, para hacer la redirección 301 y que las visitan vayan automáticamente a la nueva dirección https hay que acceder al directorio de Joomla y añadir el siguiente código en .htaccess:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Resumen
En definitiva, aunque todo lo que se refiere a certificados y protocolos siempre suena complicado (más cuando no se tienen muchas nociones de informática o de código), lo cierto es que instalar el certificado SSL y pasar a https es mucho más sencillo de lo que parece.
Además, ofrece diversas ventajas, como una imagen más profesional, mayor seguridad de tu página web y de sus visitantes, y mejor posicionamiento en los motores de búsqueda. Y además, tiene un coste mínimo, incluso se puede realizar de forma gratuita.