Sitio https seguro: candado verde, certificado SSL EV… ¿cómo funciona?

Al observar las cifras comunicadas por el Fevad
Ni que decir tiene que el comercio electrónico francés va muy bien:

  • En 2015, las ventas online crecieron un 14,3%.
  • En 2016, Fevad prevé que el volumen de negocio del comercio electrónico supere los 70.000 millones de euros.

Mercado del comercio electrónico en miles de millones de euros

Como resultado, un número considerable de transacciones bancarias y pagos se realizan en línea y, con ellos, se transmiten cada vez más datos personales a través de la web. El seguridad del sitio web
por lo tanto, debe estar en el centro de las preocupaciones de una empresa.

Existen varios niveles de seguridad. Pero entre el protocolo HTTPS, los candados verdes, naranjas o grises y la barra de direcciones del navegador resaltada en verde, puede ser difícil entender a qué corresponde cada una de estas certificaciones visuales, que tranquilizan en mayor o menor medida a los internautas.

 

Resumen de las diferentes formas de garantizar un sitio seguro

 

El protocolo HTTPS

El Protocolo de Transferencia de Hipertexto Seguro, abreviado HTTPS, es la versión segura de HTTP, el protocolo por el que se envían los datos entre su navegador y el sitio web al que está conectado.

La «S» al final de HTTPS significa «Seguro». Indica que todas las comunicaciones entre su navegador y el sitio web están cifradas. Por ello, el HTTPS se utiliza a menudo para proteger las transacciones en línea altamente confidenciales, como los formularios de pedidos bancarios y de comercio electrónico.

 

Protocole https vs http

 

¿Cómo funciona el HTTPS?

Las páginas HTTPS utilizan Secure Sockets Layer (SSL) para cifrar las comunicaciones. Este protocolo utiliza un sistema de infraestructura de clave pública (PKI) «asimétrico».

Un sistema asimétrico utiliza dos «claves» para cifrar las comunicaciones: una clave «pública» y una clave «privada». En la práctica, cualquier cosa cifrada con la clave pública sólo puede ser descifrada por la clave privada y viceversa.

Como su nombre indica, la clave «privada» debe estar estrictamente protegida y ser accesible sólo por su propietario. En el caso de un sitio web, la clave privada permanece segura en el servidor web. Por el contrario, la clave pública está destinada a ser distribuida a cualquier persona que necesite descifrar la información cifrada con la clave privada.

 

¿Qué es un certificado HTTPS?

Cuando usted solicita una conexión HTTPS a una página web, el sitio envía inicialmente su certificado SSL a su navegador. Este certificado contiene la clave pública necesaria para iniciar la sesión segura.

Sobre la base de este intercambio inicial, su navegador y el sitio web inician el protocolo de enlace SSL. Esto implica la generación de secretos compartidos para establecer una conexión única entre el usuario y el sitio web.

 

¿Por qué es necesario un certificado SSL?

Todas las comunicaciones enviadas a través de peticiones HTTP estándar se transmiten en claro y pueden ser fácilmente interceptadas y leídas por una persona maliciosa. El peligro es evidente si la «comunicación» tiene lugar en un sitio de comercio electrónico con respecto a las transacciones bancarias y los códigos de las tarjetas de crédito asociadas. Pero permanece en cualquier tipo de sitio que requiera autenticación. Sin HTTPS, los inicios de sesión/contraseñas se transmiten en texto claro en los intercambios cliente/servidor, sin ser encriptados.

Con una conexión HTTPS, todas las comunicaciones se cifran de forma segura. Así, aunque alguien consiga entrar en la conexión, no podrá descifrar los datos intercambiados entre el usuario y el sitio web.

Tenga en cuenta que es posible utilizar HTTPS sólo para la parte de transacciones de su sitio de comercio electrónico.

 

Visualización de una conexión SSL en el navegador: candado verde

Para utilizar SSL, un webmaster compra un certificado a una autoridad de certificación y lo instala en su servidor web. Al visitar el sitio, un navegador web leerá el certificado del servidor y utilizará su información clave para establecer una conexión cifrada entre el navegador y el servidor.

Todos los navegadores modernos, Internet Explorer, Chrome y Firefox, notifican a los usuarios que el SSL está activo mediante el uso de iconos, colores u otras notificaciones visuales.

Por ejemplo, cuando se utiliza un certificado SSL seguro durante una conexión HTTPS, los usuarios verán un candado en la barra de direcciones del navegador.

 

Site sécurisé cadenas vert

Candado verde de un sitio seguro

La visualización o el color del candado variará en función del tipo de certificado SSL utilizado en el sitio, pero también del navegador web.

 

Ventajas de HTTPS y del certificado SSL

  • La información de los clientes, como los números de las tarjetas de crédito, se cifra mediante HTTPS y no puede ser interceptada.
  • Los visitantes de su sitio web o de su sitio de comercio electrónico pueden verificar que usted es una empresa registrada y que es el propietario del dominio.
  • Es más probable que los clientes confíen y completen las compras en los sitios de comercio electrónico gracias al candado que les garantiza que el pago bancario es seguro.

 

Las diferentes certificaciones SSL

  • Certificado SSL gratuito no aprobado: gratuito, este certificado es autofirmado por el sitio web y no está preinstalado en los navegadores. Implica un grado de confianza reducido, por lo que no se recomienda, aunque la Autoridad de Certificación (CA) Let’s Encrypt, que emite certificados SSL gratuitos, parece una solución fiable.
  • Certificados SSL aprobados: firmados por una Autoridad de Certificación y preinstalados en los navegadores web. Tenga en cuenta que incluso los certificados SSL aprobados no son 100% fiables, ya que las CA no están obligadas a utilizar un proceso específico para autenticar a las entidades que les solicitan que firmen sus certificados. Por lo tanto, incluso las entidades maliciosas pueden obtener una firma para su certificado SSL de una CA.
  • Certificado SSL con validación ampliada (EV ): Un estándar de comercio electrónico, el certificado SSL con validaciónampliada«requiere una investigación adicional de la entidad solicitante por parte de la autoridad de certificación antes de su emisión». Estos certificados de validación extendida ofrecen los más altos niveles de confianza y autenticación de un sitio web. Están diseñados para mejorar la seguridad del comercio electrónico y combatir los ataques de phishing.

 

6 principales proveedores de certificados SSL de confianza (no gratuitos)

  • Comodo
  • GeoTrust
  • Globalsign
  • RapidSSL
  • Symantec
  • Thawte

 

Centrarse en el certificado SSL con EV: pagos bancarios altamente seguros

Disponible para todas las entidades comerciales y gubernamentales, la norma SSL con EV nació del deseo de los proveedores de navegadores web y las autoridades de certificación de garantizar una seguridad óptima para las transacciones en línea.

Con este espíritu, crearon el Foro CA/Browser
una agrupación voluntaria de Autoridades de Certificación y proveedores de navegadores. Juntos, definen normas estrictas que deben cumplir todas las CA que emitan el certificado SSL con EV.

El proceso de EV es más riguroso y detallado que cualquier otro certificado SSL y requerirá pasos adicionales que pueden incluir la obtención de firmas de varias personas dentro de la empresa solicitante o la verificación legal de la existencia de la empresa.

Los sitios seguros deben pasar por un riguroso proceso de autenticación, definido por el foro CA/Browser, antes de obtener la certificación SSL con EV. Su puesta en marcha suele llevar varios días, el tiempo necesario para validar todos los pasos del proceso.

 

Certificado SSL con EV: Cómo utilizarlo

El funcionamiento de un certificado SSL con EV puede desglosarse en 4 pasos:

  • La empresa Y decide que quiere asegurar las comunicaciones entre el sitio web y el solicitante.
  • La empresa Y pide a un tercero de confianza que verifique al propietario y emita un certificado digital.
  • Tras la verificación del solicitante, el tercero de confianza emite un certificado que acredita la identidad del sitio web. Así, el internauta puede saber que PayPal es Paypal, y no un sitio web malicioso.
  • El navegador web ve que la empresa Y utiliza el cifrado SSL con EV y consulta el certificado, que muestra que ha sido emitido por un tercero de confianza para la empresa Y. A continuación, el navegador muestra el nombre de la empresa a la que se emitió el certificado. Si es el mismo, se pondrá en verde. En caso de no atestiguar, el navegador advertirá al usuario de que el sitio web podría no ser el que dice ser, mostrándolo en rojo.

 

Visualización de una conexión SSL con EV en el navegador web: barra de direcciones verde y nombre de la empresa

La obtención de un certificado SSL con validación ampliada requiere una autenticación empresarial completa. Este proceso garantiza que la barra de direcciones verde sólo se asocie a las empresas de mayor confianza. Por lo tanto, los sitios web que utilicen un certificado EV harán que los navegadores cambien la barra de direcciones a color verde, pero también que muestren el nombre de la organización a la que se emitió el certificado.

Barre adresse verte EV SSL

Visualización en la barra de direcciones del navegador Chrome: candado verde y nombre de la empresa en verde gracias al certificado SSL con EV

Esta característica de seguridad ha sido diseñada específicamente para permitir al usuario verificar que el sitio web seguro es realmente servido por la empresa a la que dicen estar afiliados.

 

¿Por qué un certificado SSL con EV?

El candado verde y la barra de direcciones del navegador, así como la visualización del nombre de la empresa, ayudan a los comerciantes electrónicos a aumentar la confianza de los consumidores, a reducir las tasas de abandono de carritos, aumentar las tasas de conversión y generar ingresos a largo plazo mediante pagos bancarios seguros.

 

Certificado SSL con EV: ¿Para quién?

Este certificado de validación ampliado debe ser utilizado por todos los sitios web que requieran una mayor seguridad debido al intercambio de datos confidenciales. Los sitios bancarios y de comercio electrónico de las grandes marcas se encuentran entre ellos, siendo a menudo el objetivo de los ataques de phishing. No es de extrañar que muchas marcas y empresas líderes utilicen el certificado SSL con EV. Entre ellas, Paypal y Zalando.

Aunque los precios de los certificados EV varían, en general no son baratos. Así que vale la pena preguntarse: ¿realmente lo necesita?

Este certificado puede ser útil para las pequeñas marcas que realizan pagos en línea, que se beneficiarían de distinguirse de la competencia mostrando una mayor seguridad. Para decidir, es aconsejable sopesar la pérdida de ingresos por cestas de la compra abandonadas debido a la desconfianza de los internautas, en comparación con el precio del certificado EV SSL.

Deja una respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

¿Busca una agencia de comunicación digital?  Contacto con nosotros
Alioze