Certificado SSL, de empresa, «wildcard» y de validación extendida

Publicado por pico.dev el , actualizado el .
programacion seguridad blog-stack planeta-linux planeta-codigo
Comentarios

Usar un protocolo seguro garantiza de que los datos intercambiados entre el cliente y el servidor no son leídos ni modificados por una tercera parte además de verificar que la comunicación se está realizando entre las partes que dicen ser. Para usar un protocolo seguro como SSL/TLS debemos disponer de con certificado, con OpenSSL podemos generar y convertirlo al formato que deseemos, sin embargo, para que el usuario tenga garantía de que el certificado es válido este se debe estar firmado por una autoridad de certificación (CA) en la que confíe, generalmente con una de las autoridades de certificación cuyos certificados están preinstalados en el navegador web (en Firefox podemos verlos en Preferencias> Avanzado> Certificados> Ver certificados), los certificados autofirmados son útiles para hacer pruebas pero no son válidos para los usuarios. En este artículo comentaré que tipos de certificados hay y donde podemos obtener o comprar un certificado digital firmado por una CA que sea de confianza para el usuario.

Los navegadores suelen indicar que se está usando una comunicación segura cuando en la barra de direcciones se muestra un candado y se está usando el protocolo https. Además, haciendo clic en el candado se pueden ver los detalles del certificado usado por el servidor para la comunicación cifrada.

Sin embargo, para proporcionar más seguridad y garantía de que como usuarios nos estamos comunicando con el servidor que creemos sin examinar el certificado algunos certificados permiten mostrar también en la barra de direcciones un recuadro verde con el nombre de la entidad, el recuadro verde que solemos ver también en la barra de direcciones al acceder a algunos dominios y que es proporcionado por certificados de validación extendida.

Por otra parte los certificados SSL se generan para un dominio en concreto con lo que en principio se debería comprar un certificado por cada dominio en el que deseemos usar una comunicación segura. Sin embargo, para evitar comprar múltiples certificados para los diferentes dominios o subdominios podemos comprar un certificado wildcard que nos servirá para los subdominios (*.ejemplo.com) o un certificado multidominio (ejemplo.com, ejemplo.net, …) para como su nombre indica varios dominios. En los certificados de empresa se solicitan datos datos adicionales al adquirirlo y en los detalles del certificado aparece el nombre de la empresa (campo Organización (O) como en el caso de GitHub).

Los certificados wildcard y que muestran el recuadro verde son más caros pero pueden ser útiles sobre todo para una página de comercio electrónico, el recuadro verde añade más seguridad, seguramente mejore los ratios de conversión y evite suplantaciones de identidad o phising. Además, utilizar un protocolo seguro es un nuevo criterio que utiliza el buscador Google en su algoritmo para establecer el posicionamiento en la página de resultados. Con las intrucciones que incorporan los procesadores modernos el cifrado y descifrado de los datos no tiene por que significar un aumento de carga considerable para el servidor ni el cliente ni en dispositivos móviles.

¿Cómo obtener un certificado SSL firmado por una entidad raíz de certificación? Las entidades de registro de dominios aparte de dominios, hosting virtual o privado algunos permiten comprar certificados SSL. Uno de los que conozco que permite comprar certificados SSL, de empresa, con recuadro verde o wildcard es DonDominio, otro es Arsys.

En el caso de DonDominio dependiendo de la entidad emisora del certficado que deseemos variará el precio, también si queremos que tenga validación extendida o sea wildcard. En el caso de un certificado SSL simple que valide solo el dominio es de unos 5 €, de validación de empresa unos 28 €, un certificado de validación extendida con recuadro verde desde unos 126 € y un certificado wildcard de desde unos 75 €. Estos son precios desde, diferentes opciones pueden salir bastante más caras y hay que tener en cuenta que son para una validez de una año, al igual que los dominios hay que renovar su uso.

Si no necesitamos el recuadro verde ni un certificado wildcard una opción interesante es obtener uno gratis a través de Lets Encrypt. Esta nueva entidad de certificación nos permitirá obtener uno sin coste, de forma sencilla y automatizada, detrás de esta entidad están organizaciones como Linux Foundation, Mozilla o CISCO.

Una vez obtenido el certificado debemos instalarlo en el servidor, en el artículo Configurar SSL en un servidor Tomcat JBoss, Wildfly, Lighttpd, Nginx o Apache comento como usar un certificado en los principales servidores web y de aplicaciones. Si necesitamos un formato concreto podemos convertir el certificado con OpenSSL.

Yo apoyo al software libre