En relación con la tecnología digital, ya no se trata de los récords à la Olympia según el lema "más rápido, más alto, más lejos". El rendimiento de los dispositivos finales, las tasas de transferencia cada vez más rápidas o la variedad de aplicaciones convenientes son una cosa. Otra cosa es que cuando navegamos por Internet, usamos los medios sociales y otros servicios, revelamos hechos sobre nosotros mismos prácticamente cada segundo, que no deberían llegar a las manos de todo el mundo. Esto incluye direcciones, cuentas bancarias, números de tarjetas de crédito y otros datos sensibles.
La palabra clave del momento es más bien: seguridad. O bien: ¿Cómo puedo asegurarme activa y pasivamente de que los datos que divulgo por Internet y envío a todo el mundo están protegidos contra el acceso indebido de terceros? Aquí es donde funciones como SSL y TLS, métodos de encriptación diseñados para asegurar que puedo viajar con seguridad en el mundo digital, son útiles.
Cómo funciona un certificado SSL
SSL (Secure Sockets Layer) es un protocolo para la autenticación y el cifrado de las conexiones en Internet. El procedimiento original de SSL es ahora obsoleto y ha sido reemplazado por TLS (Transport Layer Security). Sin embargo, el término SSL ha permanecido en el lenguaje común hasta hoy.
Para explicar cómo funciona, tomemos como ejemplo el pedido de un cliente en un tienda en línea. El cliente (en este caso, el cliente) siempre establece una conexión SSL cifrada. El primer paso es el llamado handshake, en el que se genera un parámetro de cifrado para la sesión. El servidor de la tienda responde entonces enviando su clave pública al cliente con su certificado SSL. Esto, a su vez, envía el Certificado autenticado sobre la base de una lista de CAs conocidas - Certificado o Autoridad de Certificación = autoridad de certificación para los certificados digitales. Si no se conoce la CA, la mayoría de los navegadores abren una ventana que da al usuario la opción de aceptar o rechazar el certificado bajo su responsabilidad.
Ahora el cliente genera una clave simétrica, que se encripta con la clave pública del servidor y la envía de vuelta. Entonces, tanto el cliente como el servidor conocen el código para encriptar los datos del usuario, y se establece la conexión segura.
Diferencias entre los certificados SSL comunes
Existen varias variantes de certificados SSL, según las necesidades del solicitante y también varían en precio. Los factores son, por ejemplo, la fuerza de cifrado (los valores por defecto son 128 Bit o 256 Bit), el tipo de validación así como la compatibilidad o aceptación del navegador.
Certificados validados de dominio (Domain Validation)
Los certificados validados de dominio tienen la distribución más amplia. Mediante el tráfico de correo electrónico regulado, la autoridad de certificación comprueba si el solicitante de un certificado SSL es realmente el propietario del dominio. Después de la confirmación, el certificado se emite en un plazo muy breve. Esta variante se utiliza principalmente para pequeños sitios web, blogs, foros, servidores de correo y aplicaciones de intranet y es la alternativa más barata.
Certificados validados por la organización (Validación de la organización)
El proceso es algo más complicado con un certificado validado por la organización. Aquí no sólo se comprueba el dominio, sino que también se verifica la identidad. El operador del sitio web - por lo general una empresa - debe demostrar con ciertos documentos que es realmente el propietario del dominio. La comprobación de la identidad del certificado varía de un proveedor a otro. Normalmente se requiere un extracto del registro mercantil, se realiza una comparación con los datos bancarios y se establece un contacto telefónico entre el solicitante y el proveedor. Los certificados validados por la organización son adecuados para los sitios web de las empresas, las tiendas web y el correo electrónico.
validación ampliada
Una tercera versión es la Validación Extendida. Los sitios web certificados de esta manera pueden reconocerse por la fuente verde en la línea de dirección del navegador. Esta retroalimentación visual indica que la conexión es particularmente confiable. Los que procesan sus transacciones de pago a través de la banca en línea están familiarizados con esto desde los bancos y las cajas de ahorro. En este caso, la autoridad de certificación procede de manera similar a los certificados validados por la organización, pero además comprueba si el solicitante es realmente un empleado de la empresa respectiva y tiene la autorización para adquirir un Certificado de Validación Ampliado.
Los certificados EV suelen estar cifrados con 256 bits y consiguen la mayor aceptación posible por todos los navegadores. Además de la fuente verde ya mencionada, la línea de la dirección también muestra el nombre y la sede de la empresa.
¿Qué organismo de certificación es el correcto?
Hay un gran número de Autoridades de Certificación (CA) en diferentes países, por lo que es fácil que un posible cliente pierda el rastro. A menudo no es posible averiguar qué compañía o agencia gubernamental está detrás de ellos. Los críticos hablan ahora de una "lotería de certificación", que ofrece poca transparencia y confiabilidad. En cualquier caso, la Bundesdruckerei con su filial D-Trust está completamente en manos alemanas. Muchas otras agencias trabajan con certificados intermedios de EE.UU., pero desde el asunto con el servicio secreto NSA, a más tardar, uno tiene que tener dudas sobre si sus propios datos están realmente protegidos por estos certificados.
Google prefiere las páginas con encriptación SSL
En 2014, Google anunció que el motor de búsqueda tiene ahora un algoritmo que da a las páginas con certificado SSL un trato preferencial y les da una clasificación más alta que a las páginas sin certificado. Entre los conocedores de la época, este paso se consideraba totalmente sensacional, porque Google suele guardar un silencio absoluto sobre la naturaleza y el modo de funcionamiento de sus algoritmos. Sin embargo, la empresa se ha propuesto mejorar cada vez más la seguridad en Internet. Esta fue probablemente la razón de la declaración pública.
Una mirada al futuro de la encriptación
Un proyecto de futuro en materia de encriptación es "Let's Encrypt", que está siendo impulsado por el Grupo de Investigación de Seguridad en Internet de California (ISRG). Esto debería hacer posible en el futuro que cada operador de un sitio web proporcione a su dominio un certificado SSL de forma sencilla y completamente gratuita, que sea considerado y aceptado como fiable por los navegadores comunes. Así pues, las conexiones HTTPS cifradas podrían convertirse pronto en el estándar de la web y proporcionar más seguridad y protección de los datos. Los miembros del ISRG son la Fundación Mozilla, Cisco, Akamai y la Fundación Frontera Electrónica.