Cómo Funciona SSL y Por Qué Es Importante

SSL son las siglas de Secure Sockets Layer. Es un protocolo importante para aumentar la seguridad y autenticación de datos en el internet. A causa de los movimientos como Encrypt All The Things y el impulso de Google para la adopción más generalizada de SSL, el SSL ha sido un tema popular en los círculos de la web. Pero a pesar de ello, muchos webmasters todavía no están seguros de cómo funciona SSL y por qué es importante…¡o incluso qué significa SSL en primer lugar!

Si bien ya hemos cubierto lo que el acrónimo significa, vamos a profundizar un poco más en esta publicación y decirle qué es SSL, así como la forma en que trabaja para hacer de la web un lugar mejor para usted y los visitantes de su sitio web.

¿Qué Significa SSL? ¿Cómo funciona?

Simplemente para reiterar -SSL son las siglas de Secure Sockets Layer (Capa de Puertos Seguros). Es un protocolo utilizado para cifrar y autenticar los datos enviados entre una aplicación (como el navegador) y un servidor web. Esto conduce a una web más segura tanto para usted como para los visitantes de su sitio web. SSL está estrechamente ligado a otro acrónimo –TLS. TLS, corto para Seguridad de la Capa de Transporte, es la versión sucesor y versión más actualizada del protocolo SSL original.

Actualmente, SSL y TLS se refiere a menudo como un grupo por ejemplo, SSL/TLS o indistintamente. Por ejemplo, Let’s Encrypt (de la que hablaremos más en un segundo) anuncia que ofrecen «Certificados  Gratis SSL/TLS». Pero también encontrará gran cantidad de sitios web simplemente discutiendo certificados SSL, incluso cuando significan en realidad TLS.

Así que ¿de dónde vino primero SSL? y ¿cómo llegamos a donde estamos hoy con TLS? La versión 1.0 de SSL fue desarrollada por Netscape en los 1990s. Pero debido a las fallas de seguridad, nunca fue lanzada al público. La primera versión pública de SSL, fue SSL 2.0 en febrero de 1995. Aunque es una mejora respecto de la inédita SSL 1.0, SSL 2.0 también incluye su propio conjunto de defectos de seguridad, lo que llevó a un rediseño completo y el posterior lanzamiento de la versión 3.0 de SSL un año después.

SSL versión 3.0 fue la última versión pública y fue eclipsada en 1999 cuando se introdujo TLS como reemplazo. En este momento, SSL 3.0 está obsoleto y ya no se considera seguro debido a su vulnerabilidad a los ataques POODLE. En cuanto a TLS, ahora está en TLS 1.3, que ofrece una serie de mejoras en el rendimiento y la seguridad. Kinsta soporta TLS 1.3 en todos nuestros servidores y en nuestra Kinsta CDN.

¿Por Qué no Estamos Todos Usando Certificados TLS Entonces?

Es probable que lo esté. Aunque la comunidad web generalmente se refiere a ellos como certificados SSL por pura conveniencia, los certificados no dependen realmente del protocolo específico en su nombre. En su lugar, el protocolo real que se usa es determinado por el servidor. Lo que significa que incluso si usted piensa que instala algo llamado un certificado SSL, es probable que esté usando realmente la más actualizada y segura del protocolo TLS.

Hasta que la comunidad web adopte la terminología de TLS, es probable que continúe viendo esos certificados más a menudo llamados certificados SSL por mayor simplicidad.

¿Cómo Están Conectados HTTPS y SSL?

La gente que construyó el internet aman las siglas -otro término que usted suele ver debatido cuando hablamos de SSL/TLS es HTTPS. HTTP(sin la S) son las siglas de Hypertext Transfer Protocol.

HTTP y su sucesor HTTP/2 son ambos protocolos de aplicación que sustentan cómo se transfiere la información alrededor del internet. Se trata básicamente de la fundación para la comunicación de datos en internet. Cuando vuelva a agregar el S, simplemente se convierte en el protocolo seguro de transferencia de hipertexto (HTTP a través de TLS o HTTP sobre SSL).

Básicamente, SSL/TLS protege la información que se envía y recibe a través de HTTP. Esto tiene una serie de ventajas…

¿Cuáles Son las Ventajas de Utilizar SSL/TLS?

Muchos webmasters operan bajo la falsa suposición de que SSL/TLS sólo ofrece ventajas a los sitios que procesan la información sensible como tarjetas de crédito o datos bancarios. Y mientras SSL/TLS es sin duda esencial para aquellos sitios, sus beneficios no se limitan ni mucho menos a esas zonas.

Una de las principales ventajas de SSL/TLS es el cifrado. Cuando usted o sus usuarios ingresan información en su sitio web, esos datos pasan a través de múltiples puntos de contacto antes de que lleguen a su destino final. Sin SSL/TLS, los datos se envían como texto sin formato y actores malintencionados pueden espiar o modificar estos datos. SSL/TLS ofrece punto a punto de protección para asegurar que la información esté segura durante el transporte. ¡Incluso una página de acceso de WordPress debe estar cifrada! Si un certificado SSL está presente pero no es válido, tus visitantes pueden encontrarse con el error “tu conexión no es privada”.

Otra ventaja clave es la autenticación. Una conexión SSL/TLS garantiza que los datos estén siendo enviados y recibidos desde el servidor correcto, en lugar «hombre en el centro” malicioso. Es decir, ayuda a evitar que los actores malintencionados falsamente suplanten un sitio.

La tercera de las principales ventajas de SSL/TLS es la integridad de los datos. Las conexiones SSL/TLS aseguran que no haya pérdida o alteración de datos durante el transporte mediante la inclusión de un código de autenticación de mensajes, llamado MAC. Esto asegura que los datos que se envían sean recibidos sin ningún tipo de cambios o alteraciones maliciosas.

Más allá de la encriptación, autenticidad e integridad, también hay otros beneficios menos técnicos como:

• El potencial para mejorar el ranking en la búsqueda orgánica de Google
• Una mejora del clima de confianza con los visitantes

¿Cómo Se Puede Saber Si un Sitio Web Está Usando SSL/HTTPS?

La manera más fácil de ver si un sitio web está usando SSL/TLS es mirar en su navegador. La mayoría de los navegadores marcan las conexiones seguras con un candado verde y/o un mensaje. Por ejemplo, en Google Chrome, puede buscar un candado verde y el mensaje Seguro:

Mientras que en Firefox, sólo verá un candado verde:

En Microsoft Edge no se ve ningún color solo un candado gris y blanco simple.

¿Google Va a Penalizar a los Sitios que no Utilizan SSL?

Recientemente, Google ha estado desplegando un conjunto de sanciones cada vez más severas y advertencias en Google Chrome para sitios que no instalan certificados SSL. Estas sanciones se iniciaron en enero de 2017, con la introducción de una advertencia no segura de las páginas en las que se solicitó información sobre la tarjeta de crédito o contraseñas sin un certificado SSL:

Ese cambio fue el primer empujón en Google para incrementar el uso de HTTPS y SSL. Pero recientemente, han tomado las cosas aún más en serio.

Aumentaron Las Advertencias “No Seguro” en Octubre de 2017

En octubre de 2017, Google empezó a usar notificaciones aún más agresivas. Comenzando con Chrome 62 (publicado el 17 de octubre de 2017), Google añade la advertencia No Es Seguro a:

• Todas las páginas HTTP donde los usuarios introducen cualquier tipo de datos, incluso algo tan simple como un cuadro de búsqueda. La advertencia no aparecerá en la página inicial de carga, pero aparecerá cada vez que un usuario comience a introducir datos en un campo
• Todas las páginas HTTP en modo Chrome incógnito

Google va a volverse más agresivo

El plan de Google a largo plazo es finalmente, marcar todas las páginas HTTP como No Seguras. Esto significa que incluso si no le pide a los usuarios que rellenen cualquier tipo de campos de formulario, podrá eventualmente ser capturado por la advertencia sí o sí. Por esa razón, es importante que usted empiece a planear para realizar el cambio a HTTPS y SSL/TLS ahora.

En 2020, Chrome comenzó a mostrar notificaciones de advertencia ERR_SSL_OBSOLETE_VERSION cuando los sitios utilizan TLS 1.0 o TLS 1.1 (versiones anteriores).

Cómo Instalar un Certificado SSL en Su Sitio Web

Muchos alojamientos facilitan la instalación de un certificado SSL/TLS gratuito. Aquí en Kinsta, todos los dominios verificados están protegidos automáticamente por nuestra integración con Cloudflare, que incluye certificados SSL gratuitos con soporte de wildcards. Otros hosts pueden utilizar un servicio llamado Let’s Encrypt, que ofrece certificados SSL/TLS gratuitos. Puedes ver una lista completa de hosts que soportan Let’s Encrypt aquí.

Si tu alojamiento no ofrece certificados SSL gratuitos, o si quieres un tipo diferente de certificado SSL, también puedes comprar tu propio certificado a un proveedor externo.

Puede leer esta guía para obtener instrucciones sobre cómo instalar un certificado SSL a su sitio en Kinsta. ¡Puede hacerlo con un solo clic!

Qué Hacer Después de Instalar un Certificado SSL

Hay tanto acciones técnicas como no técnicas que debe realizar después de instalar un certificado SSL. En primer lugar, a nivel técnico, es importante que usted redirija todo el tráfico de HTTP a HTTPS. Usted también debe asegurarse de que no esté cargando ningún activo a través de HTTP. Normalmente, estos serían sus propias imágenes o contenido externo, como scripts o servicios de publicidad externa. Esto le ayuda a evitar la advertencia de contenido mixto.

Más allá de esos dos detalles técnicos, usted también probablemente desea realizar las siguientes tareas, dependiendo de las herramientas que utiliza:

• Agregar la versión HTTPS de su sitio web en Google Webmaster Tools.
• Asegurarse de que los scripts de rastreo como Google Analytics u otros estén configurados para trabajar con HTTPS.
• Asegúrate de que no recibes ningún mensaje de error relacionado con la conexión SSL.

Considerando todo, SSL/TLS es un protocolo importante para la creación de una web segura. Y ahora que sabe cómo funciona SSL, si usted no ha hecho ya el cambio, le animamos a que considere la posibilidad de instalar un certificado SSL/TLS y mover su sitio a HTTPS.