Nota del editor: esta publicación se actualizó para reflejar los cambios en la forma en que se muestran los sitios con certificados de validación extendida en los navegadores.
El Consejo de Seguridad de CA (CASC), un grupo de defensa comprometido con el avance de la seguridad en línea al que nos unimos en 2013, publicó recientemente una útil infografía: ¿Qué tipo de certificado SSL/TLS necesito? (compruébalo debajo de esta publicación). Si bien la infografía proporciona una excelente descripción general de alto nivel de las principales opciones de certificados y proporciona algunos ejemplos para cada una, tendemos a recibir muchas preguntas sobre esto, por lo que pensé que sería útil contar con más explicaciones.
A continuación, les explicaré los pasos a seguir para seleccionar un certificado SSL, según lo sugerido por CASC, con algo de contexto adicional para ayudar a enmarcar las decisiones.
Paso 1: ¿Está registrado tu dominio?
Lo primero es lo primero: debes registrar tu dominio antes de poder obtener un certificado SSL de confianza pública (es decir, el tipo que necesita para sitios web públicos, más sobre esto a continuación). Esto se debe a que las autoridades certificadoras (CA), las organizaciones que emiten certificados, deben verificar la propiedad del dominio.
Registrar tu dominio es un paso esencial para configurar un sitio público, por lo que lo más probable es que, si al menos estás buscando proteger un sitio web público, ya hayas realizado este paso y puedas pasar al Paso 2.
¿Qué pasa si tu dominio no está registrado?
Si tu dominio no está registrado, probablemente estés hablando de un nombre de servidor interno. Un nombre interno es un dominio o dirección IP que forma parte de una red privada, por ejemplo:
- Cualquier nombre de servidor con un sufijo de nombre de dominio no público (por ejemplo, midominio.local, midominio.interno)
- Nombres NetBIOS o nombres de host cortos, cualquier cosa que no sea de dominio público
- Cualquier dirección IPv4 en el rango RFC 1918 (por ejemplo, 10.0.0.0, 172.16.0.0, 192.168.0.0)
- Cualquier dirección IPv6 en el rango RFC 4193
A partir de noviembre de 2015, las CA tienen prohibido emitir certificados SSL de confianza pública que contengan nombres de servidores internos o IP reservadas. En resumen, esto se debe a que estos nombres no son únicos y se usan internamente, por lo que no hay forma de que una CA verifique que la empresa es propietaria (por ejemplo, muchas empresas pueden tener un sistema de correo interno en la dirección: https://mail /). Para obtener más explicaciones sobre los peligros de los nombres internos en los certificados SSL públicos, consulta nuestro documento técnico.
SSL para nombres de servidores internos
Entonces, ¿qué puedes hacer si deseas proteger las comunicaciones entre tus servidores internos que utilizan nombres de servidores internos? Bueno, no puedes usar un certificado SSL de confianza pública, por lo que una opción es usar certificados autofirmados o configurar una CA interna (por ejemplo, Microsoft CA) y emitir certificados desde allí. Si bien estas son opciones ciertamente viables, ejecutar tu propia CA requiere una amplia experiencia interna y puede consumir muchos recursos.
Algunas CA ( GlobalSign ) también ofrecen certificados diseñados exactamente para este caso de uso. Emitidos desde una raíz no pública, estos certificados no necesitan cumplir con las mismas regulaciones impuestas a los certificados públicos, por lo que pueden incluir cosas como nombres de servidores internos e IP reservadas. De esta manera, puedes proteger tus servidores internos sin la molestia de ejecutar tu propia CA o generar certificados autofirmados.
Paso 2: ¿Qué nivel de confianza necesitas?
Todos los certificados SSL ofrecen seguridad de sesión y cifran cualquier información enviada a través del sitio web, pero difieren en términos de cuánta información de identidad se incluye en el certificado y cómo se muestra en los navegadores. Hay tres niveles de confianza principales para los certificados SSL, de mayor a menor: Validación extendida (EV), Validación de organización (OV) y Validación de dominio (DV).
Al decidir entre niveles de confianza, la pregunta principal que debes hacer es: "¿Cuánta confianza deseo transmitir a mis visitantes?" También debes considerar la importancia que tiene la identidad de tu marca para tu presencia en la web. ¿Quieres que tu marca se presente claramente en la barra de direcciones del navegador o simplemente se incluya en el certificado? ¿O no es tan importante para ti vincular la identidad de tu marca a tu dominio?
Nota: Si buscas una explicación más detallada de cada tipo, consulta nuestro artículo relacionado.
Certificados de validación extendida (EV)
Los certificados EV incluyen la mayoría de los datos de la empresa y las empresas deben cumplir con los requisitos más altos y estrictos de cualquier tipo de certificado SSL antes de recibir un certificado. También te dan la mayor credibilidad a tu sitio web al poner la identidad verificada de tu empresa al frente y al centro, mostrando claramente el nombre de tu empresa con un candado cerrado.
Sitio de ejemplo protegido con certificado EV en Chrome
Certificados validados por la organización (OV)
Los certificados OV también incluyen autenticación empresarial, lo que significa que se incluye información sobre tu empresa, pero, a diferencia de los certificados EV, esta información no se muestra de manera tan destacada. Para ver la información de identidad de tu empresa, los visitantes deben ver los detalles del certificado.
Ejemplo de detalles del certificado OV en Chrome. Puedes ver la información de la empresa incluida en el Subject (Asunto).
Certificados de dominio validado (DV)
Los certificados DV son el tipo más básico de certificado SSL, incluyen la menor cantidad de información de identidad en el certificado y solo demuestran que el propietario del sitio web puede demostrar control administrativo sobre el dominio. Si bien los certificados DV ofrecen cifrado de sesión (por lo que ciertamente son mejores que nada), no incluyen ninguna información de la empresa. Esto significa, por ejemplo, que no hay nada incluido en un Certificado SSL DV emitido a www.companyabc.com para verificar que realmente está administrado por la Compañía ABC.
Por este motivo, no recomendamos los certificados DV para uso comercial. Dado el aumento de sitios web impostores y de phishing, recomendamos que los operadores de sitios web utilicen certificados SSL que incluyan información de identidad de la empresa (es decir, OV o EV) para que los visitantes del sitio puedan ver la identidad del propietario del dominio.
Paso 3: ¿Cuántos dominios necesitas proteger con este certificado?
Solo uno: utiliza un certificado estándar
Si solo necesitas proteger un dominio (por ejemplo, .example.com), debes comprar un único dominio o un certificado estándar. Puedes elegir el nivel de confianza: DV, OV o EV.
Sin embargo, si necesitas proteger varios dominios (por ejemplo, para sitios regionales: .com, .co.uk, .de) o varios subdominios (por ejemplo, para áreas de clientes: login-secure.example.com), debes considere comprar un certificado wildcard o multidominio. Usar un certificado para cubrir varios nombres de dominio completos (FQDN) es más rentable que comprar varios certificados individuales y simplifica la administración, especialmente cuando llega el momento de renovar el certificado.
Múltiples dominios
Si deseas proteger varios dominios (por ejemplo, ejemplo.com, ejemplo.net, ejemplo.co.uk) con un solo certificado, debes adquirir un certificado multidominio. Los certificados multidominio te permiten proteger varios nombres de dominio utilizando un solo certificado. Los dominios aparecen como nombres alternativos de sujeto (SAN) dentro del certificado, por lo que a menudo escucharás a la gente referirse a ellos como certificados SAN.
Múltiples subdominios
Si desea proteger varios subdominios (por ejemplo, login.example.com, pago.example.com) con un certificado, puedes utilizar un wildcard o un dominio múltiple. Cuál es mejor para ti depende de la cantidad de subdominios que necesitas proteger y del nivel de confianza que deseas.
Si tienes muchos subdominios o prevés agregar más en el futuro, deberías considerar un certificado wildcard porque puedes proteger una cantidad ilimitada de sitios directamente bajo el dominio. Los certificados wildcard tienen un nombre común con el formato *.example.com, por lo que protegerás los ejemplos enumerados anteriormente con un solo certificado. Los productos DV y OV admiten los certificados wildcard, pero los requisitos de la industria no permiten los certificados wildcard EV.
Si solo tienes unos pocos subdominios, o si tus sitios contienen una cantidad diferente de nodos en el nombre de dominio (por ejemplo, store.exaple.com, store.us.example.com, store.eurpoe.example.com), debes considere un certificado multidominio que utilice subdominios porque generalmente son más rentables que los wildcard y son más flexibles para admitir varios niveles de dominios. Los certificados de subdominio son compatibles con DV, OV y EV.
Aquí tienes la infografía completa del CASC.
