Qué es HTTPS, SSL y TLS
Más allá de una cuestión de tendencia y que Google prioriza en sus resultados los sitios si cuentan con uno, un Certificado SSL protege a tus visitantes en el intercambio de información sensible con tu web, más si se trata de un e-commerce.
Veamos qué es y cómo funciona un Certificado SSL
Un certificado SSL trabaja con HTTPS, que significa HTTP seguro, y a diferencia del HTTP tradicional cuenta con una capa de seguridad SSL/TLS quien se va a encargar de establecer el algoritmo de cifrado para encriptar la información que viaja desde y hacia tu web.
¿Qué datos cifra?
Absolutamente todo lo que haga a la privacidad y seguridad para el navegante: URL que estamos visitando, valores GET y POST, Cookies, y desde ya el contenido web.
¿Por qué es importante cifrar la URL de la web? ¿Qué sucedería si los datos de login o sesión viajaran por URL con HTTP simple?
Verás que si hacemos una búsqueda en Google, por ejemplo “Comprar un Certificado SSL” notarás que este “string” aparece en la URL. O si estamos navegando Facebook, la URL nos permite saber qué perfiles estamos visitando.
Cifra también valores GET y POST. Esto ocurre cuando mandamos un formulario con datos. Muy importante, tanto si completamos un form de contacto en un sitio web, o al llenar el usuario y contraseña de una web app, redes sociales e incluso tu webmail.
También lo hace con las Cookies de navegación, que hoy por hoy son tan importantes como tus datos de login.
Y por último, el contenido del sitio web que estamos visitando: textos, imágenes y todo el HTML.
Si la dirección web a la cual estás ingresando tiene el famoso “candadito verde” en la barra de navegación, todo esto ya está totalmente encriptado y no tenemos que preocuparnos.
¿Cómo funciona un Certificado SSL?
El certificado está en nuestro servidor y contiene una clave de muy alta densidad para cifrar la información.
Si bien es verdad que cualquier servidor puede emitir su propio certificado, para que este tenga la validez y seguridad que queremos ofrecerle a nuestros visitantes o clientes, hace falta que esté firmado por agentes certificadores que actúan como auditor externo y se encargan de certificar tu sitio.
Navegando seguramente más de una vez te hayas topado con el “Ojo, intentás conectarte a un sitio no seguro o con un certificado no válido”. Esto ocurre cuando estamos navegando un sitio con su SSL vencido o su certificado no está validado por uno de estos auditores externos.
¿Qué valida el agente certificador?
Un certificador valida que el certificado instalado pertenezca a nuestro dominio y ese dominio esté activo en nuestro servidor de modo que nadie pueda redirigir las peticiones a otro lugar.
Cuando ingresamos a una página web con “el candadito verde” nos certifica que el sitio es quien dice ser.
¿Qué datos no cifra un Certificado SSL?
La fecha y la hora de la transacción HTTPS, la IP de destino ni el puerto al que le estamos haciendo la petición. Esto ocurre básicamente porque sin estos datos no se podría “routear” el paquete de información hacia un lugar en concreto.