Chrome, Firefox y los certificados SSL

Jueves, 16 Marzo 2017

Aunque se llevan usando desde hace muchos años, los certificados SSL están en auge tras el anuncio de Google de señalar como "páginas no seguras" a determinadas webs que no dispongan de certificado SSL.


Google y Chrome

A finales de 2016, Google ya anunció que la nueva versión 56 de su navegador Chrome mostrará avisos de "Páginas no seguras" en aquellas webs en las que se recopilen datos personales como números de cuenta, contraseñas, etc, y que no dispongan de certificado SSL, por lo que en principio, este aviso afecta principalmente a sitios de comercio electrónico y tiendas online.

Dado que el lanzamiento de la versión 56 de Chrome estaba previsto para principios de 2017, es lógico que la mayoría de empresas ya hayan instalado su certificado SSL, teniendo en cuenta que la cuota de mercado de este navegador está en torno al 50%, superando incluso al popular Internet Explorer, y evitando así que sus clientes se topen con este tipo de mensajes, cuanto menos inquietantes...

Aunque no ha tenido tanta repercusión como el anuncio de Google Chrome (los anuncios de Google tienden a sobredimensionarse), también el navegador Firefox ha empezado a mostrar estos avisos de seguridad en enero de 2017, incluso de forma más visible que en el caso de Chrome, ya que incluye un aviso de seguridad cada vez que rellenamos los datos de un formulario de inicio de sesión (login), en el caso de que la web no disponga de un certificado SSL válido.

Ya pero... ¿qué es un certificado SSL?

Los certificados SSL (securet socket layer) básicamente lo que hacen es validar y acreditar el intercambio de datos encriptados mediante el protocolo https entre un servidor web y el usuario, evitando así que la información que enviamos a través de una conexión a internet pueda ser interceptada con fines "maliciosos", y evitando que se puedan dar muchos de los fraudes que actualmente se dan en la red. En definitiva, aunque la encriptación SSL es un tecnología de servidor que podemos emplear en cualquier página web, lo que se trata es de que una entidad reconocida certifica que los datos servidos por una determinada web son auténticos. 

Estos certificados deben estar emitidos por una entidad acreditada, que, una vez ha verificado los datos de nuestra empresa o dominio, genera varias claves de encriptación, una clave pública y otra privada que trabajan de forma conjunta para encriptar/desencriptar la información. De esta forma, además de que la información se intercambia cifrada, el navegador puede identificar los datos, tanto de la entidad certificadora, como de nuestra empresa, evitando por ejemplo los casos de phising o suplantación de identidad.

Una de candados

Para saber si una conexión a una página web está usando un certificado de seguridad, debemos fijarnos en la barra de direcciones del navegador para ver los diferentes estados, aunque cada navegador muestra el certificado de forma diferente:

  • Símbolo información

    Si hacemos click, veremos un mensaje del tipo "La conexión no es segura", es decir, no hay certificado SSL o este no es válido.

    Información acerca del certificado SSL en Chrome y firefox
  • Candado gris o texto "No es seguro"

    Este sería el caso al que nos referimos en este artículo, una conexión sin certificado SSL y que el navegador considera de riesgo por tratarse de páginas en las que se detectan inicios de sesión o formularios de introducción de datos. En estos casos, el navegador nos informa de que los datos introducidos no son seguros y pueden ser interceptados por terceras personas.

    Este tipo de avisos ya es efectivo en todos los sitios de comercio electrónico o que trabajan con datos personales. Chrome
    chrome, conexión no es segura 
    Firefox
    Firefox, conexión no es segura

  • Candado de color verde - "Es seguro"

    La cosa va mejorando, tras el candado verde tendremos un mensaje "Conexión segura", desde donde, además, podremos consultar los datos del Certificado (empresa, entidad emisora, etc). En este caso tendremos instalada en la web un certificado de validación de dominio o de validación de empresa.

    Chrome
    chrome, conexión segura
    Firefox
    firefox, conexión segura
  • Candado verde + Barra de direcciones de color verde

    Este certificado proporciona el mayor nivel de seguridad, se trataría de un certificado de validación extendida "wild car", en la barra del navegador también se muestra el nombre de la empresa. Para emitir este tipo de certificados, la entidad acreditadora comprueba la existencia física y jurídica de la empresa, y otros aspectos que garantizan la legitimidad de la web.

    Chrome
    Chrome, seguridad SSL extendida
    Firefox
    Firefox, seguridad SSL extendida
  • No hay candado y aparece un símbolo de alerta

    Probablemente existe algún problema con la seguridad del sitio, por lo que no sería muy recomedable jugársela introduciendo datos personales...

    Chrome
    chrome problema seguridad
    Firefox
    firefox problema seguridad

¿Necesito un certificado SSL?

Como ya hemos comentado, en principio, tanto Firefox como Chrome, unicamente se está centrando en las webs que recogen datos de inicio de sesión como es el caso del comercio electrónico, (de momento) y, aunque los certificado SSL aportan ventajas a cualquier web, si tienes un negocio online, es casi obligado dadas sus ventajas:

  • Confianza: importante en las transacciones online, un mensaje que diga que tu sitio no es seguro, inspira poca confianza.
  • Seguridad: el uso de una conexión segura te puede ahorrar muchos quebraderos de cabeza protegiendo tu sitio de ataques y hackers.
  • Posicionamiento Web: si, también es bueno para el SEO de tu web, dentro de las políticas de Google, se encuentra el mejorar el ranking de los sitios que ofrecen un nivel de seguridad mayor... aunque este sea solo un factor más de los muchos que influyen en el posicionamiento de una página web.
  • Campañas de publicidad en buscadores: hay que destacar que en el caso de que estés realizando campañas de marketing online a través de alguno de los productos de Google para una tienda online (como Google Adwords), Google va a detener la campaña si tu web no cuenta con un certificado SSL, ya que entiende que esa web no es segura.

Si bien la seguridad que un certificado SSL aporta a nuestra web es razón suficiente como para justificar su instalación, no hay que perder de vista que se trata de una recomendación de Google, y éstas suelen conllevar ciertos beneficios a nivel de visibilidad. Además, la compañía ya ha anunciado que estos mensajes iran cobrando mayor relevancia en un futuro, así como su política de promover el uso de certificados SSL, por lo que es de suponer que al final habrá que ceder a la presión de Google y pasar por caja (por cierto, ¿os había dicho que estos certificados tienen un coste?...).

También es importante destacar que tras la instalación de un certificado SSL, es necesario adaptar algunos aspectos relativos al SEO de nuestra pagina web, ya que la url va a cambiar de http a https.