¿Qué es un certificado de seguridad del sitio web y por qué debería importarle?

Anuncio

¿Alguna vez viste el error "Hay un problema con el certificado de seguridad de este sitio web" y te preguntaste qué significaba? Explicaré qué es un certificado de seguridad y cómo funciona, para que pueda volver a navegar, sin preocuparse.

La seguridad de Internet es bastante compleja, por lo que este artículo ofrece solo una descripción general simple del tema para lectores no técnicos y consejos sobre qué hacer cuando encuentra errores de seguridad.

Por qué son importantes los certificados de seguridad

Cuando accede a un sitio web donde necesita iniciar sesión y administrar una cuenta, es importante que su cuenta los detalles permanecen entre usted y su proveedor de servicios, de modo que su dinero, identidad e información personal permanecen seguro. Su proveedor de servicios en línea podría ser su banco, una tienda en línea o un sitio web de comercio electrónico, PayPal, su correo electrónico o su blog privado.

Cuando acceda a este tipo de sitios web, notará que la URL comienza con un icono de candado y "https: // "en lugar de solo" http://”.

HTTPS (HyperText Transfer Protocol Secure) indica que el sitio web está protegido por Secure Socket Layer / Transport Layer Security. Los datos enviados entre usted y el sitio web están encriptados, por lo que la información es privada y el sitio web se identifica como quien dice ser. Al igual que la forma en que verifica su identidad (por medio de nombre de usuario y contraseña, y otra información que puedan solicitar, como en Autenticación de dos factores ¿Qué es la autenticación de dos factores y por qué debe usarla?La autenticación de dos factores (2FA) es un método de seguridad que requiere dos formas diferentes de demostrar su identidad. Se usa comúnmente en la vida cotidiana. Por ejemplo, pagar con tarjeta de crédito no solo requiere la tarjeta, ... Lee mas ), el sitio web también debe hacerlo. El sitio web demuestra que es operado por sus verdaderos propietarios mostrando un certificado de seguridad a su navegador de Internet, que luego le indica que el sitio es legítimo con el símbolo de candado.

Si no ve esas cosas cuando debería estar en un sitio seguro, o si ve una advertencia, significa que el sitio web podría ser falso. En un sitio como ese, puede estar enviando sus datos a las personas equivocadas, lo que lo haría una víctima de un ataque de hombre en el medio ¿Qué es un ataque de hombre en el medio? Jerga de seguridad explicadaSi has oído hablar de ataques de "hombre en el medio" pero no estás muy seguro de lo que eso significa, este es el artículo para ti. Lee mas . Puede hacer clic en el símbolo del candado para obtener más detalles, si no aparece en verde o si tiene una marca de advertencia amarilla.

Los símbolos de seguridad difieren: verificar Explicaciones de Google para los que se usan en Chrome, mientras que los usuarios de Internet Explorer deberían consultar Clave de Microsoft. Los botones de seguridad del navegador Safari aparecen al final de la URL, como explica Apple.

Propietarios del sitio, navegadores y autoridades de certificación

Los propietarios de sitios web de comercio electrónico pagan a un tercero llamado Autoridad de Certificación (CA) para verificar quién es la empresa y que sus transacciones son auténticas.

Los navegadores web, como Google Chrome, Firefox e Internet Explorer mantienen listas de autoridades de certificación que consideran confiables. Cuando accede a lo que debería ser un sitio web seguro, el sitio presenta su certificado de seguridad a su navegador. Si el certificado está actualizado y es de una Autoridad de Certificación confiable, se le permite iniciar sesión y completar sus transacciones, sin advertencia.

Si está comenzando un sitio web seguro, hay muchas CA diferentes para elegir. Pueden incluir Norton, GoDaddy, Microsoft y muchos otros. Su trabajo es verificar que usted es el propietario del sitio para el que emiten un certificado, también conocido como Verificación de dominio. Esto se puede hacer enviando un correo electrónico con instrucciones para actualizar el nombre de dominio de su sitio web Configuración del servidor (DNS), o archivos en su servidor web, a la dirección de correo electrónico asociada con el sitio web dominio. La idea es que solo la persona que recibió ese correo electrónico tenga las instrucciones exactas para actualizar el sitio web y pueda hacerlo.

Mayor seguridad

Existen otros tipos de certificados más estrictos que una CA puede ofrecer (que cuestan más) para verificar quién es usted y su los negocios son, como la Validación Extendida, que puede costar cientos de dólares (las grandes empresas a veces pagan miles) La validación extendida incluye la verificación de información como la identidad legal del propietario del sitio web, el nombre de la empresa, la dirección física, el registro y la jurisdicción de incorporación. Esta la seguridad del sitio web es una medida importante de confianza si dirige un negocio ¿Qué es un certificado de seguridad del sitio web y por qué debería importarle? Lee mas .

Cuando visita un sitio que se ha sometido a Validación Extendida, los navegadores modernos incluyen el nombre de la empresa en verde en la barra de URL, para informarle que está tratando con la empresa correcta.

Autoridades de certificación gratuitas

Existen Autoridades de certificación gratuitas, pero debido a que el servicio es gratuito, no tienen las mismas capas de seguridad y marca que los grandes nombres. Además, a menudo carecen de su ubicuidad de reconocimiento del navegador. Eso significa que si obtiene un certificado de seguridad gratuito, puede escuchar de los lectores de su sitio web que el navegador presenta una advertencia cuando visitan su sitio que la Autoridad de certificación de su sitio es sin confianza Puede obtener la verificación de dominio gratuita de StartSSL (sin validación de identidad), y eso limpiará su sitio para que sea confiable para los navegadores Mozilla, Safari e Internet Explorer. Sin embargo, no obtendrá la barra verde para los paquetes de Validación Extendida, que cuestan alrededor de $ 200. Sin embargo, la compañía tiene su sede en Israel y debe conservar sus documentos de verificación durante varios años.

CACert es una Autoridad de Certificación gratuita impulsada por la comunidad. Los Aseguradores voluntarios de CACert se reúnen con los propietarios del sitio para revisar sus documentos de identificación en persona. Desafortunadamente, los certificados de CAcert no son confiables en los principales navegadores, y solo se incluyen en algunos sistemas operativos de código abierto.

Sin embargo, el uso de CACert y StartSSL ofrecerá el cifrado de su sitio, por lo que si tiene una simple interacción del usuario en su sitio (como un foro o una wiki), estos servicios gratuitos pueden ser justo lo que necesita.

Qué hacer si ve una advertencia de certificado

Lo importante que debe hacer cuando recibe la advertencia de ese navegador es verificar los detalles. Podrá averiguar por qué se rechazó el certificado y decidir por sí mismo si desea continuar y utilizar el sitio de todos modos. Si el certificado caducó, el propietario del sitio web puede haber olvidado renovarlo a tiempo. Si ve mucho este error, debe verificar la fecha del reloj de su computadora y asegurarse de que sea correcto.

Sin embargo, si el certificado de seguridad fue revocado, significa que el sitio está usando el certificado de manera fraudulenta y no debe confiar en él. También puede recibir la advertencia de que la Autoridad de certificación no es de confianza. Si cree que comprende y confía en el modelo de verificación de igual a igual de CACert o en la verificación de dominio de StartSSL, puede saber su navegador para confiar en esas CAs. Hay otros tipos de advertencias y errores, así que mantén los ojos bien abiertos y lee el detalles.

Cuando vea una advertencia de certificado de un sitio en el que confía, también puede intentar verificar el feed de Twitter del sitio web, a menudo el hogar de actualizaciones sobre el sitio, el tiempo de inactividad, la seguridad y otros problemas.

Si no tienen actualizaciones, y si puede, puede ayudar contactar al propietario del sitio web y preguntar qué está pasando. Es posible que esté ahorrando mucho dolor al propietario del sitio web y a otros usuarios, en caso de que aún no conozcan la advertencia del certificado.

En resumen, esté atento (porque estafas de phishing La nueva estafa de phishing utiliza una página de inicio de sesión de Google escasamente precisaObtienes un enlace de Google Doc. Hace clic en él y luego inicia sesión en su cuenta de Google. Parece lo suficientemente seguro, ¿verdad? Mal, aparentemente. Una configuración sofisticada de phishing le está enseñando al mundo otra lección de seguridad en línea. Lee mas están ahí fuera), pero también sé curioso. Ve y descubre por qué ves advertencias de seguridad.

¿Alguna vez ha encontrado una advertencia de certificado de seguridad? ¿Te tomas el tiempo para descubrir por qué lo estás viendo? ¿Cuáles te preocupan más y tienes algún consejo sobre qué hacer al respecto?