Tu Guía Completa Sobre SSL/TLS y HTTPS

Tu Guía Completa Sobre SSL/TLS y HTTPS thumbnail

Entre las amenazas de ciberseguridad que siempre están incrementando y Google mejorando los estándares de seguridad, hoy es más importante que nunca que los dueños de empresas tomen medidas activas para salvaguardar sus sitios web. 

De lo contrario, estás poniéndote a ti y a tus clientes en riesgo. Pero, ¡hay esperanza! 

Puedes mostrarle a los usuarios que pueden confiar en ti al ofrecerles una experiencia segura, cifrada a través de algo llamado  Hypertext Transfer Protocol Secure (HTTPS). Para usar HTTPS, necesitarás comprar un certificado ‘Secure Sockets Layer’ (SSL) o ‘Transport Layer Security’ (TLS), el cual prueba que tu sitio es seguro. Cubriremos esto en un momento. 

En esta publicación explicaremos qué es SSL/TLS y HTTPS, y hablaremos sobre la importancia de tener estas funciones en tu sitio web. Luego, te mostraremos cómo implementar un certificado SSL/TLS. ¡Manos a la obra! 

Una Introducción al SSL/TLS y HTTPS

El SSL y el TLS son certificados que puedes añadir a tu sitio web. Son conexiones cifradas entre los navegadores y servidores web. Cuando visitas un sitio que utiliza una conexión certificada con SSL o TLS, solo ese sitio puede acceder la información que envías. 

El SSL es el predecesor del TLS, que ahora es considerado como desactualizado e inseguro.  Sin embargo, el acrónimo ‘SSL’ a menudo es usado indistintamente para referirse a cualquier tipo de certificado. Por lo tanto, nos referiremos a ellos como “SSL/TLS”. 

Para configurar el SSL/TLS, tendrás que instalar un certificado en tu página De esta manera, le aseguras a tus usuarios que tu sitio es seguro. En práctica, tu sitio empleará el protocolo HTTPS para establecer conexiones. Puede que reconozcas esto como una versión segura del HTTP estándar. 

HTTPS Protege Tu Sitio Asi:

  1. Cifrado para prevenir que la información sea interceptada durante el proceso de intercambio. 
  2. Integridad de información, los intentos de alterarla son detectables.
  3. Autenticación para prevenir ataques y crear confianza con el usuario. 

El SSL/TLS te permite entregar la información de tu sitio utilizando HTTPS, que proporciona una conexión segura y privada entre tu sitio y tus usuarios. Si la URL de un sitio usa http://, no está asegurada con SSL/TLS. Sin embargo, si utiliza https://, es segura — y necesitas un certificado SSL/TLS para hacer que esto suceda. 

En Google Chrome, puedes identificar sitios que son servidos a través de HTTPS por el ícono de candado en la barra de direcciones del navegador. Cuando un visitante solicita conectarse con un sitio web, la página envía el certificado SSL, que contiene la llave pública necesaria para asegurar la sesión. Luego, el servidor y navegador ingresan un proceso conocido como el handshake SSL/TLS. En resumen, los computadores se comunican entre ellos para establecer una conexión segura. 

Por Qué un Certificado SSL/TLS Es Importante Para Tu Sitio Web

Tener un certificado SSL/TLS (Y, en retorno, servir una conexión HTTPS) es crítico para tu seguridad web. Asegura que nadie podrá interceptar o acceder la transferencia de información entre tu servidor y el navegador de tus visitantes (también conocido como los ataques del hombre del medio). 

Estos no son los únicos tipos de ataques. Hace algunos meses, una vulnerabilidad fue encontrada en ‘mitmproxy’: un proxy de código abierto HTTPS que permitía ataques de contrabando de solicitudes HTTP. 

Con tantas amenazas de seguridad plagando el internet, usar el protocolo HTTPS es obligatorio. De hecho, desde Julio 2018, Google Chrome comenzó a marcar los sitios que  usan HTTP como “No Seguro”:

Un mensaje de Chrome mostrando que la conexión no es segura

Perder la confianza de Google puede impactar drásticamente tus clasificaciones de búsqueda. También puede hacer que los visitantes desconfíen de tu sitio. Después de todo, si sus navegadores les advierte que tu sitio podría ser dañino, es probable que veas una pérdida en el tráfico. 

Google comenzó a cambiar su algoritmo en el 2014 para favorecer a los sitios que utilizan certificados SSL. Hoy está poniendo incluso más énfasis en ellos, diciendo que aquellos con certificados SSL clasificarán mejor que aquellos que no, incluso cuando todos los otros factores son iguales. 

Otra importante razón para instalar un certificado SSL/TLS es si estás en una industria que requiere que cumplas con ciertos estándares. Por ejemplo, en la industria financiera, es requerido cumplir con estándares estrictos de seguridad con respecto a la información de pago. La Industria de Pago con Tarjetas (PCI) pone lineamientos que los dueños de sitios web deben cumplir para poder aceptar información de tarjetas de crédito de forma segura en sus sitios web. 

Cómo Saber Si Tu Sitio Web Está Utilizando SSL/TLS

Es importante asegurarse de que tu sitio web está usando un certificado SSL o TLS. También es esencial monitorearlo continuamente para asegurarte de que no ha expirado. Un reporte de Keyfactor descubrió que, en los últimos 2 años, el 81% de las compañías enfrentaron una falla relacionada con los certificados. 

Si tu certificado expira inesperadamente, puede poner tu sitio en riesgo. Las fallas pueden tomar horas en ser resueltas y el tiempo fuera de línea puede dañar a tu negocio. 

Revisar si tienes un certificado SSL/TLS válido es un proceso bastante simple. Para comenzar, abre tu sitio web en Google Chrome (o cualquier otro navegador). Luego, verifica la barra de direcciones en la parte superior de tu navegador para ver si tu sitio utiliza http:// o https://.

Puede que veas un candado de color junto a la URL. Si el color es rojo, entonces tu sitio no está usando SSL/TLS. Sin embargo, si tu sitio está asegurado con un SSL/TLS, podrás ver un candado verde. 

El ícono candado verde de HTTPS en una barra de navegación

Sin embargo, no solo los sitios SSL/TLS certificados muestran este ícono. Su presencia depende del tipo de validación empleada (más sobre esto en un momento). Por ejemplo, algunos certificados SSL/TLS mostrarán un simple ícono gris.

Una URL sin el ícono de candado.

Este significa que puede que el sitio no sea seguro, pero el navegador no puede determinarlo realmente. Si tu sitio no parece estar asegurado con SSL/TLS, aún puede tener un certificado. Sin embargo, es muy probable que haya expirado, lo cual puedes revisar al hacer clic en el ícono de advertencia junto a la URL. 

Una advertencia de ‘No Seguro’ en un navegador
Aquí, puedes hacer clic en el enlace del certificado para ver la información. Por ejemplo, podemos ver que este sitio tiene un certificado SSL/TLS, pero ha expirado. 

Un certificado SSL expirado

Finalmente, también es posible que tengas un certificado actualizado, válido SSL/TLS, pero tu sitio no lo usa por defecto. En ese caso, tendrás que forzar tu sitio para redirigir a HTTPS.

Los Tipos Diferentes de Certificados SSL

Si has encontrado que tu sitio no tiene un certificado SSL/TLS, necesitarás comprar uno. Antes de que realices esto, sin embargo, necesitas saber qué tipo de certificado estás buscando. 

Los certificados SSL/TLS vienen en muchas formas, cada una de ellas tiene sus pros y contras únicos. Para adquirir uno, tu sitio necesita estar certificado por una Autoridad de Certificados (CA). Dependiendo del tipo de certificado SSL/TLS que decidas comprar, la información de tu sitio tendrá que ser revisada. 

Tu elección de certificado depende ampliamente de tus requerimientos y presupuesto. Veamos las diferentes categorías para ayudarte a encontrar la opción que funciona mejor para ti. 

Validación de Dominio (DV)

Este tipo de certificado requiere que pruebes que tienes el derecho para usar un dominio en específico. Esto lo hace la opción menos segura. Sin embargo, también es el tipo de certificado SSL/TLS menos costoso, y puede que incluso adquieras uno gratuito. También puedes obtener uno aprobado rápidamente — incluso en minutos. Esto es recomendado para sitios más pequeños que no administran información sensible, como portafolios y blogs. 

Validación de Organización (OV)

Esta es una opción más segura, que requiere una verificación más estricta de tu sitio web. El CA examinará tu organización para asegurarte de que eres confiable y legítimo. Por lo tanto, esto también es un poco más costos y tomará un poco más para poder adquirirlo. Sin embargo, este tipo de certificado es recomendado para sitios más grandes que administran información de usuario y compras. 

Validación Extendida (EV)

Esta es la opción más segura, pero también es la más costosa y que toma más tiempo. Adquirir un EV requiere un proceso de examinación estricto y usualmente es más costoso que las opciones previas. Esto también quiere decir que toma más tiempo en ser aprobado. Este tipo de certificado está orientado a sitios grandes, con alto tráfico, tales como negocios de e-commerce y sitios web gubernamentales. 

Como mencionamos anteriormente, el tipo de certificado SSL/TLS que necesitas depende completamente del propósito de tu sitio y sus requerimientos. Recomendamos que leas más sobre diferentes niveles de certificados para asegurarte de que estás eligiendo la opción correcta.  

Dónde Obtener un Certificado SSL/TLS Para Tu Sitio Web

En este punto, sabes que necesitas un certificado SSL/TLS. Además, tienes una idea del tipo de certificado requiere tu sitio. Ahora, solo necesitas comprar uno. 

Puedes obtener un certificado SSL/TLS de una CA, tal como GlobalSign. Adicionalmente, algunos proveedores de alojamiento los ofrecen como extras gratuitos o como parte del paquete de sus planes pagos. 

En DreamHost, los certificados SSL/TLS pueden ser añadidos a tu sitio fácilmente desde tu panel de control. Veamos las opciones disponibles. 

SSL Sectigo Verificado

Este es un certificado DV (anteriormente conocido como Comodo) tiene un costo de $15 USD por año. Asegurará que tu sitio aparezca como seguro en los navegadores. Esto lo convierte en la mejor opción para sitios comerciales o sitios que administran información sensible. 

Let’s Encrypt SSL/TLS

Este también es un certificado DV gratuito. El certificado Let’s Encrypt es casi tan seguro como Sectigo. Por lo tanto, es ideal para sitios más pequeños que no administran mucha información personal, como blogs. 

Si ya tienes una cuenta de DreamHost, puedes adquirir uno de estos certificados al navegar a ‘Sitios web > Certificados de Seguridad’ en tu panel de control. Aquí, verás todos tus dominios y opciones disponibles de SSL/TLS.
Un certificado SSL expirado

Haz clic en el botón ‘Añadir’ junto a tu nombre de dominio. Esto te llevará a la pantalla donde podrás elegir entre un Certificado gratuito Let’s Encrypt o un certificado pago de Sectigo DV.

Cuando hayas decidido qué opción es mejor para tu sitio, haz clic en ‘Seleccionar este Certificado’

Opciones de certificados SSL de DreamHost SSL 

Tu sitio DreamHost ahora estará protegido por SSL/TLS. Por favor, permite 15 minutos para que los cambios sean enviados al servidor. 

Sin embargo, puede que te estés preguntando: ¿Qué pasa si quiero utilizar un certificado SSL/TLS si ya lo he comprado en otro lugar? En la siguiente sección, te mostraremos cómo instalar un certificado que fue comprado de un tercero. 

Cómo Instalar un Certificado SSL/TLS en Tu Sitio WordPress (2 Opciones)

Si has comprado un certificado SSL/TLS de un CA, tendrás que conectarlo a tu sitio e instalarlo. El proceso puede variar dependiendo de tu sitio, compañía de alojamiento y el tipo de certificado que has elegido. 

Sin embargo, hay dos métodos básicos para instalar un certificado SSL/TLS: empleando un plugin y desde tu panel de control de alojamiento. Veamos de cerca cada método. 

Opción 1: Instala el Plugin ‘Really Simple SSL’

Una de las formas más fáciles de añadir un certificado SSL/TLS a tu sitio es usar un plugin. Really Simple SSL es una herramienta que es fiel a su nombre.

El plugin Really Simple SSL de WordPress.

La herramienta es gratuita, aunque existe una versión prémium. También es increíblemente fácil de usar, con un proceso simple de configuración y una interfaz amigable con los usuarios.  

El plugin realizará la instalación completa y proceso de activación por ti. Todo lo que necesitas es un certificado SSL/TLS y la herramienta administra casi todo el resto. 

Comienza por instalar y activar el plugin Really Simple SSL en tu sitio WordPress. Luego, un mensaje aparecerá en tu panel con alguna información adicional sobre lo que necesitas hacer antes de activar el SSL/TLS. Asegúrate de completar todos estos pasos antes de proceder.

La configuración del plugin Really Simple SSL. 

Si tu sitio ya tiene un certificado SSL/TLS conectado, verás la opción ‘Go ahead, activate SSL!’ Si haces clic en ese botón, el plugin instalará y activará tu certificado. 

Sin embargo, si no has añadido un certificado SSL/TLS a través de tu compañía de alojamiento, verás un mensaje informándote de ese hecho. Tendrás que regresar al panel de control de tu compañía y seguir sus lineamientos específicos para añadir tu certificado. 

Una vez que has realizado eso, puedes regresar a tu panel de WordPress y activar tu certificado SSL/TLS. 

La pantalla de estado del sistema del plugin Really Simple SSL. 

Durante el proceso de instalación, la herramienta te mantendrá actualizado sobre el estado. Puedes ver algunas tareas que aún debes atender, así como refrescar el proceso en cualquier momento.

Opción 2: Utiliza el Panel de Control de DreamHost 

Ya te hemos mostrado como DreamHost hace fácil comprar y activar un certificado SSL/TLS desde tu panel de control. Puedes usar un proceso similar para añadir un certificado de terceros. 

Primero, tendrás que iniciar sesión en tu cuenta y navegar a ‘Sitios Web > Certificados de Seguridad’. Luego selecciona la pestaña ‘Importar un Certificado. En esta pantalla, podrás instalar un certificado SSL/TLS de terceros en tu sitio.
La opción de añadir un nuevo certificado SSL/TLS en DreamHost. 

Tendrás que añadir el certificado SSL/TLS, junto con tu llave privada y la solicitud de firma del certificado. Es importante que todos estos vengan del mismo CA y que hayan sido comprados de forma simultánea, de lo contrario no serán compatibles. 

También, querrás asegurarte de incluir todo cuando añades esta información. Por ejemplo, cuando pegas tu certificado, también deberías incluir las líneas — BEGIN CERTIFICATE—– y  —–END CERTIFICATE—– al inicio y al final respectivamente. 

Cuando has añadido todos los detalles necesarios, haz clic en ‘Guardar Cambios’. Si el certificado SSL/TLS es válido y has ingresado todo correctamente, ahora estará activo en tu sitio. 

Puedes probarlo para asegurarte de que el proceso funcionó correctamente al usar el método que te mostramos anteriormente. Simplemente, accede a tu sitio y asegúrate de que está utilizando https:// y tiene un candado verde junto a la URL (si aplica). Si es así, ¡entonces has añadido exitosamente un SSL/TLS a tu sitio WordPress!

¿Hay Riesgos Al Cambiar Tu Sitio a HTTPS?

Los riesgos de cambiar tu sitio de HTTP a HTTPS son mínimos, y los beneficios son mucho más grandes que cualquier inconveniente. El único riesgo real es que tu sitio podría estar fuera de línea temporalmente durante el proceso. Sin embargo, esto es usualmente un muy  pequeño problema que puede ser resuelto rápidamente. 

Dicho eso, aquí hay algunas cosas que debes tener en cuenta cuando cambias de HTTP a HTTPS. La mejor manera de asegurar una transición sin problemas es planear con tiempo.

Antes de comenzar el proceso de migración, es importante asegurarte de que el certificado SSL que compraste funciona. Puedes hacer esto al usar la herramienta de prueba SSL Labs.

La herramienta de prueba SSL Server. 

También querrás crear un plan detallado de migración y redirección. Una  redirección 301 debería ser ubicada en cada URL HTTP apuntando a su equivalente HTTPS.  

Así mismo hay un puñado de factores de Optimización Para Motores de Búsqueda (SEO) que debes considerar. Querrás asegurarte de que tu mapa XML esté actualizado e incluye solo tus URLs con HTTPS. También es importante actualizar todos tus enlaces internos, así como cualquier enlace externo sobre el cual tienes control y que esté apuntando a tu sitio.

Adicionalmente, recomendamos usar la ayuda de un desarrollador o experto de WordPress para asistir en el proceso de migración. Después de que la migración está completa, verifica y asegúrate de que tu versión HTTPS está conectada con tus cuentas de Google Analytics y Search Console.

El Futuro De La Seguridad Web

A medida que el internet continúa evolucionando, también lo hace la necesidad de la seguridad web. En el pasado, las actualizaciones de seguridad eran lanzadas según se hacían necesarias, típicamente en respuesta a una amenaza o vulnerabilidad que había sido descubierta. 

Sin embargo, el clima de la seguridad web de hoy en día es bastante diferente. Con el aumento de los ataques y nuevas amenazas apareciendo todos los días, los dueños de sitios web ya no pueden darse el lujo de esperar hasta que algo sale mal para tomar acción. 

En cambio, necesitas ser proactivo sobre la seguridad web y siempre estar en la búsqueda de nuevas maneras para proteger tus activos en línea. Esto quiere decir que debes mantenerte actualizado sobre las más recientes tendencias de seguridad y estar pendiente de nuevas actualizaciones que puedan ayudar a mejorar las defensas de tu sitio. 

El futuro de la seguridad web siempre está evolucionando y mantenerte al día con las últimas tendencias y tecnologías puede ser un reto. En los próximos años, esperamos ver un número de grandes actualizaciones de seguridad que podrían tener un impacto significativo en la forma en la que los dueños de sitios protegen sus sitios. Echemos un vistazo a algunas tendencias emergentes que creemos que tendrán un papel importante en el futuro de la seguridad web. 

Cambio por Defecto a HTTPS

Uno de los cambios más grandes que están en camino para la seguridad web es el cambio por defecto a HTTPS. Este cambio ha estado siendo trabajado por varios años, pero al fin está empezando a convertirse en realidad. 

Google ha estado presionando por este cambio desde el 2014, es incluso ha comenzado a darle preferencia a los sitios HTTPS en sus resultados de búsqueda. Por lo tanto, todos los sitios web deberían cambiarse a HTTPS si desean continuar en la carrera. Esto no solo ayudará con el SEO, sino que también hará que tu sitio sea más seguro para tus usuarios. 

Nuevas Funciones de Nombre de Dominio

Para ayudar contra el secuestro de nombres de dominio, la Internet Corporation for Assigned Names and Numbers (ICANN) presentó un nuevo conjunto de funciones de seguridad para todos los dominios registrados después de Enero 1, 2018. Estas funciones incluyen Bloqueo de Dominio, el cual previene cambios no autorizados de DNS, y Bloqueo de Registro, el cual previene la transferencia no autorizada de un dominio a otra compañía de registros.

Actualmente, estas medidas de seguridad no son obligatorias. Sin embargo, probablemente serán más populares, ya que podrían tener un papel importante en la prevención de secuestro de tu nombre de dominio. 

Otro gran cambio que vendrá en el 2022, es la introducción de Domain Name System Security Extensions (DNSSEC) o Extensiones de Seguridad del Sistema de Nombres de Dominio. Este nuevo protocolo de seguridad ayudará a proteger los servidores DNS de ser explotados y hará más difícil que los atacantes puedan falsificar en los registros DNS.

El DNSSEC ya está siendo utilizado en algunas de las compañías más grandes del mundo, incluyendo Google, Facebook y Netflix. Solo es cuestión de tiempo antes de que se convierta en un requerimiento para todos los sitios web. 

Ataque Más Sofisticados

A medida que los hackers se vuelven más inteligentes, podemos esperar ataques más sofisticados. Esto podría incluir todo, desde ataques dirigidos de Phishing hasta ataque de Denegación de Servicio Distribuido (DDoS) de gran escala. Los dueños de sitios web deben estar preparados para estas amenazas y deben tener un plan de recuperación. 

Regulación Incrementada

Con la introducción de la Regulación General de Protección de Datos (GDPR) y otras regulaciones de privacidad de datos. Esto podría conllevar a requerimientos más rigurosos para los sitios web, así como penalidades más grandes para aquellos que incumplen con estas regulaciones. 

Mayor Conciencia Sobre los Riesgos de Seguridad

A medida que la seguridad web se convierte más en una preocupación principal, podemos esperar ver más personas tomando acciones para proteger su información en línea. Esto podría incluir todo, desde usar contraseñas seguras, hasta invertir en productos y servicios de seguridad web. Al mantenerte actualizado en las más recientes tendencias de seguridad, puedes ayudar a mantener tu sitio a salvo de un ataque cibernético. 

Asegura Tu Sitio WordPress

Mantener tu sitio web seguro es una consideración que siempre debes tener presente, y es igualmente importante a asegurarte de que tus usuarios sepan que pueden confiar en ti. Al añadir un certificado SSL/TLS en tu sitio y forzando las conexiones seguras a través de HTTPS, puedes protegerte a ti mismo y a tus usuarios, mientras que te aseguras de que todo el mundo sepa que tu sitio es seguro.  

Afortunadamente, hay varios tipos diferentes de certificados SSL/TLS disponibles. Encontrar un certificado que se adapte a tus necesidades no debería ser difícil, una vez que sabes qué necesitas. Incluso puede que obtengas uno a través de tu compañía de alojamiento web. Lo que es más, instalar un certificado SSL/TLS es muy fácil, gracias a WordPress y DreamHost.

En DreamHost, nuestros planes vienen con una variedad de Funciones Administradas de Seguridad. ¡Échales un vistazo hoy para aprender cómo DreamHost puede simplificar la seguridad de tu sitio!

Toma Acción con Alojamiento VPS Flexible

Así se diferencia la oferta de VPS de DreamHost: seguridad administrada, atención al cliente 24/7, un panel intuitivo, RAM escalable, ancho de banda ilimitado, dominios de alojamiento ilimitados y almacenamiento SSD.

Sobre el Autor:

David es un Arquitecto Principal de Sistemas en DH, responsable de diseñar la arquitectura que administra la infraestructura de DreamHost. En su tiempo libre, disfruta de los videojuegos, interactuar con pequeños aparatos electrónicos, jugar paintball y pasar tiempo con su familia en su rancho en Montana. Sigue a David en LinkedIn en https://www.linkedin.com/in/dwahlstrom/