Chrome, Firefox y los certificados SSL

A finales de 2016, Google ya anunció que la nueva versión 56 de su navegador Chrome, mostrará avisos de "Páginas no seguras", aquellas webs en las que se recopilen datos personales como números de cuenta, contraseñas, etc, y que no dispongan de certificado SSL, por lo que en principio, este aviso afecta principalmente a sitios de comercio electrónico y tiendas online.

Dado que el lanzamiento de la versión 56 de Chrome estaba previsto para principio de 2017, es lógico que la mayoría de empresas ya hayan instalado su certificado SSL, teniendo en cuenta que la cuota de mercado de este navegador está en torno al 50%, superando incluso al popular Internet Explorer, y evitando así que sus clientes se topen con este tipo de mensajes, cuanto menos inquietantes...

Aunque no ha tenido tanta repercusión como el anuncio de Google Chrome (los anuncios de Google tienden a sobredimensionarse), tambien el navegador Firefox a empezado a mostar estos avisos de seguridad en enero de 2017, incluso de forma mas visible que en el caso de Chrome, ya que incluye un aviso de seguridad cada vez que rellenamos los datos de un formulario de inicio de sesión (login), en el caso de que no exita un certificado SSL válido.

Ya pero... ¿qué es un certificado SSL?

Los certificados SSL (securet socket layer) basicamente, lo que hacen es validar y acreditar el intercambio de datos encriptados mediante el protocolo https entre un servidor web y el usuario, evitando así que la información que enviamos a través de una conexión a internet pueda ser interceptada con fines "maliciosos", y evitando que se puedan dar muchos de los fraudes que actualmente se dan en la red. En definitiva, aunque la encriptación SSL es un tecnología de servidor que podemos emplear en cualquier página web, lo que se trata es de que una entidad reconocida, certifica que los datos servidos por una determinada web, son auténticos. 

Estos certificados deben estar emitidos por una entidad acreditada, que, una vez ha verificado los datos de nuestra empresa o dominio, genera varias claves de encriptación, una clave pública y otra privada que trabajan de forma conjunta para encriptar/desencriptar la información. De esta forma, además de que la información se intercambia cifrada, el navegador puede identificar los datos, tanto de la entidad certificadora, como de nuestra empresa, evitando por ejempo los casos de phising o suplantación de identidad.

Una de candados

Para saber si una conexión a una página web está usando un certificado de seguridad, debemos fijarnos en la barra de direcciones del navegador para ver los diferentes estados, aunque cada navegador muestra el certificado de forma diferente:

• Símbolo información

  Si hacemos click, veremos un mensaje del tipo "La conexión no es segura", es decir, no hay certificado SSL o este no es válido.

  

• Candado gris o texto "No es seguro"

  Este sería el caso al que nos referimos en este artículo, una conexión sin certificado SSL y que el navegador considera de riesgo por tratarse de páginas en las que se detectan inicios de sesión o formularios de introducción de datos. En estos casos, el navegador nos informa de que los datos introducidos no son seguros y pueden ser interceptados por terceras personas.

  Este tipo de avisos ya es efectivo en todos los sitios de comercio electrónico o que trabajan con datos personales. Chrome
  

  
   
  Firefox
  
  

• Candado de color verde - "Es seguro"

  La cosa va mejorando, tras el candado verde tendremos un mensaje "Conexión segura", desde donde, además, podremos consultar los datos del Certificado (empresa, entidad emisora, etc). En este caso tendremos instalada en la web un certificado de validación de dominio o de validadción de empresa.

  Chrome
  
  
  
  Firefox
  
  

• Candado verde + Barra de direcciones de color verde

  Este certificado proporciona el mayor nivel de seguridad, se trataría de un certificado de validación extendida "wild car", en la barra del navegador también se muestra el nombre de la empresa. Para emitir este tipo de certificados, la entidad acreditadora comprueba la existencia física y jurídica de la empresa, y otros aspectos que garantizan la legitimidad de la web.

  Chrome
  
  
  
  Firefox
  
  

• No hay candado y aparece un símbolo de alerta

  Probablemente existe algún problema con la seguridad del sitio, por lo que no sería muy recomedable jugarsela introduciendo datos personales...

  Chrome
  
  
  
  Firefox
  
  

¿Necesito un certificado SSL?

Como ya hemos comentado, en principio, tanto Firefox como Chrome, unicamente se está centrando en las webs que recogen datos de inicio de sesión como es el caso del comercio electrónico, (de momento) y, aunque los certificado SSL aportan ventajas a cualquier web, si tienes un negocio online, es casi obligado dadas sus ventajas:

• Confianza: importante en las transacciones online, un mensaje que diga que tu sitio no es seguro, inspira poca confianza.
• Seguridad: el uso de una conexión segura, te puede ahorrar muchos quebraderos de cabeza protegiendo tu sitio de ataques y hackers.
• Posicionamiento Web: si, también es bueno para el SEO de tu web, dentro de las políticas de Google, se encuentra el mejorar el ranking de los sitios que ofrecen un nivel de seguridad mayor... aunque este sea solo un factor mas de los muchos que influyen en el posicionamiento de una página web.
• Campañas de publicidad en buscadores: hay que destacar que en los casos en que estés realizando campañas de marketing online a través de alguno de los productos de Google para una para tiendas online, Google te va a detener la campaña si tu web no cuenta con un certificado SSL, ya que entiende que esa web no es segura.

Si bien la seguridad que un certificado SSL aporta a nuestra web es razón suficiente como para justificar su instalación, no hay que perder de vista que se trata de una recomendación de Google, y éstas suelen conllevar ciertos beneficios a nivel de visibilidad, además, la compañia ya ha anunciado que estos mensajes iran cobrando mayor relevancia en un futuro, así como su política de promover el uso de certificados SSL, por lo que es de suponer que al final hay que ceder a la presión de Google y pasar por caja (por cierto, ¿había dicho que estos certificados tienen un coste?...).

Tambien es importante destacar que tras la instalación de un certificado SSL, es necesario adaptar algunos aspectos relativos al SEO de nuestra pagina web, ya que la url va a cambiar de http a https.