Mozilla en conjunto con Google han anunciado que durante el año 2018 procederán a dejar de confiar en los certificados emitidos por Symantec y sus compañías filiales. El procedimiento se realizará de forma gradual hasta que en octubre se marquen todos los sitios como inseguros. Las únicas filiales de Symantec que seguirán siendo confiables son las de Google y Apple.

Ambas organizaciones decidieron dejar de confiar en esta CA después del incidente sucedido a comienzos del 2017 cuando Google invalidó más de 30.000 certificados emitidos por Symantec después de detectar distintos fallos de seguridad en el proceso de validación.

A esto hay que sumarle las 23.000 claves privadas de DigiCert, propietario de Symantec, filtradas por Trustico a finales de febrero del 2018 cuyo objetivo parece ser forzar a estos usuarios a obtener un certificado de una CA confiable por ambos navegadores.

 En una publicación de blog hecha el pasado jueves, Google anunció que quitará el indicador “Seguro” de su barra de direcciones en septiembre con el lanzamiento de Chrome 69. Este es un movimiento que se necesitaba desesperadamente.

El uso de HTTPS en la web ha mejorado a medida que evolucionamos los indicadores de seguridad de Chrome. Más adelante este año, daremos varios pasos más en este camino. Los usuarios deben esperar que la web esté segura de manera predeterminada, y se les avisará cuando haya algún problema. Como pronto comenzaremos a marcar todas las páginas HTTP como “no seguras”, procederemos a eliminar los indicadores de seguridad positivos de Chrome para que el estado predeterminado no marcado sea seguro. Chrome implementará esto a lo largo del tiempo, comenzando por eliminar la fraseología “segura” y el esquema HTTPS en septiembre de 2018 (Chrome 69).

Como hemos indicado anteriormente, el indicador “Seguro” en la IU de Google nunca fue una buena idea . Aunque fue una buena intención, se propuso como una forma de incentivar el cambio a HTTPS, en cambio, hizo que los sitios web de phishing fueran más efectivos al agregar una etiqueta “segura” en la barra de direcciones a pesar de la naturaleza nefasta del sitio. Phishing nunca ha sido más desenfrenado . Ahora parece que Google ha recibido suficiente aceptación para eliminar el indicador, lo que debería ayudar a asestar un golpe a los estafadores de todo el mundo.

La nueva interfaz de usuario se verá así:

Si nota que Google también eliminó el protocolo al comienzo de la URL. Solía ​​comenzar con “https: // …” que ahora se omitirá.

Emily Schecter, directora de productos de Google que maneja Chrome Security, pronunció un discurso que discutió algunas de las razones por las que Google decidió abandonar el protocolo y simplificar lo que muestra en la barra de direcciones de Chrome. Puedes verlo debajo.

Además, a partir de Chrome 70, que se lanzará en octubre, Google comenzará a agregar un indicador “No seguro” más intenso cada vez que comience a ingresar texto en una página HTTP.

Es probable que Mozilla y los otros proveedores de navegadores hagan lo mismo en los próximos meses.

Esta nueva UI neutral significa que la Validación extendida será solo el tipo de certificado SSL que recibe cualquier tipo de indicador. Y quién sabe cuánto tiempo se mantendrá. Muchos miembros del CAB Forum que no son miembros de CA han estado debatiendo sobre la eliminación del indicador EV durante años.

En el caso de las empresas en línea y los sitios web que aceptan pagos con tarjeta de crédito o de débito, o bien, que requieren que se transfieran datos personales delicados, como nombres y direcciones, el certificado SSL es una necesidad por cuestiones de seguridad del sitio web. Se trata de una manera esencial de asegurarse de que los sitios web sean seguros y de que el cliente quede protegido; no obstante, también realza de forma crucial el aspecto de seguridad de los sitios web.

¿Cómo funciona un certificado SSL?

El principio básico es que, al instalar un certificado SSL en el servidor y un navegador se conecta a él, la presencia del certificado SSL activa el protocolo SSL (o TLS), que cifra la información que se envía entre el servidor y el navegador (o entre servidores); por supuesto, los detalles son un poco más complejos.

El protocolo SSL funciona directamente encima del protocolo de control de transmisión (TCP) y actúa como una especie de capa de seguridad. Permite que las capas de protocolo superiores se mantengan sin cambios y al mismo tiempo se proporciona una conexión segura. Así que, debajo de la capa de SSL, las otras capas de protocolo pueden funcionar con normalidad.

Si un certificado SSL se utiliza correctamente, lo único que podrá ver un atacante será el puerto y la dirección IP que están conectada, y la cantidad aproximada de datos que se envían. Quizá puedan cortar la conexión, pero el servidor y el usuario podrán percatarse de que esto se debe a un tercero. Sin embargo, como el atacante no puede interceptar ningún dato, esta acción no tiene prácticamente ninguna utilidad.

Tal vez el hacker llegue a averiguar el nombre del host al que está conectado el usuario, pero lo importante es que no podrá identificar el resto de la URL. Dado que la conexión está cifrada, la información importante queda a salvo.

  1. El protocolo SSL comienza a actuar después de establecerse la conexión TCP e inicia lo que se denomina el protocolo de enlace de SSL.
  2. El servidor envía su certificado al usuario junto con una serie de especificaciones (como la versión de SSL/TLS y los métodos de cifrado que se utilizarán).
  3. A continuación, el usuario comprueba la validez del certificado, selecciona el nivel de cifrado más alto admitido por ambas partes e inicia una sesión segura con estos métodos. Hay una amplia variedad de series de métodos, denominados conjuntos de cifrado, cada uno con diferentes puntos fuertes.
  4. A fin de garantizar la integridad y la autenticidad de todos los mensajes que se transfieren, los protocolos SSL y TLS también incluyen un proceso de autenticación que utiliza códigos de autenticación de mensajes (MAC, Message Authentication Codes). Todo esto parece tedioso y complicado, pero en realidad se efectúa casi de manera instantánea.

Cómo saber si se necesita un certificado SSL

El hecho de que Google está empujando el uso de HTTPS en toda la web y dando prioridad a los sitios que tengan un certificado SSL, es probable que sea un indicador de lo mucho que se necesita el protocolo SSL; no obstante, las siguientes son las principales razones para obtenerlo.

Compras protegidas

Según Business Insider, el 74% de los carritos de compra se abandonan, pero hasta un 64% se puede recuperar si se ofrece mejor seguridad y fluidez al momento de pagar. De ese 64%, una gran parte de los usuarios tiene más posibilidades de cerrar la compra si tiene la certeza de que la página para pagar es segura. Es una cifra que muchas empresas no se pueden dar el lujo de pasar por alto. Ya que, aun si solamente utilizan el protocolo SSL en su página de pago, bien vale la pena.

Ofrecimiento de membresías

Si un sitio ofrece membresía o algo que implique recolectar direcciones de correo electrónico y otros datos delicados, entonces el certificado SSL es una buena idea. Siempre es prudente mantener la información del cliente lo más protegida que se pueda.

Si se emplean formularios

Lo mismo aplica si los sitios emplean algún formulario donde el usuario ponga información, documentos o imágenes. Es sorprendente la cantidad de información que se recaba de los visitantes de un sitio, así que vale la pena mantenerla segura.

Si se trata de un blog o un sitio estándar de ‘solo información’, HTTPS puede ayudar a proteger la seguridad de los sitios, reducir el riesgo o la manipulación e impedir que los intrusos inyecten anuncios en las páginas para interrumpir la experiencia del usuario. Además, en realidad no se afecta la clasificación de los motores de búsqueda.

¿Funciona el certificado SSL en todo tipo de dispositivos?

En pocas palabras, la respuesta a esta pregunta es sí. Por supuesto que hay ciertas configuraciones que no funcionan al 100%, así que, si no se tiene certeza, podría ser de utilidad hablar con el equipo de ventas de la entidad de certificación.

Dispositivos y sistemas operativos

Reiteramos, se admiten todos los sistemas operativos principales para computadoras, tabletas y teléfonos moviles. No obstante, en el caso de los dispositivos móviles, existe la posibilidad de que aquellos que sean más antiguos no admitan protocolos SSL o TLS más recientes, así que es recomendable investigar para garantizar la máxima compatibilidad. Si se tienen dudas, el proveedor del certificado SSL puede ayudar.

Compatibilidad con los navegadores                                                                           

La gente utiliza diversos navegadores (Chrome, Firefox, Safari, etc.) para obtener acceso a contenido en la web. Así como se crean sitios de modo que funcionen en todas las plataformas de navegación, un certificado SSL/TLS que emita un proveedor de renombre también funciona en el 99% de los casos. A menos que el usuario ingrese a un sitio mediante un explorador sumamente especializado, todos los nombres importantes quedarán cubiertos.

¿Cuáles son las implicaciones visuales de SSL?

¿Cómo funciona esto exactamente y qué forma visual adquiere SSL en un sitio?

Al igual que con todo tipo de compras, ya sea en línea o no, es más probable que la mayoría de la gente compre en un negocio de prestigio. Los certificados que demuestran autenticidad o destreza en cierto campo ayudan muchísimo a que el cliente se sienta más seguro.

Ese es exactamente el impacto visual que puede llegar a tener un certificado SSL en un cliente potencial. SSL y TLS son las mejores y más aceptadas normas de seguridad de la industria, y el certificado se debe colocar con orgullo en un lugar donde cualquiera lo pueda ver.

 

 

Primero que nada, se muestra en la barra de dirección. El prefijo del sitio contendrá https:// en lugar de http:// y los usuarios insisten con más frecuencia en la diferencia.

El icono de candado que aparece en la barra de dirección también es una gran indicación de seguridad. Da la certeza al cliente de que su conexión es segura y está cifrada. Además, como se mencionó, aumenta las probabilidades de que la gente termine una transacción.

Al utilizar la forma más segura del certificado, es decir, el certificado SSL de validación extendida, el nombre de la empresa se muestra en verde en la barra de dirección. Es otra manera segura de indicar al cliente que el sitio es 100% legítimo.

Por último, muchos certificados SSL vienen con una imagen de sello, la cual se puede utilizar en el sitio para mostrar la marca de SSL que se emplea. Ponga al tanto a sus clientes de que su seguridad e información están protegidas, y eso aumentará las posibilidades de que depositen su confianza en el sitio para gastar su dinero.

¿Por qué preferir Entrust Datacard como CA de confianza de la mano de BlueFortress?

  • Solución unificadapara la confianza pública y privada
  • Soluciones inteligentes de identidad, autenticación y encriptación
  • Asegure usuarios conectados, sistemas y cosas
  • El más ampliosoporte de solicitud
  • Solución comprobada y de confianzapara grandes empresas