Debido al aumento del uso del cifrado en la web, la gente ha empezado a asociarlo con la confianza. Esto, por supuesto, creó un efecto de bola de nieve en el que más sitios web sintieron el incentivo de adoptar el cifrado SSL/TLS para no quedarse atrás. Los sitios de comercio electrónico, en particular, fueron de los primeros en sentir esa presión, ya que los clientes desconfiaban de realizar transacciones en línea sin cifrado.

Cuando se trata de sitios web propiedad de entidades, el cifrado se convierte en algo más que un simple algoritmo utilizado para asegurar los procesos en línea. Es un asunto más complicado, con autoridades de certificación (CA) y diferentes niveles de autorización. Ahora, con la aparición de CAs gratuitas como Let’s Encrypt, la gente se pregunta por qué existen alternativas comerciales. ¿Son «mejores»? ¿O hay algo más en la historia?

Entender las CAs y su importancia

autoridad de certificación-emag

Para utilizar HTTPS y que su sitio web sea reconocido como «seguro» (es decir, que la barra de URL se vuelva verde cuando un usuario visite su sitio) se requiere algún tipo de autorización. Necesita un certificado SSL emitido por una autoridad de certificación. Un certificado «validará» su presencia en línea como algo «real». Hay diferentes tipos de validación:

  • La validación del dominio (VD), que demuestra de forma irrefutable que usted es usted y es el dueño del dominio que quiere asegurar
  • La validación organizativa (OV), que demuestra que usted es el propietario del dominio y verifica algunas cosas sobre la organización que está detrás de su sitio.
  • Validación ampliada (EV), que realiza un análisis exhaustivo y riguroso de su dominio, su organización y su estatus legal
RELACIONADO:  Porque la madera demora en calentarse

El proceso de certificación para DV es obviamente mucho más fácil de obtener, ya que todo lo que tiene que hacer es presentar una prueba de que es dueño de su dominio. De hecho, esto es algo que se puede automatizar.

Ahora pasemos a las CAs gratuitas

autoridad certificadora-segura

Las autoridades de certificación como Let’s Encrypt emiten certificados DV sin coste alguno. Consiguen automatizar el proceso de verificación de la propiedad del dominio hasta el punto de que no les cuesta casi nada validarte. Todo esto está muy bien si tienes un sitio web común y corriente que no requiere que los usuarios compartan datos sensibles (como números de tarjetas de crédito, detalles de cuentas bancarias, números de pasaporte, etc.).

Si tiene un sitio web de comercio electrónico, tal vez debería considerar la posibilidad de recurrir a una autoridad de certificación comercial. El nivel de confianza que proporciona una validación ampliada legitimará su organización más que cualquier otra forma de certificación. Como mínimo, consiga un certificado OV si no quiere molestarse en los trámites burocráticos para conseguir un EV.

Si es propietario de una gran entidad web que aloja sitios web en múltiples subdominios, puede que le decepcione saber que tampoco puede obtener un certificado comodín de forma gratuita (ni siquiera de Let’s Encrypt). Este certificado le permitirá validar cada subdominio que cree bajo su nombre de dominio principal.

La conclusión aquí es simple: si está ejecutando un sitio web simple que no requiere el intercambio de datos sensibles, un certificado de validación de dominio como los ofrecidos por Let’s Encrypt estará bien. No necesitas nada más sofisticado.

RELACIONADO:  Para que sirven las escuadras de 45 y 60 grados

Por lo demás, es preferible que se atenga a las autoridades comerciales. En algunos países puedes incluso tener problemas legales por no haber utilizado un certificado de validación ampliado para acuerdos legalmente vinculantes.

¿Cree que con el tiempo podremos automatizar toda la validación de certificados? ¿O es un salto demasiado grande para la humanidad? Díganoslo en un comentario.