Let’s Encrypt, certificados SSL libres y gratis, protege tu web con HTTPS

certificados-ssl-gratis-seguridadA finales del año pasado ya anunciábamos en nuestra web que Google Chrome iba a declarar gran parte de las páginas de internet ‘No seguras’. La única forma de que tu página web apareciera como ‘Segura’ era instalar el protocolo de seguridad HTTPS en la web o dominio, algo de lo que hasta hace poco solamente existían las opciones de pago. (Leer el artículo original)

Hasta hace poco disponer de un certificado SSL no resultaba económicamente muy viable para muchas personas, especialmente para aquellas con web personales, blogs o incluso pequeñas pymes que utilizan sus páginas  web más que nada cómo un pequeño escaparate de sus servicios e información de datos de contacto.

Pero para todas estas personas y todo aquel que lo prefiera ya han sacado la opción gratuita, Let’s Encrypt.  Su página oficial es: https://letsencrypt.org/

Let’s Encrypt es una Autoridad Certificadora sin ánimo de lucro que permite generar certificados SSL de forma gratuita. Impulsado por la Fundación Linux, está apoyado por varios grupos de organizaciones como Facebook, Google, Cisco, Automattic (WordPress) etc.. Estos certificados (con los que ya obtienes el protocolo de seguridad HTTPS) son la mejor manera de proteger los datos que navegan entre tu pagina web y el usuario que la visita.

Estos nuevos certificados gratuitos cifran la información de la misma forma que los de pago, pero eso sí, no ofrecen las mismas opciones. Para poder diferenciarlos vamos a explicar primero los tipos de certificados SSL que existen en el mercado.

Una de las cosas que los diferencian es el tipo de validación que ofrecen:

  • Validados por dominio (DV): son los más sencillos, y desde que ha aparecido Let’s Encrypt se obtienen de manera gratuita. Obtienes una página y navegación de datos encriptado y en el navegador se muestra el protocolo https de seguridad con el candado verde.
    ssl-https-seguro
  • Certificados tipo Organización Validada (OV): además de la encriptación de los datos, la empresa certificadora valida también la organización o empresa que lo solicita (por lo que de alguna forma el usuario se asegura de que realmente la web donde navega pertenece a esa empresa y no es un fake). El pero de este certificado es que los navegadores no los diferencian de los certificados DV por lo que a primera vista, la barra de dirección muestra la misma información que los primeros.
  • Certificados tipo Validación Extendida (EV): estos certificados son los que ofrecen un mayor nivel de validación. Cómo en el tipo de validación DV, la empresa certificadora también valida a la empresa pero a diferencia con el anterior aquí el navegador muestra el nombre de la empresa en la barra de dirección en color verde, dando más sensación de seguridad al usuario que la visita.

Otra gran diferencia entre el certificado gratuito y los de pago sería en relación a la cantidad económica asegurada por parte de la entidad que gestiona el certificado. Por ejemplo, imaginemos que tengo una tienda online donde los clientes introducen sus datos bancarios y por alguna razón ha habido algún fallo de seguridad en el intercambio de esos datos.

Si en este caso tuviera algún tipo certificado de seguridad de pago, en función del contrato firmado, la empresa certificadora me cubriría un mínimo de  10.000 $ con el que pagar la posible multa o sanción. Sería cómo un seguro de responsabilidad civil que se ejecutaría en caso de robo de los datos en el intercambio que ha habido entre mi web y el usuario. En caso de tener un certificado gratuito no existiría ninguna cantidad de seguro y tendría que afrontar el total del pago de la multa yo sólo.

Veamos ahora un pequeño resumen de las diferencias entre los distintos certificados.

SSL Let’s Encrypt RapidSSL WildCard True Business ID True Business ID + ED
Método de autentificación Validación de dominio Validación de dominio Validación de dominio Validación  de dominio + la organización Validación de dominio + la organización Extendida
Encriptación 128/256 bits 128/256 bits 128/256 bits 128/256 bits 128/256 bits
Protección subdominios NO NO SI SI SI
Entidad certificadora Let’s Encrypt Equifax Secure Certificate Authority Equifax Secure Certificate Authority Equifax Secure Certificate Authority GeoTrust Primary Certificate Authority
Tiempo de instalación + verificación 1 día 1 día 1-6 días 1-6 días 1-15 días
Garantía de seguro NO SI SI SI SI

Viendo la tabla superior podríamos decir que la principal desventaja de estos certificados SSL gratuitos (Let’s Encrypt) radica en la cantidad asegurada por parte de la entidad certificadora, que en este caso es NULO.

Los demás certificados nos cubrirían entre 10.000 $ y 125.000$ (según el certificado que escojamos), algo que nos vendría muy bien en caso de sufrir algún perjuicio económico por la exposición de los datos. Eso sí tendría que ser demostrable que el fallo de seguridad viene del propio certificado.

Por todo esto, si estáis pensando en instalar un certificado SSL para vuestra página web, nosotros desde INNOVA lo primero que haríamos sería preguntaros si en él intercambiáis información catalogada como importante (métodos de pago, datos personales…) porque en caso afirmativo os recomendaríamos instalar un certificado de pago.

En caso contrario, si únicamente disponéis de una dirección de correo o un formulario donde solamente pedís los datos de contacto, os sugeriríamos probar con el certificado gratuito.

La instalación en sí es sencilla de hacer aunque si ya tienes una página web bien posicionada en internet te sugerimos que contactes con algún técnico especializado que pueda configurar algunas de las opciones a modificar en la página web y en la nueva configuración a proporcionar a Google (con aplicaciones como Webmaster Tools, Google Analytics, google…).