Gestionar un sitio web es una actividad bastante compleja, y es posible identificar diferentes grados de complejidad, según los distintos puntos de visita. Desde el punto de vista del contenido, es fácil convencerse de la gran diferencia que existe entre gestionar el contenido de un portal de comercio electrónico, en comparación con el que requiere un sitio de escaparate estático, en lugar de un blog personal.
Esta complejidad es igualmente variable para quienes se ocupan de la gestión técnica del sitio. Implementar un pequeño sitio estático es muy diferente de implementar un portal con múltiples dominios, que debe soportar un gran tráfico.
Esta complejidad de gestión también tiene que ver con la seguridad y, por tanto, con los certificados SSL. Pero, ¿qué certificado SSL debemos elegir para nuestro sitio web?
En este artículo intentaremos dar algunos consejos para elegir los certificados SSL más adecuados, utilizando algunos casos de uso y ejemplos prácticos.
Certificados SSL: ¿es necesario?
Antes de empezar a preguntarnos qué certificado SSL elegir, conviene preguntarse si este tipo de documento digital nos es realmente útil. En la gran mayoría de los casos, la respuesta a esta pregunta es que sí, que el certificado SSL es absolutamente útil.
De hecho, desde hace varios años, Google y otros motores de búsqueda aplican políticas que favorecen a los sitios web que utilizan certificados SSL y el protocolo HTTPS. Esto significa que, aunque el propósito original de estos certificados era únicamente asegurar la comunicación entre el cliente y el servidor, hoy en día incluso la optimización de motores de búsqueda (SEO) requiere certificados SSL y su instalación adecuada.
Por consiguiente, hay muy pocos casos en los que se pueda decidir no utilizar un certificado SSL.
¿Qué certificado SSL para un pequeño sitio web personal?
Si hemos decidido implementar un sitio web personal, tal vez un blog o un escaparate sin pretensiones para una pequeña empresa, sin duda necesitaremos un certificado SSL. En esta situación, la mayoría de las veces podemos confiar en los servicios ofrecidos por nuestro proveedor que nos proporciona el espacio de alojamiento para nuestro sitio. Aruba, por ejemplo, incluye un certificado SSL de Validación de Dominio (DV) dentro de los principales paquetes de hosting, tanto Linux como Windows.
Esta opción tiene la ventaja de hacernos todo más fácil porque, el certificado DV SSL incluido en el hosting de Aruba, ya está activo y no es necesaria ninguna otra acción.
Si, por el contrario, nuestro sitio se encuentra en otro proveedor de hosting, también el certificado DV SSL puede ser fácilmente adquirido y activado en poco tiempo. La activación puede tardar entre unos minutos y unas horas como máximo, y puede hacerse simplemente por correo electrónico. Este tipo de certificado es muy económico, por lo que es adecuado para quienes desean ahorrar dinero sin tener grandes exigencias. De hecho, el certificado DV sólo garantiza que ha sido expedido al administrador que registró y gestiona el dominio. Por este motivo, el procedimiento para obtenerlo es bastante rápido y sencillo.
¿Qué certificado SSL para un sitio de comercio electrónico?
Detrás del bajo coste y la sencillez del certificado SSL de DV se esconden algunas desventajas. Estas desventajas son insignificantes para los sitios pequeños, pero pueden ser muy importantes para diferentes situaciones, como la gestión de un sitio de comercio electrónico o portales más complejos. De hecho, el nivel de seguridad que ofrece el certificado DV no es el mismo que el que garantizan los certificados Organisation Validated (OV) o Extended Validation (EV), lo que puede disuadir a los posibles compradores de realizar transacciones. Dada la facilidad con la que se puede obtener un certificado DV, no es difícil imaginar un escenario en el que un hacker malintencionado decida obtener uno, quizás implementando alguna acción maliciosa en un sitio aparentemente inofensivo.
Si nuestra intención es gestionar adecuadamente un sitio que ofrece servicios de comercio electrónico, o que en cualquier caso requiere que los usuarios tengan un nivel de confianza significativo, la mejor solución es obtener un certificado OV o EV. Estos dos certificados requieren un procedimiento de control no automático, que es por tanto más largo y preciso que el procedimiento de emisión de un certificado DV. Un procedimiento tan preciso hace más difícil falsificar una solicitud.
En efecto, la expedición de un certificado OV requiere que la Autoridad de Certificación (AC) verifique la identidad de la organización que lo solicita. El tiempo de solicitud, así como los costes, son por tanto naturalmente
¿Qué certificado SSL para un portal grande?
Otro caso que conviene considerar es el de un portal de mayor tamaño. De forma más general, en todos aquellos casos en los que nuestro sitio puede desarrollarse en varios subdominios (por ejemplo, de tercer nivel), o en cualquier caso en el que tengamos este tipo de exigencia, certificar un único dominio puede no ser suficiente.
De hecho, las solicitudes más comunes se refieren a la activación de certificados SSL emitidos para gestionar dominios individuales. Sin embargo, todas las CA (incluida Actalis) también ofrecen opciones multidominio (denominadas SAN y Wildcard), es decir, que permiten que un único certificado cubra más de un dominio (SAN) o más de un subdominio (Wildcard). Esta solución es perfecta para portales y sitios de gran tamaño, y más en general para todos aquellos casos en los que sea necesario ofrecer servicios que dependan de varios dominios.
La conveniencia de las opciones multidominio (SAN y Wildcard) es por tanto obvia: si tenemos más de un dominio que certificar, o más de un nivel de dominio en nuestro sitio, no es necesario adquirir más de un certificado, sino simplemente elegir la solución multidominio adecuada, lo que nos permitirá tener menos burocracia, menos órdenes de compra, menos verificaciones para la emisión, y todo ello a un coste menor que la emisión de certificados individuales.
Conclusiones
Como se desprende de lo expuesto hasta ahora, la elección del certificado SSL más adecuado depende en gran medida del caso de uso en el que se vaya a aplicar. En todos los casos, sin embargo, es necesario confiar en una Autoridad de Certificación creíble y, entre aquellas capaces de proporcionar todas las soluciones descritas anteriormente está Actalis, la CA del Grupo Aruba, con más de veinte años de actividad y reconocida en todo el mundo por la emisión de certificados SSL Server.