Debido al aumento del uso del cifrado en la Web, la gente ha empezado a asociarlo con la confianza. Esto, por supuesto, creó un efecto de bola de nieve en el que más sitios web sintieron el incentivo de adoptar el cifrado SSLTLS para no quedarse atrás. Los sitios de comercio electrónico, en particular, fueron de los primeros en sentir esa presión, ya que los clientes desconfiaban de realizar transacciones en línea sin cifrado.
Cuando se trata de sitios web propiedad de entidades, la encriptación se convierte en algo más que un simple algoritmo utilizado para asegurar los procesos en línea. Es un asunto más complicado, con autoridades de certificación (CA) y diferentes niveles de autorización. Ahora, con la aparición de CAs gratuitas como Let$0027s Encrypt, la gente se pregunta por qué existen alternativas comerciales. ¿Son «mejores»? ¿O hay algo más en la historia?
Comprender las CA y su importancia
Para utilizar HTTPS y que su sitio web sea reconocido como «seguro» (lo que significa que la barra de URL se vuelve verde cuando un usuario visita su sitio) se requiere algún tipo de autorización. Necesita un certificado SSL emitido por una autoridad de certificación. Un certificado «validará» su presencia en línea como algo «real». Hay diferentes tipos de validación:
- Validación de dominio (DV), que demuestra de forma irrefutable que usted es usted y que es el propietario del dominio que quiere asegurar
- Validación organizativa (OV), que demuestra que usted es el propietario del dominio y verifica algunas cosas sobre la organización que está detrás de su sitio
- Validación ampliada (EV), que realiza un análisis exhaustivo y riguroso de su dominio, su organización y su estatus legal
El proceso de certificación para la VD es obviamente mucho más fácil de obtener, ya que todo lo que tiene que hacer es presentar una prueba de que es propietario de su dominio. De hecho, esto es algo que se puede automatizar.
Ahora vayamos a las CAs gratuitas
Las autoridades de certificación como Let$0027s Encrypt emiten certificados DV sin coste alguno. Consiguen automatizar el proceso de verificación de la propiedad del dominio hasta el punto de que no les cuesta casi nada validarlo. Todo esto está muy bien si tiene un sitio web corriente que no requiere que los usuarios compartan datos sensibles (como números de tarjetas de crédito, detalles de cuentas bancarias, números de pasaporte, etc.).
Si está gestionando un sitio web de comercio electrónico, tal vez debería considerar la posibilidad de optar por una autoridad de certificación comercial. El nivel de confianza que proporciona una validación ampliada legitimará su organización más de lo que puede hacerlo cualquier otra forma de certificación. Como mínimo, consiga un certificado OV si no quiere molestarse con los trámites burocráticos para conseguir la EV.
Si es propietario de una gran entidad web que aloja sitios web en múltiples subdominios, quizá le decepcione saber que tampoco puede obtener un certificado comodín de forma gratuita (ni siquiera de Let$0027s Encrypt). Este certificado le permitirá validar cada subdominio que cree bajo su nombre de dominio principal.
La conclusión aquí es sencilla: si está gestionando un sitio web sencillo que no requiere el intercambio de datos sensibles, un certificado de validación de dominio como los que ofrece Let$0027s Encrypt estará bien. No necesita nada más sofisticado.
De lo contrario, debería ceñirse a las autoridades comerciales. En algunos países puede incluso tener problemas legales por no haber utilizado un certificado de validación ampliado para acuerdos legalmente vinculantes.
¿Cree que con el tiempo podremos automatizar toda la validación de certificados? ¿O es un salto demasiado grande para la humanidad? ¡Díganoslo en un comentario!
