Cada semana aparecen nuevas amenazas de seguridad: registros médicos modificados o robados, contraseñas comprometidas, números de tarjetas de créditos robados, etc. Todo lo anterior es suficiente para que exista una preocupación cuando los usuarios ingresan su información en línea a diferentes compañías y por diferentes motivos. Sin embargo, esa sensación puede evitarse si se puede diferenciar qué sitios son seguros.
Solo hay que buscar el candado en la barra de direcciones del navegador seguido de las letras HTTPS, esto significa que el sitio web está utilizando un certificado TLS / SSL (denominado en adelante “TLS”, que es el protocolo actual utilizado para el cifrado) para cifrar La navegación y así gestionar los datos seguros. Sin embargo, se debe ir más allá y verificar qué CA (Autoridad de Certificación) emitió el certificado y qué tipo de validación existe para proporcionar una seguridad sólida que es seguro compartir la información del usuario con el sitio.
“Con la llegada de una web que está más del 90% encriptada y con los navegadores que muestran un candado verde para todos los sitios https, independientemente del tipo de certificado, es una falacia simplemente” buscar el bloqueo “, ya que esto no es suficiente para proteger a los usuarios de sitios fraudulentos”, dijo Dean Coclin, Director Senior de Desarrollo de Negocios de DigiCert. “Los usuarios deben ser diligentes en la búsqueda de pistas sobre la identidad del sitio, incluida la presencia de certificados de alta seguridad, como la Validación ampliada (EV), que a menudo incluyen la barra de direcciones verde o el nombre legal del propietario del sitio web junto a la URL”.
Esto proporciona una excelente visibilidad de que el sitio ha sido autenticado. Los certificados de validación de la organización (OV) también muestran cierta información de la compañía al hacer clic en “más información” en el candado para ayudarlo a verificar el sitio.
Otra pista que se debe buscar es el nombre de la Autoridad de Certificación (CA) que emitió el certificado del sitio web. Con algunos navegadores, los usuarios pueden desplazarse sobre el bloqueo para ver el nombre de la CA. Las principales CA, como DigiCert, están actualizando constantemente los estándares globales mediante los cuales las CA validan las identidades y siguen procesos rigurosos.
“Es muy fácil que los sitios web obtengan certificados en la red hoy en día, pero las empresas también necesitan proteger la integridad de sus propios procesos y proporcionar seguridad de identidad a sus usuarios. Como líder mundial en certificados de alta seguridad, DigiCert ofrece soluciones optimizadas, aún “los procesos de validación de identidad altamente integrales, así como el personal de soporte al cliente, las herramientas y las plataformas líderes en la industria ayudan a los clientes a obtener y administrar sus certificados. Esto promueve una web más segura para todos”, dijo Manuel Pavón, Gerente de Desarrollo de Canales para América latina.
El proceso de obtención e instalación de un certificado TLS incluye algunos pasos como los siguientes:
- El primer paso es solicitar un certificado de una de las Autoridades de Certificación (CA). Durante este proceso, un cliente crea una solicitud de firma de certificado (CSR) y obtiene un par de claves (público para identificación en la web y datos de cifrado y privado para almacenamiento seguro en sus sistemas y descifrado de los datos que recibe).
- El siguiente paso es la validación. La Autoridad de Certificación revisa los documentos legales de la organización para verificar que la organización solicitante controla el dominio (DV), es propietaria del dominio y es un negocio legítimo (OV) y que el propietario del dominio autoriza al solicitante a recibir un certificado en su nombre (EV). La validación se lleva a cabo en varios niveles y depende del tipo de certificado que se busca. Al igual que un pasaporte o una licencia de conducir, cuando se trata de asuntos de datos confidenciales como transacciones en línea, las empresas pueden promover una identidad sólida mediante el uso de certificados OV y EV.
3.- Emisión. Una vez que se verifica todo, el pago se procesa y la Autoridad de Certificación emite el certificado a la organización. DigiCert utiliza la última tecnología y procesos para acelerar el proceso de emisión y liderar la industria.
- Instalación. El administrador del sistema de la organización debe instalar el certificado en el servidor indicado. Existen varias herramientas para ayudar a un administrador del sistema a instalar correctamente el certificado y configurar su servidor. Aquí se encuentra uno popular: https://www.digicert.com/tools/.
- Encriptación del navegador. El navegador se comunica con el servidor del sitio web para determinar la validez del certificado. Si está validado, el usuario puede ver un candado verde y HTTPS en la barra de direcciones del navegador. Para mayor seguridad de que el sitio web que visitan es auténtico, los usuarios pueden buscar signos de certificados de alta seguridad, incluido el nombre de la organización o el color verde en la barra de direcciones web.
Los certificados se intercambian, es decir, si navega por un sitio web, el navegador web y el servidor se comunican entre bastidores para establecer el protocolo de intercambio para la conexión.
Los certificados se validan después de que el navegador “habla” con el servidor y determina si el certificado TLS está presente. El navegador comprueba el certificado en el servidor para asegurarse de que sea válido y que provenga de una Autoridad de Certificación confiable.
Se comprueban las fechas de vencimiento y, si todo está bien, el navegador muestra el candado en HTTPS. Y, por último, si todo está bien, el navegador o la aplicación responden de manera adecuada y, si el certificado pasó todas las verificaciones, el navegador inicia una sesión segura y toda la información está encriptada.