Cómo elegir el tipo correcto de certificado SSL

177
Security concept - Locks on digital screen
Security concept - Locks on digital screen

Logo-CertisurLos administradores de servidores de organizaciones altamente tecnológicas, los gerentes de productos de instituciones financieras y las empresas que solo quieren asegurar su carrito de compras, todos se hacen la misma pregunta: «Si todos los certificados SSL hacen lo mismo, ¿Qué tipo de Certificado SSL debemos tener?»

Los tres tipos de certificados TLS / SSL hacen fundamentalmente lo mismo: cifrar información durante las negociaciones de TLS. Instalados y configurados correctamente, tanto el  https como el candado se mostrarán en la mayoría de los navegadores.

Sin embargo, más allá del candado hay diferentes niveles de seguridad y riesgo.

¿Qué tipo de certificado TLS / SSL debe obtener?

La mayoría de los administradores de seguridad han hecho su tarea sobre las especificaciones técnicas antes de solicitar un certificado. ¿Es para uso interno o público? ¿Cuál es la base de usuarios y su método de uso? ¿Qué sistema operativo y software de servidor están involucrados? ¿Qué sistemas se verán afectados? ¿Cuáles son los requisitos de la política de seguridad?

Pero más allá de eso, un certificado TLS no se trata solo de la funcionalidad o el tamaño de la clave, sino también de la confianza.

Sensibilización de los consumidores

Las investigaciones muestran que a medida que crece el fraude en línea, disminuye la confianza digital del consumidor en las organizaciones. Si sus sitios están orientados al consumidor, usted desea ganar su confianza. Por lo tanto, tenga en cuenta que le transmite la organización al consumidor al elegir un certificado TLS.

Tipos de certificados TLS / SSL

Hay tres tipos de certificados TLS: Validación de dominio (DV), Validación de organización (OV) y Validación extendida (EV). Las autoridades de certificación (CA), como DigiCert, validan cada tipo de certificado a un nivel diferente de confianza del usuario.

Certificado de validación de dominio

Los certificados de validación de dominio se comparan con un registro de dominio para demostrar la propiedad del dominio del sitio. Sin embargo, los certificados DV no ofrecen información de identificación de la organización. Por lo tanto, no se recomienda utilizar certificados DV para fines comerciales. Pueden ser el tipo de certificado más barato, pero no proporcionan ningún valor de autenticación en términos de quién está detrás del sitio web.

Los visitantes del sitio no pueden validar si la identidad comercial es legítima a través del certificado, dejándolos más expuestos al fraude en línea. En consecuencia, los certificados DV deben usarse solo cuando la autenticación no es un problema, como los sistemas internos protegidos.

Un ejemplo de un certificado DV en Chrome (después de hacer clic en el candado):

Certificado-DV

Tenga en cuenta que solo se verifica el nombre común o dominio.

Certificado de validación de la organización

Para emitir un certificado OV, la CA autentica a las organizaciones contra las bases de datos de registro de empresas elaboradas por los gobiernos. Las CA pueden requerir ciertos documentos y personal de contacto para garantizar que los certificados OV contengan información comercial legítima. Este es el tipo estándar de certificado requerido en un sitio web comercial o público.

Un ejemplo de un certificado OV en Chrome (después de hacer clic en el candado):

Certificado-OV

Con OV no solo se verifica el nombre común sino también el país, el estado, la ciudad y la organización.

Certificado de validación extendida

Los certificados EV agregan pasos de validación adicionales y ofrecen el más alto nivel de autenticación para salvaguardar su marca y proteger a sus usuarios. Si bien no todos los sitios en la web usan certificados EV, son utilizados por las organizaciones líderes del mundo para garantizar la confianza del usuario. Más de la mitad de los 400 principales sitios de comercio electrónico usan EV, según datos de 2019 de Comscore y Netcraft. Han descubierto que cambiar de certificados OV a EV aumenta las transacciones en línea y mejora la confianza del cliente.

Pero no son solo para el comercio electrónico. Los certificados EV le dan a su marca el más alto nivel de seguridad y validación para garantizar que los usuarios sepan exactamente dónde y a quién se envían los datos cifrados. Es por eso que EV es el estándar global de la industria para cifrar datos altamente confidenciales. Los certificados EV se utilizan para páginas con inicio de sesión, páginas web principales y otras áreas sensibles.

Además, es extremadamente difícil hacerse pasar por un sitio habilitado para EV. Los sitios web que utilizan certificados EV tienen prácticamente cero incidentes de ataques de suplantación de identidad. Esto es significativo porque se pierden $ 17,700 por minuto debido a ataques de phishing. Los ataques de phishing representan más del 80 por ciento de los incidentes de seguridad reportados.

A continuación se muestra un ejemplo de un certificado EV en Chrome (vea ejemplos de cómo se ven los certificados EV en cada navegador). Tenga en cuenta que un certificado EV en Chrome dirá «Certificado válido, emitido a: Nombre de la empresa (EE. UU.)». Si desea más detalles, puede hacer clic en «Certificado» para obtener más información.

Certificado-EV
Certificado-ev
Certificado-EV

Los certificados EV muestran todos los detalles de OV y DV más información de identificación adicional.

Vaya más allá de la seguridad con Certificados SSL de Validación Extendida

La validación extendida va más allá de la seguridad. Se ha convertido en la base de cualquier sitio de buena reputación que se preocupa por la seguridad, la marca y sus clientes. EV hace una fuerte declaración de que su marca está comprometida con la seguridad de los datos y ofrece el más alto nivel de protección para sus usuarios.

Fuente: Certisur