Si el certificado SSL de un sitio web ha caducado o es incorrecto, se puede disuadir a los usuarios de la web de cargar el sitio web.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
Secure Sockets Layer (SSL) es un protocolo para encriptar y autenticar los datos que viajan entre clientes y servidores en Internet. La versión actualizada del protocolo se llama Transport Layer Security (TLS).
SSL/TLS se basa en el uso de un certificado SSL, que es un archivo de datos alojado en un servidor web que ayuda a encriptar el tráfico y verificar la identidad del servidor. El servidor y el cliente (el dispositivo utilizado por una persona que intenta acceder al sitio web alojado en el servidor) utilizan el certificado SSL para establecer claves de encriptación simétrica y comenzar una transmisión segura y encriptada -todo ello en cuestión de milisegundos. La encriptación de los datos que pasan entre los usuarios y los servidores ayuda a evitar que los datos se vean comprometidos, lo que permite a los sitios web mantener la confianza de los usuarios y cumplir con los requisitos de conformidad.
Los problemas con los certificados SSL/TLS pueden impedir que los usuarios carguen y accedan de forma segura a sitios web y aplicaciones. A continuación, se muestran algunos de los errores comunes de los certificado SSL (o errores TLS) que pueden encontrar los usuarios y los administradores de sitio web.
La mayoría de los certificados SSL son emitidos y firmados por una organización externa llamada autoridad de certificación. Los navegadores no suelen confiar en los certificados autofirmados, ya que ninguna autoridad externa ha verificado el certificado. Una autoridad de certificación también puede no ser reconocida por el navegador por alguna otra razón: los certificados SSL emitidos por Symantec, por ejemplo, ya no son de confianza para los principales navegadores. Este error del certificado SSL puede dar lugar a un mensaje de "Tu conexión no es privada" en el navegador, lo que puede impedir que los usuarios visiten el sitio web.
Obtener un certificado SSL de una autoridad de certificación más ampliamente admitida puede solucionar este error (Cloudflare, por ejemplo, ofrece certificados SSL gratuitos en los que confían todos los navegadores).
La comunidad de Internet ha actualizado el protocolo SSL/TLS muchas veces a lo largo de los años para corregir vulnerabilidades y acelerar el proceso de autenticación, como refleja el cambio de nombre de SSL a TLS.
Muchos servicios web han empezado a abogar por el uso de los últimos protocolos. La versión más actual y más utilizada de TLS es TLS 1.3, aunque también se sigue utilizando TLS 1.2.
Para los servidores web y los sitios web configurados para aceptar solo los protocolos más seguros, los clientes deben admitir TLS 1.2 como mínimo o, de lo contrario, el protocolo de enlace TLS no puede tener lugar según lo previsto (En estos casos, se puede observar el error "se ha producido un error fatal al crear una credencial de cliente TLS"). Un usuario debe asegurarse de que el navegador y el sistema operativo de su dispositivo sean compatibles con las versiones más recientes y seguras de TLS para evitar este error de certificado SSL.
Al igual que algunos documentos de identificación emitidos por el gobierno, como los pasaportes, caducan después de un cierto número de años, los certificados SSL deben renovarse periódicamente. Esto ayuda a garantizar que la misma entidad siga operando el servicio web en cuestión, al igual que la actualización de la foto del pasaporte ayuda a confirmar la identidad. El navegador web de un cliente no confiará en un certificado SSL caducado, por lo que el protocolo de enlace TLS no puede continuar y no se puede establecer una conexión segura.
Para solucionar este problema de SSL, los administradores web deben asegurarse de que todos sus certificados SSL estén actualizados para sus dominios y subdominios.
Este error también puede ocurrir si el reloj del cliente es incorrecto: en tal caso, es posible que el navegador del cliente no pueda saber si el certificado SSL ha caducado. Restablecer el reloj en el dispositivo cliente corrige el error en estos casos.
Se produce un error de discrepancia de nombre cuando el nombre del certificado SSL no coincide con la URL introducida por el cliente. Esto puede ocurrir si el usuario introduce un dominio de nivel superior diferente al esperado, escribe "www" cuando ese nombre no figura en el certificado, o escribe mal el dominio de alguna otra manera. También se puede producir una falta de coincidencia de nombres si el operador del sitio web ha etiquetado incorrectamente su certificado o no ha incluido todos los nombres públicos de su dominio. Por último, puede producirse un error común de falta de coincidencia de nombres cuando el cliente o el servidor no admiten la extensión SNI (más información a continuación).
Para evitar este error, los administradores del sitio web deben asegurarse de escribir correctamente el dominio en sus certificados SSL. Además, la sección del nombre alternativo del sujeto (SAN) del certificado SSL debe enumerar todas las presentaciones alternativas legítimas del nombre de dominio.
La indicación del nombre del servidor (SNI) es una extensión del protocolo TLS que se utiliza cuando se alojan varios dominios en un servidor. Cuando un cliente inicia una conexión, se conecta directamente a un servidor (indicado por una dirección IP). Ese servidor podría alojar varios sitios web, igual que un edificio de apartamentos en el que viven varios residentes.
SNI es una extensión que, para continuar con la analogía, pone un número de apartamento en la dirección para que el servidor sepa a qué sitio web —o "apartamento"— dirigir la solicitud de una conexión SSL. Pero si la solicitud al servidor no utiliza la SNI, el servidor podría mostrar el certificado SSL incorrecto a los clientes que inician una conexión, lo que provocaría un error común de desajuste de nombres.
Para evitar este error, los administradores de sitios web deben utilizar servidores web que admitan los últimos protocolos TLS, incluyendo SNI (y SNI encriptado).
Cloudflare ayuda a los operadores de sitio web a evitar estos errores gestionando y renovando automáticamente los certificados de todos los sitios web de los clientes. Asegurarse de que los certificados no hayan caducado puede ser un trabajo de tiempo completo cuando las organizaciones tienen que gestionar docenas, cientos o millones de subdominios. Pero Cloudflare automatiza este proceso.
Más información sobre las opciones de certificados SSL de Cloudflare en la página Planes.