Si el certificado SSL de un sitio web está vencido o es incorrecto, se desaconseja a los usuarios cargar el sitio web.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
Secure Sockets Layer (SSL) es un protocolo para cifrar y autenticar los datos que se trasladan entre clientes y servidores en Internet. La versión actualizada del protocolo se llama Transport Layer Security (TLS).
SSL/TLS se basa en el uso de un certificado SSL, que es un archivo de datos alojado en un servidor web que ayuda a cifrar el tráfico y verificar la identidad del servidor. El servidor y el cliente (el dispositivo que utiliza una persona para acceder al sitio web alojado en el servidor) utilizan el certificado SSL para establecer claves de cifrado simétrico y comenzar una transmisión segura y cifrada, todo en cuestión de milisegundos. El cifrado de los datos que pasan entre los usuarios y los servidores ayuda a evitar que los datos se vean comprometidos, lo que permite que los usuarios tengan confianza en los sitios web y que estos cumplan con los requisitos de cumplimiento normativo.
Los problemas con los certificados SSL/TLS pueden impedir que los usuarios carguen los sitios web y las aplicaciones, y tengan acceso seguro a estos. A continuación, se muestran algunos de los errores comunes de los certificados SSL (o errores TLS) que pueden encontrar los usuarios y los administradores de sitios web.
La mayoría de los certificados SSL son emitidos y firmados por una organización externa que se denomina autoridad de certificación. Los navegadores no suelen confiar en los certificados autofirmados, ya que ninguna autoridad externa ha verificado el certificado. También es posible que una autoridad de certificación no sea reconocida por el navegador por alguna otra razón: los certificados SSL emitidos por Symantec, por ejemplo, ya no son de confianza para los principales navegadores. Este error de certificado SSL puede generar el mensaje"Tu conexión no es privada" en el navegador, lo que puede impedir que los usuarios visiten el sitio web.
Obtener un certificado SSL de una autoridad de certificación con mayor reconocimiento puede solucionar este error. (Cloudflare, por ejemplo, ofrece certificados SSL gratuitos en los que confían todos los navegadores).
La comunidad de Internet ha actualizado muchas veces el protocolo SSL/TLS con el transcurso de los años para corregir las vulnerabilidades y acelerar el proceso de autenticación, como refleja el cambio de nombre de SSL a TLS.
Muchos servicios web han comenzado a imponer el uso de los protocolos más recientes. La versión más actual y más utilizada de TLS es TLS 1.3, aunque también se sigue utilizando TLS 1.2.
Para los servidores web y los sitios web configurados para aceptar solamente los protocolos más seguros, los clientes deben admitir TLS 1.2 como mínimo o, de lo contrario, el protocolo de enlace TLS no se puede ejecutar como estaba previsto. (En estos casos, se puede observar el error "se ha producido un error fatal al crear una credencial de cliente TLS".) Un usuario debe verificar que el navegador y el sistema operativo de su dispositivo sean compatibles con las versiones más recientes y seguras de TLS para evitar este error de certificado SSL.
Al igual que algunos documentos de identificación emitidos por el gobierno, como por ejemplo los pasaportes, vencen después de una cierta cantidad de años, los certificados SSL deben renovarse periódicamente. Esto ayuda a garantizar que la misma entidad siga operando el servicio web en cuestión, al igual que la actualización de la foto del pasaporte ayuda a confirmar la identidad. El navegador web de un cliente no confiará en un certificado SSL vencido, por lo tanto, el protocolo de enlace TLS no puede continuar y no se puede establecer una conexión segura.
Para solucionar este problema de SSL, los administradores web deben verificar que todos sus certificados SSL estén actualizados para sus dominios y subdominios.
Este error también puede ocurrir si hay algún problema con el reloj del cliente: en tal caso, es posible que el navegador del cliente no pueda saber si el certificado SSL ha vencido. Restablecer el reloj en el dispositivo del cliente corrige el error en estos casos.
Se produce un error de coincidencia de nombre cuando el nombre del certificado SSL no coincide con la URL ingresada por el cliente. Esto puede ocurrir si el usuario ingresó un dominio de nivel superior diferente al esperado, escribió "www" cuando ese nombre no figura en el certificado o escribió mal el dominio de alguna otra manera. También puede haber una falta de coincidencia de nombres si el operador del sitio web ha etiquetado incorrectamente su certificado o no ha incluido todos los nombres públicos de su dominio. Por último, puede producirse un error común de falta de coincidencia de nombres cuando el cliente o el servidor no son compatibles con la extensión SNI (más información a continuación).
Para evitar este error, los administradores del sitio web deben escribir correctamente el dominio en sus certificados SSL. Además, la sección del nombre alternativo del sujeto (SAN) del certificado SSL debe enumerar todas las presentaciones alternativas legítimas del nombre de dominio.
La indicación del nombre del servidor (SNI) es una extensión del protocolo TLS que se utiliza cuando se alojan varios dominios en un servidor. Cuando un cliente inicia una conexión, se conecta directamente a un servidor (indicado por una dirección IP). Ese servidor podría alojar varios sitios web, de la misma manera que un edificio de apartamentos donde viven varios residentes.
SNI es una extensión que, para continuar con la analogía, pone un número de apartamento en la dirección para que el servidor sepa a qué sitio web, o "apartamento", dirigir la solicitud de una conexión SSL. Pero si la solicitud al servidor no utiliza la SNI, el servidor podría mostrar el certificado SSL incorrecto a los clientes que inician una conexión, lo que generaría un error común de falta de coincidencia de nombres.
Para evitar este error, los administradores de sitios web deben utilizar servidores web que admitan los últimos protocolos TLS, lo que incluye SNI (y SNI cifrado).
Cloudflare ayuda a los operadores de sitios web a evitar estos errores con la gestión y renovación automática de los certificados para todos los sitios web de los clientes. Verificar que los certificados no hayan vencido puede ser un trabajo de tiempo completo cuando las organizaciones tienen que gestionar docenas, cientos o millones de subdominios. Pero Cloudflare automatiza este proceso.
Más información sobre las opciones de certificados SSL de Cloudflare en la página de planes.