Si el certificado SSL de un sitio web no es válido o no está disponible, los usuarios pueden ver un mensaje de error cuando intentan cargarlo.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
En ocasiones, a los usuarios se les puede bloquear el acceso a un sitio web con un mensaje "Tu conexión no es privada". Este error significa que la conexión entre el cliente (el dispositivo del usuario, como un ordenador portátil o una tableta) y el servidor (el anfitrión del sitio web) no está encriptada, aunque el dispositivo cliente esperaba que lo estuviera.
Como resultado, los atacantes podrán ver lo que el usuario hace en el sitio web: los mensajes entre el cliente y el servidor se envían en texto plano, en lugar de estar codificados mediante encriptación. Además, el cliente no puede verificar que está conectado al servidor correcto.
Por eso, el navegador dirá "Tu conexión no es privada" o "Tu conexión no es segura": no puede verificar el servidor web, y no puede encriptar los mensajes para evitar que los atacantes los lean.
Este error lo causa un problema con el certificado SSL del sitio web: falta, o ha caducado, o no ha sido emitido por una agencia certificadora legítima, o el cliente no puede acceder a él por alguna otra razón. Los certificados SSL son necesarios para servir sitios web a través de conexiones seguras HTTPS.
Un certificado SSL no válido o que falta es casi el equivalente criptográfico de una cajera en una tienda de la esquina que le pide a un hombre una identificación para probar que tiene la edad suficiente para comprar alcohol, y en lugar de presentar una tarjeta de identificación emitida por el gobierno, saca un pedazo de papel en el que alguien ha escrito, "Este hombre se llama Jeff, y tiene 22 años." Por supuesto, esto no es una identificación legítima. Es posible que el hombre no tenga 22 años y que ni siquiera se llame Jeff. La cajera hace bien en responder con recelo y acabar con la transacción.
Al igual que Jeff, un sitio web sin certificado SSL no puede demostrar su identidad. Además, un sitio web sin certificado SSL no puede encriptar las comunicaciones: imaginémonos que el que Jeff no tenga DNI significara que cualquier persona de todo el mundo pudiera escuchar de repente la conversación entre Jeff y la cajera.
Con frecuencia, los usuarios pueden continuar en la página a pesar de este mensaje, aunque no es recomendable. Sin HTTPS, son posibles diversos ciberataques.
Un certificado SSL verifica la propiedad de un sitio web y hace posible la apertura de una conexión segura y encriptada. Es un archivo de texto instalado en un servidor web con información como:
Un certificado SSL es necesario para encriptar las comunicaciones hacia y desde un sitio web mediante el uso de la encriptación SSL o TLS. También se conoce como HTTPS.
Si los datos están encriptados con TLS/SSL, cuando alguien intercepte los datos que van y vienen entre el cliente y el servidor, solo le parecerán tonterías aleatorias. Si los datos no están encriptados, alguien puede interceptarlos y leerlos con facilidad. La encriptación es como un sobre que protege el contenido de una carta personal cuando pasa por el sistema postal.
Hay un número de problemas con el certificado SSL que puede causar el error "Tu conexión no es privada":
El certificado SSL del sitio web no es válido o no existe. Esto puede ocurrir por varias razones. Puede significar que el certificado SSL presentado muestra el sitio web incorrecto, que el certificado SSL ha caducado, o que no hay ningún certificado SSL cuando se esperaba uno: por ejemplo, si un usuario escribe https://www.example.com en un navegador, pero example.com no tiene HTTPS.
El certificado SSL no muestra las variaciones del nombre de dominio. Por ejemplo, el certificado SSL puede mostrar www.example.com, pero no example.com (sin las "www"). Esto ocurre cuando la sección del Nombre alternativo de Sujeto (SAN) de un certificado SSL no se rellena correctamente. Como resultado, el sitio web tiene un certificado SSL que funciona, pero hay un desajuste entre la URL que el usuario escribió y lo que aparece en el certificado. Por tanto, el navegador considera que el certificado no es válido.
El servidor web presentó un certificado SSL para el sitio web equivocado. Esto puede ocurrir cuando se alojan varios sitios web en una dirección IP. Si cada uno de esos sitios web tiene su propio certificado SSL, es posible que el servidor no sepa qué certificado SSL debe mostrar cuando un dispositivo cliente intenta conectarse de forma segura a uno de los sitios web, algo parecido a lo que ocurre cuando se envía un paquete por correo postal a un edificio de apartamentos, pero no se incluye el número de apartamento en la dirección. Una extensión al protocolo TLS llamada SNI ayuda a prevenir este error.
Otras posibles causas son:
En Chrome, este mensaje aparece al hacer clic en el enlace "No es seguro" de la barra del navegador cuando estás en un sitio HTTP. Significa que el sitio web no tiene un certificado SSL, y no utiliza SSL/TLS para encriptar el tráfico hacia y desde el sitio. Los navegadores no suelen bloquear los sitios web que no tienen HTTPS, pero los usuarios deben evitar introducir datos personales, como credenciales de acceso, datos de la tarjeta de crédito o números de identificación emitidos por el gobierno, en sitios web que no tengan HTTPS.
Cloudflare ofrece encriptación SSL/TLS gratuita para cualquier sitio web. Los sitios web con encriptación TLS de Cloudflare no deberían encontrarse con la mayoría de estos errores, aunque los dispositivos cliente que estén mal configurados podrían hacer que estos aparezcan de vez en cuando. Más información sobre los certificados SSL gratuitos de Cloudflare.