SSL vs. Seguridad del sitio web
SSL vs. Seguridad del sitio web
Tener un sitio web hoy es mucho más fácil que hace 10 o 15 años. Herramientas como los sistemas de gestión de contenido (CMS), los creadores de sitios web, los generadores de sitios estáticos y similares eliminan gran parte de la fricción en torno a la construcción y el mantenimiento de sitios. Pero, ¿hay un precio por tal conveniencia?
Me atrevería a decir que una de las desventajas de llevar tales instalaciones a las masas es la creación de ideas falsas. El mayor error es acerca de lo que hace que un sitio web sea seguro frente a no seguro. Por ejemplo, con la introducción de Google Chrome versión 68, los sitios web que no usan certificados SSL están marcados como ” No seguro ” en la barra de direcciones.
Sin embargo, un sitio web con un certificado SSL no es necesariamente un sitio web “seguro”. SSL encripta los datos enviados entre el visitante y el servidor web, pero en realidad no protege el sitio web de los piratas informáticos. Hay mucho más que los propietarios de sitios web deben entender si quieren un sitio web verdaderamente seguro.
Certificados SSL
SSL es el acrónimo de Secure Sockets Layer . Es la tecnología de seguridad estándar para establecer un enlace cifrado entre un servidor web y un navegador. Los certificados SSL se han convertido en una práctica recomendada en seguridad de sitios web por una buena razón.
Recientemente hemos escrito un artículo para mostrar por qué los sitios web deberían cambiar a SSL . En resumen, Google, Mozilla y otras autoridades web están presionando para que los propietarios de sitios web adopten HTTPS. Una de las formas en que Google puede aplicar SSL es marcando los sitios que muestran una advertencia de que el sitio es ” No seguro ” en Chrome, comenzando con Chrome 68.
Chrome 68 advertencia no segura para sitios web HTTP
Los certificados SSL ayudan a proteger la integridad de los datos en tránsito entre el host (servidor web o firewall) y el cliente (navegador web). Se aseguran de que nadie pueda ver o modificar los datos, lo que se conoce como un ataque de hombre en el medio .
Todos los tipos de certificados SSL verifican el nombre de dominio del sitio web.
Veamos los tipos de certificados SSL:
Certificado SSL de dominio validado (DV SSL)
Los certificados DV SSL son los certificados SSL más populares en Internet, aunque solo validan el nombre de dominio.
Certificado SSL DV
Let’s Encrypt ofrece este tipo de certificados de forma gratuita. También tenemos una guía que explica cómo instalar un certificado SSL.
Certificado SSL de validación de la organización (OV SSL)
Los certificados SSL de OV requieren más documentación para que una autoridad de certificación certifique que la organización que realiza la solicitud está registrada y es legítima.
Estos certificados mostrarán el nombre de la organización si hace clic en el candado que aparece en la esquina superior izquierda de un navegador.
Certificado SSL OV
Certificados SSL Premium Extended Validation (EV SSL)
Los certificados SSL EV requieren aún más documentación para que una autoridad de certificación valide a la organización que realiza la solicitud. Estos certificados serán más visibles porque además de mostrar el candado en la barra de direcciones, también mostrarán el nombre de la organización.
Certificado SSL EV
La única diferencia factible entre estos tres certificados es su proceso de verificación. La seguridad técnica es la misma para todos. Mientras que los certificados DV solo prueban la propiedad del dominio (por medios técnicos), los certificados OV y EV requerirán documentación real para ser emitidos.
Certificados SSL e infecciones de malware
Los certificados SSL no pueden proteger un sitio web de una infección de malware, ni pueden evitar que un sitio web propague malware.
Irónicamente, los sitios web infectados servidos a través de HTTPS garantizarán la integridad del malware hasta que llegue a sus posibles víctimas, es decir, los visitantes del sitio web.
Todos los tipos de certificados SSL verifican el nombre de dominio del sitio web.
Eso es algo que tanto los webmasters como los usuarios de Internet deben tener muy en cuenta.
Es importante asegurarse de forzar HTTPS después de instalar un certificado SSL en su sitio web. Si los atacantes comprometen su sitio y se vinculan a activos de malware a través de HTTP, los navegadores mostrarán advertencias de contenido mixto .
¿Qué es la seguridad del sitio web?
Definir la seguridad del sitio web no es simple, pero aquí hay una buena definición que nos gusta usar:
No hay soluciones llave en mano para la seguridad; en cambio, es una combinación de personas, procesos y tecnología que ayudan a crear un enfoque de seguridad manejable y escalable para cualquier organización.
Definir la seguridad del sitio web es difícil porque depende de las necesidades de cada organización. Por ejemplo, un blog personal no tiene las mismas preocupaciones que una tienda de comercio electrónico o el sitio de una agencia de desarrollo web.
Creer que un sitio web es seguro porque ha implementado un certificado SSL puede convertirse en un problema real. Un sitio web con SSL no es seguro si no tiene otras capas de protección, como un firewall de aplicaciones de sitios web (WAF) o controles de acceso. Un sitio web HTTPS aún podría ser pirateado y peligroso para los visitantes.
No importa si se trata de HTTP o HTTPS, si un sitio web está infectado con malware, algunas compañías de seguridad de Internet pueden poner advertencias en él y en los resultados de búsqueda, para que todos sepan que el sitio contiene código malicioso.
Estas son las 10 principales listas negras:
- Navegación segura de Google
- Norton Safe Web
- Tanque de phish
- Ópera
- SiteAdvisor McAfee
- Laboratorios Sucuri Malware
- SpamHaus DBL
- Bitdefender
- Yandex (a través de Sophos)
- ESET
¿Cuál es la diferencia entre SSL y la seguridad del sitio web?
La seguridad del sitio web es más completa que HTTPS / SSL solo y debe tratarse como tal. HTTPS / SSL es uno de los muchos controles de seguridad a considerar cuando se piensa en la seguridad de su sitio web. La implementación de HTTPS / SSL en su sitio web hace poco para garantizar que sus visitantes estén seguros si no toma otras medidas para garantizar un entorno seguro.
Podemos imaginar que la razón por la cual algunas personas confunden SSL con la seguridad del sitio web es porque HTTPS / SSL proporciona:
- “No repudio” de la fiesta – respondiendo a la pregunta, ¿realmente eres tú?
- Comprobación de integridad (sin cambios)
- Privacidad (invisible) de los datos en tránsito.
En resumen, en un sitio web HTTPS, los datos en tránsito están protegidos, pero el sitio web en sí puede ser vulnerable.
Aquí en Sucuri, vemos la seguridad del sitio web como una conjunción de protección, detección, respuesta y copias de seguridad. Los certificados SSL son solo una parte del rompecabezas. El cifrado de datos es vital para tener una buena postura de seguridad, pero no lo es todo.
Hemos discutido más acerca de cómo SSL difiere de la seguridad del sitio web en un seminario web reciente:
Conclusión
La seguridad no es una constante. Necesita invertir tiempo y recursos para crear un plan que se ajuste a sus necesidades. HTTPS es excelente para Internet en su conjunto porque ayuda a mantener en secreto la comunicación entre los usuarios y los sitios web que visitan. SSL es lo que asegura esos datos solo en tránsito, no el sitio web.
Los certificados SSL solo representan una pequeña parte del rompecabezas de seguridad del sitio web.
Alentamos a los propietarios de sitios web a que piensen en la seguridad del sitio web de manera integral y consideren aprovechar una plataforma de seguridad del sitio web que ofrece un conjunto completo de controles de seguridad: protección, detección, monitoreo y respuesta a incidentes.
Fuente: Gerson Ruiz – SSL vs. Seguridad del sitio web
Solicita una asesoría sobre las estrategias de marketing digital aplicadas a las redes sociales que le funcionarían más a tu empresa, haz clic.
Ventajas de manejar su estrategia de mercadeo digital con MarkCoWeb
- 12 años de experiencia.
- Estamos capacitados para manejar estrategias de mercadeo digital, para empresas pequeñas, medianas y grandes de cualquier industria.
- Hemos desarrollado técnicas avanzadas para la creación de contenido de valor para que su cliente potencial se entere por medio de campañas de publicidad para asegurarle el éxito de la misma.
- Estamos orientados a los resultados.
- Nos responsabilizamos del monitoreo y de los reportes de la campaña.
- Minimizamos sus riesgos.