"El diseño es el embajador silencioso de tu marca"
- Paul Brand

SSL y Certificados

SSL y Certificados son términos son conocidos por la mayoría de los usuario de internet aunque en muchos casos ni siquiera sean conscientes, si has realizado compras a través de Internet mediante una pasarela de pago o has hecho algún trámite con un organismo público puedes estar seguro que has utilizado SSL y es posible que en algunos casos también hayas tenido que usar un Certificado Digital.

Vayamos por partes…

¿Qué es eso de SSL?

Secure Sockets Layer, es como indica su nombre una capa de conexión segura, cuando navegas a través de Internet no paras de enviar y recibir información, el problema es que esa información puede ser robada fácilmente.

Un Hacker es capaz de hacer los llamados ataques Man-in-the-middle, esto como dice la Wikipedia es ni más ni menos que conseguir leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado.

Por ejemplificarlo tú en el ordenador de tu casa navegas hasta la página de tu banco, que no deja de ser un servidor (si no sabes lo que es piensa que es otro ordenador), dentro de ese escenario hay dos ordenadores y una línea de comunicación entre ellos, el hacker se coloca en esa línea y allí puede capturar los paquetes de información y leer lo que mandas, inyectar el los suyos o cambiar los tuyos, en este caso como lo que le interesa generalmente es simplemente obtener tus datos bancarios se limitará a leer los que envías y no alterar nada para que no te des cuenta de que está ahí…

Sobre como realizan esos ataques no voy a entrar, pero hasta ahora te habrás dado cuenta de un hecho, que en internet la información viaja entre varios puntos y que es susceptible de ser capturada durante ese viaje.

Esto nos va a dar igual si estamos viendo la web de un periódico o mirando chorradas, pero cuando lo que hacemos es mirar nuestros correos electrónicos, nuestra nube, nuestras cuentas bancarias ya nos va a hacer menos gracia.

Por esta razón nació SSL, básicamente lo que hace es encriptar la información antes de mandarla para que cuando llegue a su destino el otro ordenador la desencripte

Como saber si tu navegador usa SSL para que la información viaje encriptada y nadie pueda verla, pues fíjate en como empieza la URL

Si pone http://xxxxxx.com esta web no usa SSL.
Si pone https://xxxxxx.com esta web usa SSL y es segura

De hecho esa “s” de https quiere decir http sobre SSL, es muy importante que recuerdes esto porque en ocasiones han clonado páginas de bancos, de forma que son idénticas a las originales pero no lo son, y cuando metes tus datos personales lo que estás haciendo es mandárselos directamente al tipo que seguramente te vacíe la cuenta dentro de un rato, por eso SIEMPRE que hagas un trámite online con tu banco, una administración, entres al correo o incluso al Facebook, asegúrate de que la dirección (la URL) es la correcta y también que esta es HTTPS, el que avisa no es traidor…

¿Elimina esto la posibilidad de un ataque Man-in-the-middle? No, pero aunque alguien extraiga la información por el camino, si esta encriptada no le va a servir de nada, y por tanto los datos que contenga no podrán ser leídos, y para hacer esto nos valemos de los certificados.

 

¿Qué son los Certificados Digitales?

Un Certificado se compone de una clave Publica y un clave Privada, no puede existir solo una, de hecho se generan juntas, y son las que negocian la comunicación, al negociar la comunicación directamente entre ellas no puede haber nadie en el medio espiando.

La clave privada se queda en el servidor y NADIE puede tener acceso a ella, por eso es privada, jamás se le da a nadie la clave privada, únicamente se instala en el servidor, y además estará protegida por contraseña.

La clave pública es la que damos, y esta es a la que cualquiera puede tener acceso, se instala en los equipos clientes…

Los clientes cifran la información con la clave pública y la única que la puede descifrar es la clave privada que está en el otro lado (en el servidor).

Y te preguntarás, ¿Si la clave pública se manda a todo el mundo, como diferencia el servidor quién es quién? Pues ten presente esto siempre, la clave privada es estática, no cambia nunca (es fija), la clave pública todo lo contrario, es dinámica y cambia en cada inicio de sesión, de manera que mi clave pública no es la misma que la tuya, pero lo que ambas encriptan solo puede ser desencriptado por la clave privada…

Como último aspecto a tener en cuenta, los certificados pueden ser autofirmados o certificados emitidos por autoridades reconocidas, ambos son igualmente seguros, pero si es un autofirmado el navegador cuando lo lea dará una advertencia estilo “No reconozco quien ha firmado esto y podría no ser seguro” por eso las empresas pagan a una entidad certificadora para que firme sus certificados y así el navegador no se queje, esto es más un tema de confianza que de funcionamiento…

En un futuro post explicare como se crean, ya os adelanto que se hace mediante una librería de apache llamada openSSL por si os interesa ir buscando documentación.

The following two tabs change content below.
Especialista en diseño web responsive, programador html5, css3, jquery, php y java.

Latest posts by Óscar Lijó (see all)