SSL (Secure Sockets Layer) es una tecnología para cifrar las comunicaciones entre el usuario y el servidor web. Ayuda a prevenir los ataques de hackers que se basan en peticiones ilegales. Cuando se utiliza una página web que está protegido por SSL, se verá un icono de candado que te asegura que la página es segura.
¿Es tu sitio web realmente seguro con SSL?
No. SSL asegura el enlace de comunicación de red solamente. Aunque se trata de una capa de seguridad importante para las aplicaciones sensibles, la mayoría de los ataques a sitios web no se hacen realmente de esta manera. La mayoría de los ataques a sitios web se hacen realmente en una de las siguientes maneras:
El servidor es atacado directamente.- SSL no te protege de esta. Más bien, es necesario tener una buena política de seguridad de TI para proteger tu servidor.
El usuario es atacado directamente, ya sea mediante la infección de su PC con malware, o mediante el uso de «phishing» para robar sus contraseñas. SSL no to protege de esto, tampoco. Para proteger tu propia PC de esto, es necesario utilizar un buen programa anti-virus, y el uso de un montón de sentido común y un poco de paranoia cuando se esta conectado a Internet. Sin embargo, es poco realista esperar que todos los PCs de todos tus visitantes esten protegidos adecuadamente.
En otras palabras, SSL hace muy poco para evitar que el sitio web de ser hackeado. Sólo evita tercera partes de las comunicaciones entre el usuario y el sitio web.
¿En ese caso, cuando es importante contar con un certificado SSL ?
Si tu sitio está transmitiendo datos privados sensibles en internet, SSL es una importante capa de seguridad adicional. Aunque el espionaje puede ser una forma menos común de ataque en el sitio web, no hay ninguna razón para no proteger contra ella si las consecuencias son graves.
Aunque el riesgo a la página web no puede ser tan grande, el riesgo para los usuarios individuales puede ser importante en algunos casos. Por ejemplo, cualquier usuario que acceda a tu sitio web desde una conexión wifi pública (como en una cafetería) puede ser espiado en bastante facilidad por otros usuarios en el mismo lugar. Los fisgones pueden ver lo que se escribe en los formularios en sitios no SSL, por lo que los riesgos dependerán de qué tipo de formularios tienes.
La forma de alto riesgo más evidente es su formulario de inicio de sesión, que pide nombre de usuario y contraseña. Un intruso puede potencialmente obtener estas credenciales de inicio de sesión y luego inicie la sesión como ese usuario. ¿Qué tan riesgoso o peligroso es? depende de lo que la información personal el espía puede obtener, o qué daño pueden causar con esta información. Aunque el riesgo es bajo con respecto a tu sitio web, también debes considerar que algunos usuarios reutilizan contraseñas en muchos sitios web, por lo que el riesgo puede extenderse a lugares y situaciones que están fuera de tu control.
¿Qué tipo de «información privada sensible» necesita protección?
Los datos privados es una información que sólo debe ser conocido por ti (el propietario del sitio web) y el usuario. El ejemplo más obvio es el número de tarjeta de crédito. Si el procesamiento de tarjetas de crédito se realiza mediante un enlace de comercio electrónico externo, las transacciones están protegidas por SSL de su proveedor de e-commerce. Adicionar otro medio de seguridad aparte del certificado SSL en tu sitio web no es necesario en este caso.
Las contraseñas son la próxima cosa más obvia de proteger, como se señaló anteriormente. Si no tienes una membresía o base de usuarios pública, entonces sus propias contraseñas de administrador personales pueden ser los únicos que hay que pensar. Si no lo haces administración de sitios web de redes wifi públicas, entonces esto no es una preocupación importante.
Ten cuenta que la información personal como nombres, direcciones de correo electrónico, números de teléfono y direcciones de correo no son privadas. Esta es la información que está destinado a ser compartido con otros. SSL realidad no proteger la información que ya está disponible al público en formatos más accesibles, como la guía telefónica.
(Sin embargo, no necesitas una buena política de privacidad al almacenar y utilizar la información personal de la gente, para asegurar a los usuarios por qué necesita su información personal, y lo que se va a utilizar para. Esto es principalmente debido a que algunas organizaciones tienen una historia de la venta de su bases de datos de información personal en contra de los deseos de sus clientes. SSL no ayuda con esto, sin embargo.)
Hay una zona gris entre los datos privados (que deben ser conocidos sólo para ti y el usuario), y los datos personales (lo que se conoce y utilizados por muchos otros). Las piezas individuales de datos personales pueden no ser un gran problema, pero si recoges los datos personales suficientes, robo de identidad pueden convertirse en una amenaza plausible. Cuenta especial o de identidad números (SSN, el pecado, licencia de conducir, el cuidado de la salud, o pasaporte números, por ejemplo), junto con las fechas de nacimiento, las cuestiones de seguridad común (por ejemplo. El apellido de soltera de la madre, los nombres de los miembros de la familia), y la información de esa naturaleza puede comprender colectivamente una identidad que podría ser robado con fines nefastos. El más de este tipo de información que recoja, más SSL podría ser una valiosa adición a su política de seguridad.
No almacenar gran cantidad de datos de carácter personal, área de mis miembros privados no es especialmente sensible, y externalizar el procesamiento de tarjetas de crédito a un proveedor de comercio electrónico seguro.
¿Hay alguna otra razón por la que podrías necesitar un certificado SSL?
No todo el mundo sabe lo que protege un certificado SSL o cómo funciona. Todo lo que saben es que el icono de un candado pequeño es «bueno». Si los usuarios te están molestando porque no tienes el icono de un candado en tu sitio web, entonces puede ser más fácil sólo conseguir el certificado SSL para mostrar dicho candado que tratar de explicar todos los matices de seguridad ya que no se les va a ayudar en este caso.
Neothek ofrece servicios de web hosting, registro de dominios y certificados SSL y diseño de páginas web.