Cuando un navegador intenta acceder a un sitio web que está protegido por SSL, el navegador y el servidor web establecen una conexión SSL/TLS utilizando un proceso llamado «SSL Handshake», este es un proceso invisible para el usuario y ocurre instantáneamente.
Básicamente, se utilizan tres claves para configurar la conexión SSL: la clave pública, privada y de sesión. Cualquier información cifrada con la clave pública solo se puede descifrar con la clave privada, y viceversa.
Debido a que el cifrado y descifrado con clave privada y pública requiere mucho poder de procesamiento, solo se utilizan durante el proceso de SSL Handshake para crear una clave de sesión simétrica. Después de realizar la conexión segura, la clave de sesión se utiliza para encriptar todos los datos transmitidos.
- El navegador se conecta a un servidor web (sitio web) asegurado con SSL (https). El navegador solicita que el servidor se identifique.
- El servidor envía una copia de su Certificado SSL, incluida la clave pública del servidor.
- El navegador comprueba la raíz del certificado con una lista de Autoridades de Certificación fiables y que el certificado no se encuentre expirado, revocado y que su nombre común es válido para el sitio web al que se está conectando. Si el navegador confía en el certificado SSL, crea, encripta y devuelve una clave de sesión simétrica utilizando la clave pública del servidor.
- El servidor descifra la clave de sesión simétrica utilizando su clave privada y envía un acuse de recibo cifrado con la clave de sesión para iniciar la sesión cifrada.
- El servidor y el navegador ahora cifran todos los datos transmitidos con la clave de sesión.
¿Tu certificado es SSL o TLS?
El protocolo SSL siempre se ha usado para encriptar y asegurar datos transmitidos. Cada vez que se lanzó una versión nueva y más segura, solo se modificó el número de versión para reflejar el cambio (por ejemplo, SSLv2.0). Sin embargo, cuando llegó el momento de actualizar desde SSLv3.0, en lugar de llamar a la nueva versión SSLv4.0, se renombró TLSv1.0.
Debido a que SSL sigue siendo el término más conocido y de uso más común, se utiliza SSL cuando se refiere a certificados o describe cómo se aseguran los datos transmitidos. Cuando compras un Certificado SSL de nuestra parte, en realidad estás obteniendo un Certificado TLS.
Certificado EV SSL
Si tu sitio recopila información de la tarjeta de crédito, la Industria de tarjetas de pago (PCI) te exige tener un certificado SSL. Si tu sitio tiene una sección de inicio de sesión o envía/recibe otra información privada (dirección postal, número de teléfono, registros de salud, etc.), debes usar certificados SSL de Validación Extendida para proteger esos datos.
Tus clientes desean saber si valoras su seguridad y que tomas en serio la protección de su información. Cada vez más clientes se están convirtiendo en compradores en línea y recompensan a las marcas en las que confían con el incremento en sus negocios .
Neothek ofrece servicios de certificados SSL/TLS, web hosting, registro de dominios, correo electrónico, diseño de páginas web y diseño gráfico.