A menudo, cuando te conectas a un sitio web, notas que la URL solo muestra el nombre del sitio. Pero a medida que avanzamos hacia un mundo más digital, es muy recomendable que los sitios usen certificados SSL y Transport Layer Security para cifrar tu conexión con ellos. Esto se muestra en tu navegador como https://, siendo la S lo importante en lo que debes fijarte. Ahora bien, navegadores como Safari en tu iPhone/iPad/iPod y Firefox en tu ordenador de escritorio o portátil te lo ponen fácil para determinar qué sitios están protegidos y cuáles no, al mostrar un icono de candado junto al sitio web. Mira este ejemplo enlazado del sitio web de PayPal, que muestra no solo el icono de candado, sino también la verificación de identidad conocida como certificado de validación extendida (Extended-Validation) (las palabras en verde junto al candado) para aportar un factor de confianza que asegure que te estás conectando al sitio web real de PayPal.
En pocas palabras, cuando te conectas a un sitio web con un certificado SSL, significa que todo lo que hagas en relación con ese sitio se va a cifrar desde tu navegador hasta el servidor del sitio, y luego de vuelta a tu navegador. Esto incluye datos de inicio de sesión, contraseñas, información financiera y todos los demás datos personales. Incluso en mi propio sitio web, cryptoseb.pw, tengo un certificado SSL que usa TLS para cifrar todo el tráfico. No lo necesito en absoluto, pero es una buena práctica usar uno siempre. El cifrado nunca es algo malo en Internet. Pero ten cuidado: las autoridades de certificación (las grandes empresas que emiten certificados SSL de confianza para los usuarios) pueden ser hackeadas, y ya lo han sido en el pasado, lo que comprometería la seguridad de todos los certificados que hayan emitido. HTTPS tampoco nos proporciona solo cifrado para los datos en tránsito. Nos da una forma de autenticar los datos. Con un sitio web que transmite toda la información en texto plano, no puedes estar seguro de que ni siquiera el sitio que estás viendo sea el real. Si tu conexión fuera víctima de un ataque de intermediario (man-in-the-middle), los datos podrían quedar comprometidos en cualquier momento. Esto no es una tarea fácil cuando un sitio web usa SSL/TLS correctamente.
Sin embargo, el cifrado hacia y desde un sitio web no siempre cumple los estándares actuales y puede estar mal configurado, usar algoritmos o suites de cifrado débiles, o tener problemas de confianza con el certificado. La mejor manera de averiguar si el sitio web al que te estás conectando tiene buenas estadísticas en su certificado es ir a https://www.ssllabs.com/ssltest/ e introducir la URL del sitio en el cuadro de análisis. He configurado cryptoseb.pw para obtener una A+ con 100 completos a lo largo de toda la lista. Esto es una exageración considerable y hace que se pierda la compatibilidad con algunos navegadores más antiguos, pero significa el máximo nivel de seguridad. Aquí tienes algunas indicaciones sobre qué buscar para conseguir la máxima fuerza y confianza del cifrado:
- El certificado es DE CONFIANZA
- La clave es mayor de 2048 bits (RSA)
- TLS1.2 se ofrece como protocolo, pero NO SSL
- Los cifrados RC4/MD5 NO están permitidos en el lado del servidor
- Secure Renegotiation activada
- HSTS Strict Transport Security activado
- Public Key Pinning (HPKP) activado (aunque no es absolutamente necesario, solo un extra)
- OCSP Stapling activado
- Cifrados con Forward Secrecy preferidos en el lado del servidor
Sigue los pasos de abajo para activar estas funciones nativas de solo HTTPS en Firefox, Chrome, Edge y Safari, y celebra con nosotros que HTTPS está de verdad en todas partes para los usuarios: https://www.eff.org/deeplinks/2021/09/https-actually-everywhere