PDF de programación - Transferencia segura con SSL

Transferencia segura

de Datos en Línea

con SSL

Guía para comprender los certificados SSL,
cómo funcionan y su aplicación…

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.

Aspectos generales
¿Qué es SSL?
Cómo saber si un sitio web es seguro
¿Cómo se ve un certificado SSL?
Alertas de seguridad del explorador
¿Cómo se configura una sesión SSL?
Clave pública y privada
Aplicaciones de SSL
¿Cuándo es adecuado utilizar certificados SSL?
Soluciones de certificados SSL de thawte
Pruebe los certificados SSL en un servidor web
Sello de sitio de thawte
Direcciones URL útiles
¿Qué papel juega thawte?
El valor de la autenticación
Cómo ponerse en contacto con thawte
Glosario

1

1. Aspectos generales

thawte es uno de los principales proveedores de certificados SSL del mundo.Al usar un certificado SSL de thawte en el/los servidor(es) web de su empresa,puede reunir información sensible en línea de modo seguro y aumentar suvolumen comercial al brindar a sus clientes la fiabilidad de que sus transaccionesson seguras.

Esta guía tiene el propósito de ofrecerle una presentación de la seguridad de
los certificados SSL cubriendo los puntos básicos de su funcionamiento.También se incluye una descripción de las varias aplicaciones de los certificadosSSL y su uso correcto, junto con los detalles de cómo puede probar los
certificados SSL en su servidor de la Web.

2. ¿Qué es SSL?

Secure Socket Layer (SSL) es un protocolo desarrollado por Netscape en 1996que pronto se convirtió en el método elegido para asegurar las transmisionesde datos por Internet. SSL es una parte integral de la mayoría de los exploradoresy servidores web y hace uso del sistema de codificación con dos claves: una
pública y una privada, desarrollado por RSA.

Para establecer una conexión SSL, el protocolo SSL requiere que el servidor
tenga instalado un certificado digital. Un certificado digital es un archivoelectrónico que identifica de modo único a individuos y servidores. Los certificadosdigitales funcionan como una especie de pasaporte o credencial digital que
autentica al servidor antes de establecer la sesión SSL. Por lo general, loscertificados digitales están firmados por un tercero independiente y fiable paragarantizar su validez. El “firmante” de un certificado se denomina autoridad decertificación (CA), como thawte.

2

SSL proporciona comunicaciones seguras mediante la combinación de
los siguientes dos elementos:

1] Autenticación –

el certificado digital va unido a un dominio específico y una CA realizauna cantidad de verificaciones para confirmar la identidad de laorganización que solicita el certificado antes de emitirlo. De este modo,el certificado sólo puede instalarse en el dominio contra el cual ha sidoautenticado, ofreciendo a los usuarios la seguridad que necesitan.

2] Codificación –

la codificación es el proceso de transformar la información para hacerlaincomprensible para todos salvo el receptor al que va dirigida. Estoconstituye la base de la integridad y privacidad de los datos, necesariaspara el comercio electrónico.

Nota

La aplicación más corriente de los certificados SSL es la de asegurar la transferenciade datos entre exploradores y servidores web. Si bien SSL puede usarse para asegurarcomunicaciones entre servidores, esta guía ilustrará el funcionamiento de SSL con
ejemplos de explorador-servidor.

Para obtener información adicional sobre cómo asegurar comunicaciones entre
servidores con SSL, comuníquese con un representante de ventas de thawte.

3

3. Cómo saber si un sitio Web es seguro

La primera clave para establecer si un sitio web
está asegurado con un certificado SSL se
encuentra en la barra de estado del explorador:
busque si tiene un icono con un candado. En
los exploradores de Internet, cuando las páginas
no están aseguradas, el icono del candado no
estará visible. Sin embargo, cuando se establece
una sesión SSL, aparecerá el icono del candado.
En Netscape, hay iconos con candados “cerrados”
y “abiertos”, que indican sitios web seguros
e inseguros, respectivamente.

Microsoft IE

Seguro:

NetScape Navigator

Seguro:

Inseguro:

La otra clave que debe buscar está en la barra de dirección. Si se estableceuna sesión segura entre el explorador y el servidor de la Web, la porción
“http:” de la dirección de la Web cambiará a “https”. Por ejemplo:
“http://www.thawte.com” se convierte en “https://www.thawte.com”.

También es posible conocer la fortaleza de la
codificación de una sesión SSL particular. En
Internet Explorer, simplemente desplace el ratón
sobre el candado para ver la fortaleza de la
codificación.

En Netscape, haga doble clic sobre el candado para ver el certificado. La
fortaleza de la codificación se detalla en la primera ficha del certificado.

4

4. ¿Cómo se ve un certificado SSL?

Para ver el certificado de un sitio web, haga doble clic sobre el icono
del candado cerrado que aparece en la barra de estado inferior.

Certificado digital visto con un explorador Netscape 7.0:

5

Certificado digital usado con un explorador IE 6.0:

6

Un certificado de servidor web SSL o un SuperCert SGC de thawte permite quesus clientes vean la siguiente información:

•
•

•

•

El dominio para el cual se emitió el certificado. Esto les permite verificarque el certificado de servidor web SSL fue emitido para su host y dominioexacto (www.midominio.com).
El propietario del certificado. Esto funciona como garantía adicional, ya
que los clientes pueden ver con quién están haciendo negocio.
La ubicación física del propietario. Una vez más, esto garantiza a los
clientes que están tratando con una entidad de existencia real.
Las fechas de validez del certificado. Esto es de suma importancia, ya quemuestra a los usuarios que su certificado digital está vigente

5. Alertas de seguridad del explorador

Su explorador cuenta con una función de seguridad incorporada que muestra unmensaje de advertencia cuando usted intenta enviar un mensaje a un sitio Web
que tiene algún problema con el certificado.El siguiente es un ejemplo de mensaje de advertencia que se muestra en MicrosoftInternet Explorer:

7

En el ejemplo anterior, se activa la alerta de seguridad porque el nombre
del dominio no coincide con el del sitio web al que desea acceder, lo que
indica que el sitio en el cual está instalado el certificado no tiene derechoa usar dicho certificado. Otras alertas de seguridad se activan si ha vencidoel período de validez de un certificado. De igual modo, la advertencia semostrará si el certificado está firmado con una raíz no reconocida (una raízque no está instalada de modo predeterminado en el explorador).

Por otra parte, se informará al usuario que accede a un sitio web concertificado válido que el sitio Web que está visitando cuenta con certificadodigital emitido por una autoridad de certificación (CA) reconocida, como
thawte, y que todos los datos que envíe serán codificados. Al controlarel certificado, el cliente puede verificar que el sitio web es propiedad de unaempresa real, dueña del nombre del dominio al que está accediendo.

8

6. ¿Cómo se establece una sesión SSL?

Al conectarse a un servidor web seguro, como https://www.thawte.com, ese
servidor debe autenticarse a sí mismo ante el explorador web mediante un
certificado digital antes de establecer una conexión segura.

El siguiente diagrama ilustra los pasos que tienen lugar cuando se establece unasesión SSL:

9

Durante este proceso, el explorador web verifica que:

•
•
•

el nombre del dominio del certificado coincida con el dominio desde el quese lo envió
el certificado no esté vencido
el explorador de la Web considera que la CA que firmó el certificado es
fiable

El proceso es perfecto, de modo que el usuario no ve cuando estos pasos tienenlugar. El certificado prueba que un tercero independiente y fiable, como thawte,ha verificado que el dominio pertenece a una empresa real y, por lo tanto, esfiable. Un certificado válido brinda a los clientes la confianza de que están enviandoinformación personal de modo seguro a una empresa autenticada

7. Clave pública y privada

Al solicitar un certificado, usted genera un par de claves en su servidor: una
pública y una privada. Cuando se genera un par de claves para su negocio, suclave privada se instala en su servidor y es de crucial importancia que nadie mástenga acceso a la misma.

Su clave privada crea firmas digitales que, de hecho, funcionan como el sello desu empresa en línea. Es esencial mantener esta clave lo más segura posible.
Si usted pierde su clave privada, ya no podrá seguir usando su certificado. Por
esta razón, es esencial que guarde una copia de seguridad de toda la clave
privada como una buena práctica de la gestión continuada de las claves.

La clave pública concordante se instala en el servidor de la Web como parte delcertificado digital. Ambas claves, pública y privada, se relacionan matemáticamente,pero no son idénticas. Los clientes que deseen comunicarse con usted en privado(mediante SSL) usan la clave pública de su certificado para codificar la informaciónantes de enviársela. Este proceso es instantáneo y perfecto para el usuario. Sólola clave privada del servidor web puede decodificar esta información. Los clientessentirán la seguridad de que nada de lo que envíen podrá ser visto por un tercero.

10

8. Aplicaciones de SSL

Existen dos áreas amplias de aplicación para los certificados SSL:

1] Asegurar la comunicación entre el explorador y el servidor web -

Asegurar la comunicación entre el explorador y el servidor web es actualmentela principal aplicación y se aplica con mayor frecuencia a los sitios web de comercioelectrónico para garantizar la transferencia de información sobre pagos. El tipode datos considerados sensibles se está ampliando actualmente desde los datosfinancieros para incluir toda la información personal identificable, incluidos los
números de identidad y seguridad social, y, cada vez más, las direcciones de
correo electrónico.

2] Asegurar la c