SSL/TLS: Cómo funciona el cifrado del tráfico web

Un certificado SSL/TLS es esencial para asegurar que las comunicaciones online sean seguras y que el tráfico viaje cifrado desde un navegador a un servidor.

Qué es un certificado SSL

Un certificado SSL/TLS es un componente de seguridad utilizado en sitios web para proteger la privacidad de los datos de los usuarios. Su funcionamiento consiste en cifrar la información que viaja entre un navegador web y un servidor, lo que impide que terceros intercepten o comprendan estos datos. Además, verifica que el sitio web es auténtico, ayudando a prevenir la suplantación de identidad y otras amenazas en línea.

En un sitio web sin certificado SSL, todo el tráfico viaja como texto plano sin ningún tipo de cifrado, por lo que si alguien fuese capaz de interceptar este tráfico podría obtener toda la información que se está enviando (contraseñas, tarjetas de crédito, etc.). Por otro lado, en un sitio web con certificado SSL todo el tráfico viaja cifrado, por lo que aunque alguien fuese capaz de interceptar el tráfico, no sería capaz de descifrar la información.

Tipos de certificado SSL

Existen varios tipos de certificados SSL/TLS, y la elección del tipo adecuado depende de las necesidades de cada sitio web:

Certificado de dominio único: Certificados simples que únicamente aseguran un dominio principal. No son válidos para proteger subdominios.
Certificado de dominio wildcard: Certificados que permiten proteger un dominio principal y todos sus subdominios.
Certificado multi-dominio: Certificados que permiten proteger varios dominios diferentes, incluyendo los subdominios de cada uno de ellos.

Además de la clasificación anterior, también podemos categorizar los certificados SSL según su nivel de seguridad:

Certificado de dominio validado (DV): Certificados que verifican únicamente la propiedad del dominio del sitio web. Son los más sencillos y rápidos de obtener y son adecuados para sitios web personales, blogs, etc.
Certificado de organización validada (OV): Certificados que, además de verificar el dominio, confirman la existencia legal y la identidad de la organización propietaria del sitio web. Son adecuados para sitios web de empresas y organizaciones.
Certificado de validación extendida (EV): Certificados de mayor seguridad en los que, además de verificar el dominio, una entidad externa realiza una investigación para comprobar la legitimidad de la organización propietaria del sitio web, así como sus datos legales. Son recomendables para sitios web de comercio electrónico y sitios que manejan información sensible.

Es importante mencionar que todos los certificados anteriores sirven perfectamente para proteger el tráfico de nuestro sitio. La elección de un tipo de certificado u otro no afecta a la seguridad, únicamente afecta a la confiabilidad del sitio web (demostrar la identidad del sitio web y de su organización).

Qué es una CA

Una CA es una “autoridad certificadora” encargada de emitir y validar los certificados SSL/TLS.

Algunas de las CA más conocidas son GlobalSign, DigiCert, Sectigo o Let’s Encrypt. Estas organizaciones son las encargadas de distribuidor los certificados SSL a las compañías que desean asegurar su sitio web. De este modo, cuando nos conectamos a un sitio web, el navegador es capaz de reconocer la fiabilidad del sitio web ya que la CA nos confirmará la legitimidad del sitio y de la compañía.

Desde nuestro navegador, podemos consultar la CA que certifica cada sitio web desde los detalles del certificado:

Certificado de Facebook.com: CA DigiCert

Cómo funciona una conexión HTTPS (SSL/TLS)

El funcionamiento de SSL es muy similar al de una conexión SSH, ya que el cifrado/descifrado se realiza mediante un par de ficheros de clave (publica-privada) del servidor. La clave pública es capaz de cifrar datos que solo podrán ser descifrados mediante la clave privada.

Al establecer una conexión HTTPS (SSL), se siguen los siguientes pasos:

Solicitud del cliente: El proceso comienza cuando un cliente (por ejemplo, un navegador web) solicita una conexión segura a un servidor web. Esto se indica mediante el prefijo “https://” en la URL.
Envío del certificado del servidor: El servidor responde a la solicitud del cliente enviando su certificado SSL. Este certificado contiene la clave pública del servidor y está firmado por una autoridad de certificación (CA).
Verificación del certificado: El cliente verifica la autenticidad del certificado del servidor comunicándose con la autoridad certificadora (CA).
Envío de clave de sesión: El cliente genera una clave única de sesión, la cifra con la clave pública del servidor y se la envía.
Confirmación del servidor: El servidor descifra la clave de sesión recibida utilizando su clave privada. A partir de este momento la conexión queda establecida y se utilizará esta clave de sesión para el cifrado del resto de peticiones.

Cómo comprobar el certificado de un sitio web

Existen servicios online como SSL Shopper que nos permiten validar los detalles del certificado SSL de un sitio web, comprobando si todo está configurado correctamente o si existe algún tipo de anomalía:

Situación actual del tráfico web cifrado

La situación actual del tráfico web cifrado ha experimentado un crecimiento significativo en los últimos años. El cifrado se ha vuelto fundamental para garantizar la privacidad y la seguridad de las comunicaciones en línea.

El siguiente gráfico muestra la evolución de la cantidad de sitios web con conexión segura indexados en Google, pasando de un 48% en 2014 a un 95% en 2023:

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_96XKRRH9JN	2 years	This cookie is installed by Google Analytics.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
tk_ai	5 years	JetPack sets this cookie to store a randomly-generated anonymous ID which is used only within the admin area and for general analytics tracking.
tk_lr	1 year	The tk_lr is a referral cookie set by the JetPack plugin on sites using WooCommerce, which analyzes referrer behaviour for Jetpack.
tk_or	5 years	The tk_or is a referral cookie set by the JetPack plugin on sites using WooCommerce, which analyzes referrer behaviour for Jetpack.
tk_qs	30 minutes	JetPack sets this cookie to store a randomly-generated anonymous ID which is used only within the admin area and for general analytics tracking.
tk_r3d	3 days	JetPack installs this cookie to collect internal metrics for user activity and in turn improve user experience.