Los rumores ya corrían pero ninguno era convincente: Google comenzaría a penalizar a los sitios web que no cifraran su información a través de un certificado SSL. La verdad es que no se penalizan los sitios que no cuentan con un certificado, sin embargo sí que toma más en consideración aquellos que si lo tienen.

El candadito verde o el HTTPS (sí, la S es de Secure), como prefieran llamarlo, es esencial cuando se solicita información al usuario; en los formularios pues, ya sea el más mínimo dato como el género de la persona. Y aún más obvio cuando de información más delicada se trata, desde usuarios, contraseñas, hasta información médica por ejemplo.

Se llama certificado porque efectivamente existen varias entidades certificadoras que los emiten, ya que cualquiera puede generar una llave de cifrado, pero es requerida una entidad certificadora que valide que el certificado no será usado con fines maliciosos. Y de éstas hay muchas, el servicio de hosting en el que se encuentran lo ofrece por una anualidad que puede comenzar desde los $300 MXN. Y claro que existen los certificados gratuitos, sin embargo hay que buscar un poco y pedir ayuda o soporte ya que algunos se deben renovar cada 1-3 meses.

Este año 2017, Google comenzó a mostrar (exhibir) los sitios no seguros, con la finalidad misma de que este año todos adquieran un certificado, sin excepción, aunque no exista transferencia de información del usuario al servidor. Con esto en un futuro planea (ahora sí) penalizar a los sitios que no cuenten con un certificado.

A todo esto, ¿de qué me sirve tener un certificado? Bueno, además de generarle confianza al usuario, se evita que los ladrones de información puedan ver información delicada o roben la identidad del usuario (phising), lo cual se está volviendo cada vez más frecuente, por lo cual las grandes compañías del Internet están impulsando el uso de los certificados. Un claro y muy recurrente ejemplo es cuando estás en una cafetería y pides la clave del WiFi para poder trabajar, verificar tu tienda en linea, escribir un post en tu blog, ver tu correo electrónico, checar facebook, etc… es muy alta la probabilidad de que en esa misma red en la que están conectados 25 dispositivos simultáneos alguien esté espiando lo que hacen los demás.

Si a estas alturas ya pensaste en adquirir un certificado, te dejamos una mini-guía para comprar el que más se adecue a tus necesidades; los certificados se dividen en nivel de seguridad y por lo regular: entre más caro, más seguro, ya que la entidad emisora se asegura de validar tu información:

  • Validación de Dominio (DV). Solamente verifican que seas propietario del dominio que vas a asegurar; óptimo para sitios web pequeños, blogs y sitios de noticias.
  • Validación de Organización (OV). Validan que además de ser propietario del dominio seas propietario de la organización o empresa, es decir, te investigan y solicitan documentación antes de emitir el certificado, así que toma en cuenta el tiempo de respuesta por si tienes prisa en obtener un certificado. Este certificado es el ideal para tiendas en línea, incluso algunos ofrecen la posibilidad de colocar el nombre de tu organización en la barra de dirección en color verde.
  • Validación Extendida (EV). En este se realiza una validación exhaustiva en la cual incluso debes validar en persona los datos de tu persona, dominio y organización. Generalmente es la banca, los sistemas gubernamentales y empresas fintech las que adquieren este tipo de certificados.