Certificados firmados y autofirmados

La seguridad es un factor críticamente importante en el éxito de cualquier sitio web. Esto es especialmente cierto para los sitios que necesitan recopilar PIA, o información de identificación personal, de los visitantes.

La seguridad es un factor críticamente importante en el éxito de cualquier sitio web. Esto es especialmente cierto para los sitios que necesitan recopilar PIA, o «información de identificación personal», de los visitantes. Piense en un sitio que requiera que ingrese un número de seguro social, o más comúnmente, un sitio de comercio electrónico al que necesite agregar información de tarjeta de crédito para completar su compra. En sitios como estos, no solo se espera seguridad de esos visitantes, es esencial para el éxito.

Cuando está creando un sitio de comercio electrónico, una de las primeras cosas que necesitará configurar es un certificado de seguridad para que los datos de su servidor estén seguros. Cuando configura esto, tiene la opción de crear un certificado autofirmado o crear un certificado aprobado por una autoridad de certificación. Echemos un vistazo a las diferencias entre estos dos enfoques para los certificados de seguridad del sitio web.

Similitudes entre certificados firmados y autofirmados

Si obtiene su certificado firmado por una autoridad de certificación o lo firma usted mismo, hay una cosa que es exactamente igual en ambos:

  • Ambos certificados generarán un sitio que no puede ser leído por terceros. Los datos se envían a través de una conexión HTTPS o SSL, y se cifrarán independientemente de si el certificado está firmado o no.

En otras palabras, ambos tipos de certificados cifrarán los datos para crear un sitio web seguro. Desde una perspectiva de seguridad digital, este es el paso 1 del proceso.

Por qué pagaría a una autoridad de certificación

Una autoridad de certificación le dice a sus clientes que la información de este servidor ha sido verificada por una fuente confiable y no solo por la compañía propietaria del sitio web. Básicamente, hay una compañía de terceros que ha verificado la información de seguridad.

Una autoridad de certificación de uso común es Verisign. Dependiendo de qué CA se use, el dominio se verifica y se emite un certificado. Verisign y otras CA de confianza verificarán la existencia de la empresa en cuestión y la propiedad del dominio para proporcionar un poco más de seguridad de que el sitio en cuestión es legítimo.

El problema con el uso de un certificado autofirmado es que casi todos los navegadores web verifican que una conexión https esté firmada por una CA reconocida. Si la conexión es autofirmada, se marcará como potencialmente riesgosa y aparecerán mensajes de error alentando a sus clientes a no confiar en el sitio, incluso si es, de hecho, seguro.

Usar un certificado autofirmado

Dado que brindan la misma protección, puede usar un certificado autofirmado en cualquier lugar donde usaría un certificado firmado, pero algunos lugares funcionan mejor que otros.

Los certificados autofirmados son excelentes para probar servidores. Si está creando un sitio web que necesita probar a través de una conexión https, no tiene que pagar un certificado firmado para ese sitio de desarrollo (que probablemente sea un recurso interno). Solo necesita decirle a sus evaluadores que su navegador puede mostrar mensajes de advertencia.

También puede usar certificados autofirmados para situaciones que requieren privacidad, pero las personas podrían no estar tan preocupadas. Por ejemplo:

  • Formularios de nombre de usuario y contraseña
  • Recopilación de información personal, pero no financiera de PIA
  • En formularios donde los únicos usuarios son personas que lo conocen y confían en usted, como en una Intranet de la empresa

Todo se reduce a la confianza. Cuando utiliza un certificado autofirmado, le dice a sus clientes «confíen en mí, soy quien digo que soy». Cuando utiliza un certificado firmado por una CA, está diciendo: «Confía en mí, Verisign acepta que soy quien digo que soy». Si su sitio está abierto al público y está tratando de hacer negocios con ellos, este último es un argumento mucho más fuerte para hacer.

Si está haciendo comercio electrónico, necesita un certificado firmado

Es posible que sus clientes lo perdonen por un certificado autofirmado si solo lo usan para iniciar sesión en su sitio web, pero si les está pidiendo que ingresen su tarjeta de crédito o información de Paypal, entonces realmente necesita un certificado certificado. La mayoría de las personas confían en los certificados firmados y no harán negocios a través de un servidor HTTPS sin uno. Entonces, si está tratando de vender algo en su sitio web, invierta en ese certificado. Es parte del costo de hacer negocios y participar en la venta en línea.

Rate article
labsfabs.com
Add a comment