¿Por qué pagar por un certificado SSL? Preguntas frecuentes que debe saber.

¿Por qué pagar por un certificado SSL cuando puedo obtener uno gratis?

La razón principal por la que debe pagar por un certificado SSL es la protección de responsabilidad. Los certificados SSL pagos brindan una protección de responsabilidad mucho mejor que cualquier versión gratuita. De hecho, muchas empresas de procesamiento de pagos ni siquiera aprobarán una solicitud para usar sus servicios a menos que tenga algún tipo de protección de responsabilidad.

Esto se debe a que, en caso de piratería u otras intrusiones en las que se produzca una filtración de datos y se roben los datos de pago de los clientes, estará asegurado en función del nivel de garantía de su certificado SSL.

Certificados SSL gratuitos, ya que son “gratuitos” ya que suelen ser emitidos por autoridades de certificación (CA) SSL sin fines de lucro. El más popular de estos es, por supuesto, "Let's Encrypt", que proporciona SSL/TLS. El certificado SSL gratuito no ofrece ningún tipo de protección de responsabilidad y puede hacer que las empresas de procesamiento de pagos rechacen su solicitud, por ejemplo, si desea abrir una tienda de comercio electrónico.

Sin embargo, existen otras situaciones en las que normalmente también son necesarios certificados SSL pagados de terceros:

Una de esas situaciones sería una verificación extendida o un certificado SSL "EV" . Ese es el certificado SSL que da la pequeña barra verde en el navegador que tiene el nombre legal de una empresa. Es una gran manera de establecer la confianza con el usuario.

Hay algunas razones más por las que pagaría por un certificado SSL. Sin embargo, en su mayoría se reducen a Garantía y Validación Extendida (EV).

Este certificado proporciona ciertos niveles de protección de responsabilidad financiera.

Si necesita o no este nivel de protección de responsabilidad financiera depende, por supuesto, de qué tipo de transacciones financieras se llevarán a cabo en su sitio web, los valores de esas transacciones y, por supuesto, la empresa de procesamiento de pagos con la que elija hacer negocios.

De hecho, cada uno de los certificados SSL pagados a continuación y los niveles de protección de responsabilidad que brinden también dependerán de los tipos de transacciones financieras que se realizarán en su sitio web, los valores de esas transacciones y, por supuesto, la empresa de procesamiento de pagos que elija. para hacer negocios con también.

Validación Extendida (EV).

Proveedores como Sectigo o Comodo emiten certificados EV SSL que verifican que su negocio es una organización real y genuina.

Los certificados de validación extendida en realidad dirán el nombre de la empresa y que se verificó, en lugar de simplemente decir "Seguro" y/o simplemente mostrar un candado.

Si desea ver algunos ejemplos de esto en acción, simplemente vaya a Paypal.com o Citi.com (Citibank). Normalmente verás esto:

Si visita un sitio con un SSL gratuito simple, el nombre de la empresa generalmente no se incluirá en el certificado.

Además, otros proveedores generalmente brindarán un seguro para los problemas que surjan debido al SSL, o cosas como las pruebas de vulnerabilidad. Todo depende de quién obtenga el certificado SSL.

Luego, el otro es solo la vida del SSL. Let's Encrypt es de 90 días, luego debe renovar, pero eso ahora se puede automatizar, generalmente con un complemento simple. A otros proveedores de certificados SSL se les paga por un año o más a la vez.

Por ejemplo, cuando vea un candado verde antes de una URL (y no solo un candado simple) y haga clic en él, verá la información de SSL para ese sitio web.

Garantía.

Los certificados que compra también vienen con ciertos niveles de garantía. Estas garantías están asociadas a transacciones.

Si por algún motivo se produce una infracción y los datos confidenciales de su cliente se han visto comprometidos y han causado daños o pérdidas financieras, el proveedor que emitió el certificado EV lo compensará hasta una cantidad determinada según el certificado adquirido y su garantía.

Algunas personas que administran tiendas de comercio electrónico comprarán un EV solo por la garantía.

De hecho, más empresas que realizan transacciones en las que se transmiten datos confidenciales de los consumidores a través de los servidores de sus sitios web deberían considerar la garantía si realmente quieren realizar negocios en línea.

Por ejemplo, en Comodo , un certificado EV SSL de un año cuesta $ 179.99 / año y proporciona una garantía de $ 1,750,000 en caso de que algo salga mal.

Incluso cuando los sitios usan Sagepay y Paypal para manejar los pagos, aún pueden tomar suficientes detalles del cliente para hacerlos responsables de cualquier pérdida debido a una violación de la seguridad.

¿Cómo ofrecen una mejor protección los certificados SSL de pago?

Los certificados SSL de pago no ofrecen necesariamente una mejor protección de cifrado. Sin embargo, ofrecen cierto grado de protección de responsabilidad según el certificado SSL que obtenga.

Sin embargo, los certificados SSL pagados le brindan al usuario que está viendo su sitio web a través de su navegador que su sitio web es seguro y ha sido verificado por una autoridad de certificación.

De esta manera, su usuario puede sentirse más seguro al realizar transacciones en su sitio web, ya que saben a través del certificado que su sitio web es legítimo y no una estafa o un sitio web de phishing.

En lo que respecta al cifrado, nuevamente, los certificados SSL pagados no ofrecen un cifrado más fuerte que los certificados SSL gratuitos como Let's Encrypt. Eso no quiere decir que todos los SSL ofrezcan la misma protección de cifrado.

Hay muchos proveedores de certificados SSL que ofrecen encriptación adicional para cosas como el correo electrónico, etc. Eso también puede agregar un nivel adicional de protección a su sitio web.

¿Por qué algunos certificados SSL de pago cuestan más que otros?

El precio de un certificado SSL generalmente depende del tipo de certificado, la reputación del emisor, el proceso de verificación y, lo que es más importante, su garantía.

Cuando compra un certificado EV, también paga una garantía que cubrirá algunos casos de fraude relacionados con los certificados. Cuanto mayor sea la garantía, mayor será el precio.

Realmente tienes que leer toda la letra pequeña del contrato para saber exactamente lo que estás comprando. Sin embargo, es seguro decir que un certificado de $ 2500 viene con una garantía más completa que un certificado de $ 179.99.

Estos precios no reflejan gran parte de los costos operativos, pero dependiendo de los certificados EV que haya elegido, habrá una verificación de identidad mucho más estricta antes de que se emita el certificado.

Esta verificación involucra más información solicitada al cliente y posiblemente a las personas reales que miran la información proporcionada.

Además, los servidores del proveedor deben estar funcionando las 24 horas del día, incluso con cargas más altas, porque todos los navegadores actuales verificarán la revocación antes de conectarse a sitios protegidos con EV. Los costos de la administración del servidor por sí solos pueden ser bastante elevados.

También se negarán si no se puede determinar el estado de revocación. Además, probablemente habrá personal disponible las 24 horas del día, los 7 días de la semana en caso de que sea necesaria una revocación de emergencia (que puede implicar la emisión de un nuevo certificado).

Las dos funciones principales de los certificados SSL EV pagados son básicamente:

• Proteger las transacciones en línea y la información privada que se transmite entre un navegador web y un servidor web.
• Confianza, se utiliza un EV SSL para aumentar la confianza del cliente. Un EV SSL prueba una sesión segura de su sitio web, significa que su cliente puede confiar en su sitio web.

Cada certificado tiene sus propios procedimientos de validación. Siguiendo estos procedimientos, la Autoridad de Certificación valida la confiabilidad de una empresa y envía un certificado para el sitio web.

Por lo tanto, el precio también puede reflejar el proceso de autenticación y los niveles de confianza.

Por ejemplo, un EV SSL valida muchos componentes de identificación de un dominio e información comercial.

La principal diferencia es el factor de confianza y la reputación de la marca. Si sus clientes ven la barra de direcciones verde en su navegador, es posible que se sientan más seguros y los alienten a realizar transacciones.

Un certificado SSL barato o gratuito solo valida la autoridad de un dominio y lo autentica utilizando el sistema de verificación de correo electrónico del aprobador. Un aprobador puede obtener fácilmente este certificado en cuestión de minutos con una dirección de correo electrónico genérica como Gmail.

De lo contrario, en la mayoría de los casos, la garantía de un certificado explica las diferencias. Las autoridades de certificación pueden proporcionar una garantía extendida de $ 1K a $ 2M o incluso más contra la emisión incorrecta de un certificado SSL.

Los costosos certificados EV SSL también ofrecen a veces un sello dinámico. Esta es una imagen dinámica que se muestra en un sitio web que muestra la hora y la fecha actuales en que se cargó la página web.

Esto indica que el sello es válido para el dominio en el que está instalado y está vigente y no vencido.

Cuando se hace clic en la imagen, se mostrará información de la autoridad de certificación sobre el perfil del sitio web que valida la legitimidad del sitio web.

De nuevo, esto dará a los visitantes del sitio web una mayor confianza en la seguridad del sitio web.

Tipos de Certificados SSL de pago.

Hay 3 tipos principales de certificados SSL de pago. Estos varían en costo, siendo un Certificado SSL EV de Dominio Único normalmente el más económico.

Dominio único

Protege las versiones con y sin www de su dominio

Comodín

Protege todos los subdominios de un único dominio, incluidas las versiones www y no www.

multidominio

La mayoría de las autoridades de certificación otorgan de 3 a 5 dominios con su plan de precios básico

Debe pagar por dominio adicional.

¿Son seguros los certificados SSL gratuitos?

Los certificados SSL gratuitos son tan seguros como los certificados SSL de pago. Si observa el certificado SSL gratuito de Let's Encrypt, obtendrá un certificado SSL tan seguro como cualquier otro certificado SSL de pago.

Sin embargo, el certificado SSL gratuito más común "Let's Encrypt" solo emite certificados que son válidos por 90 días. En el pasado, cuando salió el certificado SSL gratuito de Let's Encrypt, esta fue la queja número uno que tenían los usuarios.

Quiero decir, ¿quién quiere tener que renovar un SSL cada 90 días o enfrentar fallas en la cobertura, verdad?

Bueno, hoy en día la frecuencia de renovación no es un problema ya que este proceso se puede automatizar. De todos modos, Let's Encrypt ahora está automatizado. Así que la configuración ahora es mucho más fácil.

Algunos incluso argumentan que Let's Encrypt es más seguro. Al menos de una manera importante. Su clave privada se genera en su servidor y nunca lo abandona.

¿Es un certificado SSL de pago más seguro que un certificado SSL gratuito?

Los certificados SSL gratuitos como Let's Encrypt no son más seguros que los certificados SSL de pago.

Al principio creí que un certificado SSL pagado sería más seguro que el certificado gratuito "Let's Encrypt", pero cuanto más lo investigué, descubrí que no era así en absoluto.

En realidad, proporcionan el mismo nivel de cifrado.

De hecho, el "nivel de cifrado" es más una función de los servidores de su propio proveedor de alojamiento web que cualquier otra cosa. Puede gastar miles de dólares en un certificado EV y aun así obtener una "F" en la prueba Qualys SSL Labs .

¿Cómo obtengo un certificado SSL de confianza?

Hay muchos proveedores de certificados SSL de confianza por ahí. Por lo tanto, vaya siempre con aquellos que han existido por más tiempo y son los más respetables. Mis tres principales proveedores de certificados SSL son:

• Comodo .
• Sectigo .
• Verisigno .

¿Por qué pagar por un certificado SSL? Conclusiones SSL pagadas.

A menos que necesite una validación extendida o un comodín por problemas de responsabilidad o confianza, no hay un beneficio real en una opción SSL paga. Si tiene un sitio relacionado con contenido simple, un SSL gratuito es bueno.

Sin embargo, como mínimo, si tiene un sitio de comercio electrónico, un certificado SSL EV pagado mostrará el nombre de su empresa en la barra de direcciones del navegador y, como resultado, su cliente confiará en que su sitio web es un dominio autorizado.

Es de esperar que esto no los haga dudar al realizar una transacción en la que su información financiera confidencial deba transmitirse para compras, por ejemplo.

Entonces, resumamos por qué y cuándo debe y no debe pagar por un certificado SSL:

• Si solo tiene un sitio web ordinario no comercial, simplemente vaya con el certificado SSL gratuito "Let's Encrypt".
• Si tiene un sitio de comercio electrónico comercial con transacciones financieras automatizadas como carritos comerciales, un sistema de facturación, simplemente continúe y pague un certificado EV SSL.

Depende del nivel de SSL.

Al final, un SSL no hace que su sitio sea seguro. Hace que los datos enviados hacia y desde su sitio sean seguros. Esto protegerá los datos para que no sean tomados.

Sin embargo, no tendrá ningún impacto en los ataques de fuerza bruta ni en ningún otro intento de pirateo de sitios web.

Los certificados SSL tampoco lo protegerán contra los agujeros de seguridad en los temas o complementos de WordPress, así que asegúrese de que estén siempre actualizados.