Diferencias entre un certificado SSL de pago y uno gratuito

Actualmente los navegadores de Internet más usados recomiendan encarecidamente que uses un certificado SSL para tu sitio web, mostrando advertencias en caso de que no sea así, indicando a los usuarios que el sitio no es seguro.

El posicionamiento web SEO también se ve afectado por esto. La verdad es que hoy en día ya no hay excusa para no tener un certificado SSL instalado en cualquier web pública.

¿Qué validan los certificados SSL?

Hay diferentes tipos de certificados SSL y los podemos agrupar según la información que la Autoridad Certificadora (AC) correspondiente puede validar:

• Validación de Dominio: la AC valida que tenemos el control de un dominio, no valida la identidad de la persona, empresa u organización que hay detrás. El proceso de validación es automático y cuestión de minutos.
• Validación de Organización: la AC valida qué organización tiene la propiedad del dominio. El proceso de validación conlleva que la AC tiene que gestionar manualmente estos datos y hacer las verificaciones correspondientes. Puede tardar varios días en procesarse.
• Validación Extendida: la validación es parecida a la anterior, pero en este caso se valida también la existencia legal de la organización, así como su localización física y otros datos relevantes. El proceso de validación es manual y puede llevar varias semanas.

En términos de seguridad los tres tipos son exactamente igual de seguros, hacen lo mismo. Las diferencias radican únicamente en las validaciones correspondientes de cada tipo certificado.

Let’s Encrypt y los SSL gratuitos

Let’s Encrypt es una autoridad certificadora sin ánimo de lucro que en 2016 empezó a emitir sus certificados SSL sin ningún coste.

Sus certificados tienen una validez de 90 días, siendo estos renovables en cualquier momento dentro de su período de vida por otros 90 días. Tienen un sistema automatizado que permite validar y certificar a nivel de dominio un sitio web.

Al tener todo el proceso automatizado facilitan que los paneles de alojamiento web más famosos permitan instalar uno de estos certificados con unos pocos clics.

Certificados SSL de pago

Mientras que los certificados SSL gratuitos solo permiten validación de dominio, los certificados de pago también permiten validaciones extendidas y de organización. Su coste puede oscilar entre los 5€ y los 1.500€ aproximadamente.

Existen muchas Autoridades de Certificación y cada una vende una gama concreta de certificados, pero todos ellos usan uno de los tres tipos de validación mencionados, que tienen una validez que puede variar entre 1 y 2 años.

Diferencias

A nivel de seguridad no hay ninguna diferencia, todos los certificados hacen lo mismo: cifrar los datos que viajan desde nuestro navegador a los servidores web.

Tal y como hemos comentado antes, una de las diferencias entre los certificados SSL gratuitos y los de pago son el tipo de validación que ofrecen.

Otra diferencia radica en el soporte que ofrece la Autoridad Certificadora. Let’s Encrypt pone a disposición de los usuarios una comunidad para que puedan ayudarse entre ellos, además de una documentación suficientemente completa. Las AC con ánimo de lucro suelen tener un servicio de soporte directo y personalizado para los usuarios.

Y finalmente pero no menos importante, una diferencia más entre los certificados gratis y de pago es la garantía o seguro que tienen. En el caso improbable de que haya una filtración de datos en uno de tus certificados SSL de pago, la AC te asegura económicamente hasta un límite, que depende del certificado contratado, mientras que si te sucede lo mismo con un certificado gratuito no tienes cubierto ningún coste económico que puedas sufrir.

¿Cuándo usar un certificado SSL gratuito?

Estos certificados son ideales en caso de que no haya intercambio de información entre cliente y servidor o cuando los datos que viajan por la red no son sensibles.

Por ejemplo, cuando alguien rellena el formulario de contacto de tu web, la información rellenada viaja desde el cliente (que es el navegador web) al servidor web. Esta información puede llegar a ser interceptada por un atacante.

Si tenemos un certificado SSL, sea cual sea, la información va a viajar siempre cifrada y ningún atacante podría ver los datos, a no ser que consiga romper la seguridad del certificado, algo bastante difícil e improbable. Ahí es donde entra en juego la garantía que pueda tener el certificado.

Si tu web no tiene formularios, o los que tiene recogen información que no es sensible, con un certificado SSL gratuito es suficiente.

¿Cuándo usar un certificado SSL de pago?

Un certificado de pago que valide la identidad de la persona u organización que hay detrás es ideal para transmitir confianza en tiendas online, por ejemplo.

Es también altamente aconsejado en cualquier caso en que la información transmitida entre cliente y servidor sea sensible, como datos médicos, información bancaria, etc.

¿Vale la pena pagar por un certificado SSL con validación a nivel de dominio?

Un certificado SSL de pago con validación a nivel de dominio tiene un coste aproximado de entre 5€ y 20€ anuales. No es un gran desembolso, habría que analizar la situación, pero me atrevería a decir que en la mayoría de casos no merece la pena pagarlo cuando podemos tenerlo gratis. La diferencia principal en este caso va a estar en la garantía.

Piensa lo siguiente. ¿Realmente alguien va a realizar el enorme esfuerzo necesario para romper la seguridad del certificado? Para luego obtener los datos que viajan en un formulario de contacto… no parece que merezca la pena intentarlo. Y de ser así, económicamente seguramente no llegara a causar ninguna pérdida para ti y seguramente no recibirías ninguna indemnización.

Si lo que queremos es un certificado SSL de los básicos que validen que tenemos la propiedad del dominio no hace falta que paguemos por ellos.

¿Puede un atacante usar un certificado SSL gratuito?

Ciertamente sí, puede. Ahora mismo podríamos registrar un dominio con un nombre muy parecido al de cualquier banco y replicar su página de inicio de sesión, instalando un certificado gratuito. Luego, podríamos intentar mandar la página a múltiples usuarios con el objetivo de que entren y pongan ahí sus credenciales.

Esto pasa cada día, por eso es importante valorar y escoger bien qué certificado vamos a usar. Un banco no va a usar nunca un certificado gratuito, la gran mayoría usará un certificado de validación de organización o extendida.

Los usuarios podemos ver los datos de cualquier certificado a través del candado que tenemos al lado de la URL en los navegadores:

Resumen

Los certificados SSL gratuitos son muy útiles y se instalan de forma cómoda. Let’s Encrypt nos ofrece mecanismos que la mayoría de paneles de hosting tienen integrados para que instalemos y renovemos certificados SSL de validación de dominio de forma automática.

Los certificados SSL gratuitos son perfectos para webs corporativas, landing page, porfolios, blogs o cualquier sitio web que no intercambie información sensible con el servidor.

En el momento en que queramos ir un paso más allá y sea conveniente transmitir más confianza al usuario final, es muy recomendable usar un certificado SSL de pago con validación de organización o extendida. Es el caso de las tiendas online o sitios web que gestionen información sensible.

Un atacante también puede usar un certificado SSL gratuito, así que no bajemos la guardia cuando veamos que una web tiene un certificado SSL instalado. Es importante verificar si realmente esa web es de confianza o no.

¿Tú también quieres un certificado SSL para tu web pero no sabes por dónde empezar? No te preocupes, que para eso estamos nosotros. Ponte en contacto y cuéntanos lo que necesitas, te atenderemos encantados.

Artículos relacionados:

Por qué necesitas un certificado SSL ahora mismo Diferencias entre servidor Cloud y VPS ¿Sigues sin certificado SSL en tu web? Te lo damos gratis, ya no tienes excusa Google ya ha dejado de confiar en varios certificados SSL de Symantec

factory_shortcodes_assets:

a:0:{}

classic-editor-remember:

block-editor