¿Tienes la duda de si es seguro el certificado SSL gratuito de Let’s Encrypt? En pocas y cortas palabras, sí lo es. Diariamente, los visitantes de todos los sitios en internet comparten información confidencial. Ellos ingresan detalles tan importantes como su número de tarjeta de crédito y credenciales bancarias. Si la conexión entre el sitio web y el visitante no viaja encriptada, esta información puede ser falsificada, robada o espiada. Es allí donde entra en juego el protocolo de seguridad SSL (Secure Sockets Layer) o Capa de Conexiones Seguras.
Existe una infinidad de sitios web que nos pide registrarnos y proporcionar nuestros datos personales. Esto con el fin de acceder a ellos. Incluso en algunos casos nos piden que ingresemos una dirección de correo electrónico para suscribirnos a sus boletines informativos. La mayor parte de la web emplea el protocolo HTTP como conexión estándar (insegura), que los piratas informáticos pueden vulnerar.
Si somos propietarios de un sitio web, ya conocemos la importancia de un Certificado SSL. Básicamente, debemos migrar del protocolo HTTP al HTTPS. Obtendremos muchas ventajas al hacer esto. Sin embargo, para realizar esta transición, necesitamos un certificado SSL originado por una autoridad certificada.
Durante muchos años, estos certificados costaban algún dinero. Antes, para obtener uno de esos certificados, necesitábamos estar alojados en un Servidor Privado Virtual (VPS) o en un Alojamiento Dedicado.
Índice
¿Es seguro el certificado SSL gratuito de Let’s Encrypt?
Existe una autoridad en Internet, cuyo objetivo es proporcionar certificados SSL gratuitos para todos. Estamos hablando de Let’s Encrypt.
Lamentablemente, existen muchos malentendidos y preguntas originadas por desconocimiento sobre este servicio. En esta publicación de Ayuda Hosting, intentaremos aclarar los malentendidos y responder a esas preguntas. También, aprenderemos sobre qué es un protocolo SSL, por qué lo necesitamos y si es seguro el certificado SSL gratuito de Let’s Encrypt.
¿Qué es un certificado SSL?
SSL o (Secure Sockets Layer) es una tecnología de cifrado estándar que permite establecer una conexión segura entre un navegador web y un servidor. Esto, asegura que todos los datos que pasan durante la conexión entre ambas estaciones viajan encriptados y en consecuencia, permanecen en privado. Millones de sitios web utilizan SSL para proteger la información confidencial ingresada por los visitantes.
¿Cómo implementar la tecnología SSL?
Para implementar la tecnología SSL, necesitaremos un Certificado SSL. Por lo general, estos certificados contienen nuestro nombre, nombre de dominio, nombre de la empresa y dirección. Los certificados SSL tienen una fecha de vencimiento, fecha de emisión y detalles sobre la autoridad de certificación que los emite. Cada uno de estos certificados es único y está asignado a una dirección IP en particular. Es por eso que se requiere una dirección IP dedicada, VPS o alojamiento dedicado para poder usarlo.
¿Cómo funciona el protocolo SSL?
Cuando un navegador web intenta conectarse a un sitio web seguro, verifica si el certificado ha caducado o no. Antes de que se realice la conexión, el navegador verifica que la Autoridad de Certificación es confiable y válida. Los datos están protegidos y encriptados de miradas indiscretas mientras el certificado esté activo. Los sitios que usan SSL tienen sus URL que comienzan con https. Además, la mayoría de los últimos navegadores colocan un pequeño candado verde al lado del nombre de dominio para ayudar a los visitantes a confiar en el sitio.
¿Qué es Let’s Encrypt?
Let’s Encrypt ha ganado mucha popularidad. Es una autoridad de certificación que proporciona certificados SSL gratuitos a los propietarios de sitios web. Anteriormente, la única forma de cifrar nuestro sitio web era a través de certificados SSL pagados, excepto que habían algunos servicios que proporcionaban certificados SSL compartidos y gratuitos. Sin embargo, Let’s Encrypt es diferente. Con la llegada de Let’s Encrypt, ahora podemos obtener un certificado gratuito dedicado para nuestro sitio web.
Let’s Encrypt es una autoridad de certificación dedicada al beneficio público. Está respaldada por el Grupo de Investigación de Seguridad de Internet (ISRG), que es una organización para el beneficio público de California. Es una autoridad certificada que puede emitir certificados SSL. Se mantiene con fondos obtenidos de un grupo diverso de organizaciones y empresas Fortune 100.
Este es un proyecto de código abierto que tiene como objetivo cifrar la mayor cantidad posible de sitios web en Internet. Con esto, protege la información personal y confidencial que ingresan los usuarios. Además, protege el comercio electrónico, las redes sociales, los foros y cualquier sitio web que reciba información confidencial para beneficio de los visitantes.
¿Cómo era el proceso de obtención del certificado SSL?
Let’s Encrypt tiene automatizado todo el proceso de certificación. Durante mucho tiempo, cifrar un sitio web y administrar las HTTPS fue un proceso penoso. Debíamos obtener una CSR o Certificate Signing Request y verificar la propiedad del dominio ante la autoridad de certificación. Además, teníamos que comprar un certificado e instalar y configurar el servidor para usarlo. Era un proceso tremendamente complicado especialmente para sitios web antiguos. Más tarde llegó Let’s Encrypt, que proporciona certificados de forma gratuita.
El objetivo de Let’s Encrypt es simple: automatizar la emisión y renovación de certificados SSL.
¿Cómo hace eso Let’s Encrypt?
Let’s Encrypt proporciona una API o Application Programming Interface donde podemos solicitar un certificado y obtenerlo. Emplea un cliente de línea de comandos llamado Certbot para ofrecer certificados. Simplemente instalamos Certbot en nuestro servidor, ingresamos algunos comandos y obtendremos un certificado SSL gratuito. Este es el proceso manual bastante sencillo pero requiere familiaridad con líneas de comandos.
Varios hosts proporcionan la integración de Let’s Encrypt y también pueden generar un certificado directamente a través de cPanel.
Tal es el caso de Siteground que es uno de esos hosts desde donde podemos obtener un certificado SSL gratuito de Let’s Encrypt. Incluso, si nos encontramos en un entorno de alojamiento compartido. Posee una interface de usuario agradable, por lo que es más fácil para los usuarios proteger sus datos.
¿Qué tan fiable es?
En cualquier industria, existe un patrón estándar para hacer las cosas. La forma tradicional de obtener un certificado SSL era comprar uno y renovarlo cada 12 meses. Con esto, muchas compañías ganaron mucho dinero a través de este negocio de certificados SSL pagados.
Los certificados SSL gratuitos de Let’s Encrypt han tenido un gran impacto en el buen funcionamiento de las empresas. SSL gratis está disponible para cualquiera que lo desee. Las renovaciones también son gratuitas.
Dado que Let’s Encrypt representa una amenaza para las empresas SSL de pago, algunas personas están llevando a cabo una campaña contra Let’s Encrypt. Muchas de las personas que buscan incorporar SSL en sus sitios web están siendo engañadas al creer que los certificados gratuitos son de alguna manera defectuosos e inseguros. Eso es desinformación completa e intencional.
El cifrado resultante mediante un certificado SSL depende completamente de su configuración de certificado y este (SSL/TLS) no depende de la Autoridad de Certificación. Como Let’s Encrypt oficial crea certificados de 2048 bits, podemos decir que son seguros. Todo lo demás depende de su configuración. Por otro lado, los certificados de Let’s Encrypt son más transparentes y auditables.
La pregunta aquí es sobre la credibilidad de Let’s Encrypt ¿Es o no una forma confiable de obtener certificados SSL?
Sabemos que Let’s Encrypt no genera dinero al ofrecer certificados SSL gratuitos. Además, es una organización que depende de las donaciones para sus operaciones. El hecho de que esta iniciativa está respaldada por compañías como Automattic, Sucuri, Mozilla, Google y Facebook también dice mucho sobre su autenticidad.
Algunas confusiones y preguntas frecuentes sobre Let’s Encrypt
Cualquier empresa que presente una ruta de operaciones no tradicional genera muchas preguntas. Varias consultas deben abordarse por malentendidos y mitos que deben ser eliminados. Aquí hay algunas preguntas frecuentes sobre Let’s Encrypt:
- ¿Let’s Encrypt es completamente gratis? Sí, todo en Let’s Encrypt es completamente gratis. No hay cargos ocultos. Si estamos en Siteground, podemos obtener nuestro certificado en 5 minutos.
- ¿Qué pasa con las renovaciones? Los certificados SSL tradicionales tienen un período de validación de 12 meses. Sin embargo, los certificados SSL de Let’s Encrypt caducan cada ciclo de 90 días. Pero no hay que preocuparse, a los hosts compatibles le permiten renovar con un solo clic. En su mayoría, estas renovaciones son automáticas.
- ¿Esta iniciativa es auténtica? Si, absolutamente. La organización detrás de la iniciativa es reconocida por el propio IRS (US Internal Revenue Service o Servicio de Rentas Internas de los EE.UU.). Let’s Encrypt es una autoridad certificada para la emisión de certificados SSL.
- ¿Podemos generar múltiples certificados gratuitos? Absolutamente sí.
Let’s Encrypt está diseñado para combatir ataques contra la seguridad en Internet y para impulsar la generalización del uso de SSL/TLS para tener un Internet más seguro y privado a nivel mundial. Su objetivo es eliminar con mayor precisión las limitaciones técnicas y financieras que pueden impedir que los webmasters utilicen los certificados SSL/TLS de manera más amplia.
¿Debemos comprar un certificado SSL o usar Let’s Encrypt?
¿Debemos comprar un certificado SSL y renovarlo anualmente? o ¿deberíamos aprovechar los certificados gratuitos?
Técnicamente hablando, no hay diferencia entre un certificado básico pagado y un certificado gratuito. Excepto por la autoridad emisora del certificado, no hay otra diferencia. En pocas palabras, ambos certificados son iguales y provienen de una entidad autorizada. No hay razón para no confiar en la iniciativa de Let’s Encrypt.
Los certificados de nivel de dominio pagados cuestan alrededor de $ 50-60 anuales. Estos certificados se deben pagar anualmente para sus renovaciones. Mientras que los certificados Let’s Encrypt son gratuitos y las renovaciones también lo son. Además, existen muchos otros beneficios de la iniciativa libre. Por ejemplo:
- Es fácil de administrar.
- Los certificados son compatibles con los principales navegadores.
- Podemos generar múltiples certificados gratuitos.
- Viene integrado con muchos servidores web.
Pero si vamos por una organización o certificados SSL de validación extendida, que son bastante caros, entonces es una buena idea encontrar CA SSL (Autoridad de Certificación SSL) pagas.
Conclusión
¿Es seguro el certificado SSL gratuito de Let’s Encrypt? Sí lo es, Let’s Encrypt es realmente seguro. Como certificador oficial crea certificados de 2048 bits y también puede generar 4096. Para hacer esto, debemos ejecutar letsencrypt-auto con este indicador: –rsa-key-size 4096.
Let’s Encrypt ha salido de su versión beta con nuevos patrocinadores. Muchas de estas compañías confían en el éxito de Let’s Encrypt. Se han convertido en la tercera Autoridad de Certificación más grande del mundo. Mucha gente ha llegado a confiar en ellos. Actualmente, tienen 1,93 millones de certificados no vencidos y activos hasta la fecha, lo que los convierte en una de las autoridades de certificación más grandes del mundo.
Nosotros como propietarios de un sitio web, tenemos la gran responsabilidad de mantener intacta la privacidad de nuestros visitantes. Instalar un cifrado SSL en nuestro sitio web es un buen comienzo y evita que los piratas informáticos intercepten la información enviada. En el pasado, muchas personas temían encriptar su sitio web porque era costoso y difícil. Let’s Encrypt es fácil y gratuito.
Esperamos que este artículo sobre si es seguro el certificado SSL gratuito de Let’s Encrypt, les haya resultado útil. Más información sobre este y otros temas en Ayuda Hosting.
