¿Qué son los certificados web?

EADTrust-Certificados-web-QWAC DV-OV-EV-PSD2-Extended-Validation

Con frecuencia oímos hablar de estafas en internet, de robos de datos o incluso de pirateos de páginas. Es fundamental establecer una serie de medidas de seguridad que nos prevengan de ataques de cualquier tipo. Unas de estas fórmulas para protegernos es la instalación de un certificado TLS, especialmente si en tu sitio web se producen transferencias de datos (ya sean números de tarjetas de crédito, nombres de usuario, contraseñas, correos electrónicos, etc.). En este post te explicamos todo lo que necesitas saber para protegerte a ti y a tus usuarios, identificando el certificado que mejor se adapta a tu web.

¿Que son los certificados TLS?

TLS (Transport Layer Security o seguridad de la capa de transporte) es una versión actualizada del protocolo SSL, que permite cifrar los datos que se transmiten entre un navegador y un servidor web, para permitir las comunicaciones seguras en la red. La información que se envía es codificada por una serie de algoritmos de manera que, si se produce un ataque, los hackers no puedan leerla.

Además, estos certificados permiten autentificar la identidad del sitio web, garantizando que no es un sitio falso.

¿Cómo puedo saber si un sitio web tiene certificado?

Para saber si un sitio web está protegido por un certificado SSL, se pueden comprobar varios aspectos:

  1. La URL incluye las siglas “HTTPS” (Hyper Text Transfer Protocol Secure o protocolo seguro de transferencia de hipertexto).
  2. A la izquierda de la URL hay un candado.
  1. Al clicar sobre este, se puede acceder a la información del certificado.
como-saber-que-certificado-usa-mi-web

¿Qué tipos de certificados existen?

Existen tres tipos de certificados web:

  1. Domain Validated (DV): se utiliza para la seguridad de la capa de transporte (TLS) en el que se valida la posesión del dominio por parte del solicitante.
    Se obtienen de manera rápida, ya que sólo es necesario demostrar estar en posesión del dominio. Tener un certificado DV no solo mejora la confianza de los usuarios, además mejora la posición en Google pudiendo aumentar el tráfico de tu sitio web.
    Sin embargo, a nivel de seguridad son los certificados más sencillos y no ayudan a los visitantes a conocer quién dirige el dominio por lo que no es recomendable para los sitios web de comercio electrónico.
  1. Organization Validated (OV): aportan un nivel más alto de seguridad que los certificados de DV, ya que autentifican la identidad y legitimidad de la persona jurídica dueña del dominio. Por lo tanto, además de demostrar que están en posesión de la URL, los solicitantes tienen que probar que son empresas legalmente registradas. Si tu página web implica la recopilación de información sensible para tus usuarios, deberás optar por adquirir un certificado OV.
  2. Extended Validation (EV): es el nivel más alto de seguridad. Los solicitantes de este tipo de certificados tienen que pasar por un proceso de identificación más exhaustivo y estandarizado a nivel mundial. Entre los aspectos que se verifican están el derecho exclusivo de uso del dominio; la existencia legal, operativa y física de la persona jurídica; y la autorización de la emisión del certificado.

    Los certificados EV son la mejor herramienta de las empresas para combatir a los suplantadores
    de identidades o de phishing gracias a la absoluta identificación del dueño del sitio web y el fácil acceso a esta información por parte del usuario.

    Los dominios de alto perfil, más proclives a los ataques, como los bancos, grandes empresas o instituciones financieras deberían utilizar certificados EV. Pero todas las webs que recopilen datos o incluyan pagos pueden beneficiarse de las ventajas de utilizar un nivel más alto de seguridad.

Además, existe otra variante de certificados en función del número de dominios que se quieren asegurar: 

  • Multidominio: se utilizan para proteger varios dominios o subdominios de un mismo propietario. Por ejemplo, un solo certificado multidominio puede proteger los sitios web: www.ejemplo.com, www.ejemplo123.com, menudo.ejemplo.org, gran.ejemplo123.com
  • WildCard: te permite proteger todos los subdominios de un dominio. Por ejemplo, en la página www.ejemplo.com, un certificado WildCard puede proteger todos los subdominios *.ejemplo.com: pobre.ejemplo.com, por.ejemplo.com, shop.ejemplo.com…

Los certificados DV, OV y EV pueden adquirirse en sus variantes multidominio. Sin embargo, sólo DV y OV ofrecen la posibilidad de contratar un WildCard. Los certificados de Extended Validation no pueden ser WildCard, sólo multidominio.

¿Qué son los certificados QWAC?

QWAC, en sus siglas en inglés significa Qualified Web Authentication Certificate, Certificado Cualificado de Autenticación Web.

Los certificados QWAC son un tipo de certificado de autenticación web con la diferencia que han sido emitidos por un Prestador Cualificado de Servicios de Confianza. Es decir, se han emitido de acuerdo al Reglamento eIDAS y deben cumplir con lo establecido en su artículo 45.

Esto quiere decir, que los certificados se han emitido bajo estrictas normas de verificación para asegurar la mayor garantía de identidad posible. De este modo, se garantiza que los datos enviados a los sitios web protegidos por QWAC cumplen una normativa más estricta frente a aquellos que han sido emitidos por prestadores no cualificados.

De los tres tipos de certificados de autenticación web solo los Extended Validation y los Domain Validated para persona física pueden ser QWAC.

¿Puedo adquirir un certificado QWAC para PSD2?

Los proveedores de servicios de pagos de terceros (TPP) tienen que utilizar un tipo de certificados web concretos según el estándar ETSI TS 119 495, desarrollado a partir de la Segunda Directiva de Pagos (PSD2). El artículo 34.1 del estándar RTS exige que, a efectos de identificación, los proveedores de servicios de pago se basen en certificados cualificados para sellos electrónicos o certificados cualificados para la autenticación de sitios web. Un certificado de QWAC permite establecer una seguridad de la capa de transporte con el sujeto del certificado, que asegura los datos transferidos a través del canal, mientras que un certificado para sellos electrónicos (QSealC) permite a la parte que confía validar la identidad del sujeto del certificado, así como así como la autenticidad e integridad de los datos sellados, y también demostrarlo ante terceros. Por tanto, los certificados QWAC para PSD2 los pueden contratar solo los TPP.

¿Qué son los certificados de Sede Electrónica?

Este tipo de certificados valida la identidad de los sitios web de las Administraciones Públicas. De esta manera, se garantiza que los trámites que los ciudadanos están realizando en un sitio web se llevan a cabo de manera segura con la Administración dueña del dominio. Son una variante de los certificados QWAC exclusivamente para Administraciones Públicas, que tienen que utilizar certificados cualificados de autenticación web, según la Ley 40/2015, de 1 de octubre.

Tipos de certificados web

EADTrust-tipos-de-certificados-web

Si quieres contratar un certificado de autenticación web con EADTrust, completa el formulario que puedes encontrar en nuestra página web o llámanos al 91 716 05 55.

Si te ha gustado este artículo visita nuestro blog o nuestra página web.