¿Son mejores los certificados SSL gratuitos que los comerciales?

Debido al aumento del uso del cifrado en la Web, la gente ha comenzado a asociarlo con la confianza. Esto, por supuesto, creó un efecto de bola de nieve donde más sitios web sintieron el incentivo de adoptar el cifrado SSL / TLS para no quedarse atrás. Los sitios de comercio electrónico, en particular, fueron de los primeros en sentir esa presión, ya que los clientes desconfiaban de realizar transacciones en línea sin cifrado.

Cuando se trata de sitios web propiedad de entidades, el cifrado se convierte en algo más que un simple algoritmo utilizado para proteger los procesos en línea. Es un asunto más complicado, con autoridades de certificación (CA) y diferentes niveles de autorización. Ahora, con la aparición de CA gratuitas como Let’s Encrypt , la gente se pregunta por qué existen alternativas comerciales. ¿Son “mejores”? ¿O hay más en la historia?

Comprensión de las CA y su importancia

Para usar HTTPS y que su sitio web sea reconocido como “seguro” (lo que significa que la barra de URL se vuelve verde cuando un usuario visita su sitio) requiere algún tipo de autorización. Necesita un certificado SSL emitido por una autoridad certificadora. Un certificado “validará” su presencia en línea como algo “real”. Hay diferentes tipos de validación:

  • Validación de dominio (DV), que demuestra de manera irrefutable que usted es usted y posee el dominio que desea proteger
  • Validación organizacional (OV), que demuestra que usted es el propietario del dominio y verifica algunas cosas sobre la organización detrás de su sitio.
  • Validación extendida (EV), que realiza un análisis exhaustivo y riguroso de su dominio, su organización y su estado legal

El proceso de certificación para DV es, obviamente, mucho más fácil de obtener, ya que todo lo que tiene que hacer es presentar una prueba de que es propietario de su dominio. De hecho, esto es algo que se puede automatizar.

Ahora vayamos a las CA gratuitas

Las autoridades de certificación como Let’s Encrypt emiten certificados DV sin costo. Se las arreglan para automatizar el proceso de verificación de la propiedad del dominio hasta el punto de que no les cuesta casi nada validarlo. Todo esto está muy bien si tiene un sitio web común y corriente que no requiere que los usuarios compartan datos confidenciales (como números de tarjetas de crédito, detalles de cuentas bancarias, números de pasaporte, etc.).

Si está ejecutando un sitio web de comercio electrónico, tal vez debería buscar una autoridad de certificación comercial. El nivel de confianza que proporciona una validación extendida legitimará su organización más que cualquier otra forma de certificación. Como mínimo, obtenga un certificado OV si no quiere molestarse con la burocracia detrás de la obtención de EV.

Si posee una entidad web grande que aloja sitios web en varios subdominios, es posible que se sienta decepcionado al descubrir que tampoco puede obtener un certificado comodín de forma gratuita (ni siquiera de Let’s Encrypt). Este certificado le permitirá validar cada subdominio que cree bajo su nombre de dominio principal.

La conclusión aquí es simple: si está ejecutando un sitio web simple que no requiere el intercambio de datos confidenciales, un certificado de validación de dominio como los que ofrece Let’s Encrypt estará bien. ¡No necesitas nada más elegante!

De lo contrario, debe atenerse a las autoridades comerciales. En algunos países, incluso puede tener problemas legales porque no utilizó un certificado de validación extendido para acuerdos legalmente vinculantes.

¿Cree que eventualmente podremos automatizar toda la validación de certificados? ¿O es solo un gran salto demasiado lejos para la humanidad? ¡Cuéntanoslo en un comentario!

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario