Un certificado SSL es el elemento principal del protocolo de seguridad SSL, y se utiliza para que las transmisiones de información entre dos elementos conectados a través de Internet sea totalmente segura, siendo el caso más extendido el del protocolo HTTPS que sirve para conectar de forma segura con un servidor web. Los certificados SSL constan de dos partes, una pública y una privada. La parte pública será la encargada de cifrar la información, y la privada de descifrar la.
Al ser un protocolo abierto, puede ser empleado con la mayoría de los servicios de comunicación más extendidos de Internet, como pueden ser HTTP, FTP, SMTP, IMAP o POP3, entre otros, a los que SSL le añade una capa de seguridad (HTTP → HTTPS, FTP → FTPS, etc.) Por ejemplo, el protocolo puede ser utilizado cuando un usuario accede a un sitio web, o cuando un cliente de correo como Outlook o Thunderbird se conecta a un servidor de correo, o cuando dos aplicaciones conectadas establecen una comunicación, además de otros muchos.
Certificados SSL para implementar el protocolo HTTPS
En este caso, un certificado SSL aporta seguridad al visitante de un sitio web. Su misión consiste en identificar un servidor ante cualquier visitante, y en aportar un cifrado en la comunicación que permita preservar la confidencialidad y la integridad de los datos. Está formado por varios códigos que componen diferentes ficheros y sirven para implementar el protocolo SSL/TLS en un sitio web, y de esta forma establecer el protocolo HTTPS en la comunicación entre el cliente y el servidor.
De esta manera, un certificado SSL permite que la comunicación no pueda ser interceptada ni modificada por elementos no autorizados. Está formado por tres partes principales:
El certificado SSL: Se trata de la parte pública. Está compuesto por un fichero, y cuando alguien se conecta a un servidor a través de HTTPS, es lo que recibirá en primer lugar. Contiene el nombre del dominio, y acredita que efectivamente se está comunicando con quien dice ser.
La clave privada: Es fundamental que se almacene de forma segura y que bajo ningún concepto se dé a conocer. Funciona como un sello, y con ella se “sella” la comunicación, y se acredita que el servidor es, efectivamente, quien dice ser.
Certificados intermedios: Las autoridades certificadoras o CA son terceras partes de confianza (por parte de los sistemas operativos y navegadores), y son las encargadas de expedir los certificados, y sólo lo harán si pueden verificar que la persona u organización que lo solicita es propietaria del dominio que desea certificar. Para ello se emiten certificados intermedios que son los que firmarán el certificado del servidor.
Certificados SSL para protocolos de correo electrónico.
Los servicios de correo electrónico más extendidos, tienen una versión que soporta la utilización de un certificado SSL, dando lugar a la versión segura de los protocolos. De esta forma, los protocolos IMAP, SMTP o POP, darían lugar a sus versiones seguras, que pasarían a llamarse IMAPS, SMTPS y POP3S respectivamente. Es necesario que el cliente de correo, permita este tipo de conexión. Para que se produzca correctamente, el servidor de correo deberá tener instalado el certificado válido y para el dominio correcto. Los puertos de conexión para el protocolo que habitualmente se utilizan son los siguientes:
SMTPS: 465
IMAPS: 993
POP3S: 995
No obstante estos puertos pueden ser establecidos de manera personalizada por el administrador del servidor. La implementación de SSL en un servidor de correo permitirá que la información de todo el correo electrónico que viaja desde el servidor hasta el cliente, lo haga de forma segura, para que no pueda ser interceptada ni modificada por nadie.
Además sirve para identificar correctamente al servidor, y así garantizar su identidad. De modo que si el dominio para el que se ha emitido el certificado es diferente al del servidor, se obtendrá un error en la identificación. Este hecho también limita a que el servidor de correo tenga que nombrarse con un dominio público (no valen dominios locales .local, etc.), para que las entidades de emisión de certificados SSL puedan verificar su identidad.
¿Significa esto que un certificado SSL sólo puede ser emitido por una CA reconocida? No, un certificado puede ser auto firmado, o firmado por una autoridad que no sea reconocida. El problema es que la inmensa mayoría de los navegadores web mostrarán un claro error, y solicitarán a los usuarios que acceden al sitio, autorización, bajo su propia responsabilidad para acceder al mismo.