NorfiPC »
Publicación web »
Obtener un Certificado SSL
Como obtener un Certificado SSL para un sitio web
Actualizado: 17 de noviembre del 2022
Por: Norfi Carrodeguas
Por: Norfi Carrodeguas
Tipos de certificados TLS, donde comprarlos o adquirirlos gratis para habilitar la navegación con HTTPS. Principales y mejores servicios de certificación. Todos los pasos para crear un archivo CSR (Solicitud de Firma de Certificado), para poder adquirir un certificado.
Todos los sitios web de internet para poder habilitar la navegación segura mediante HTTPS, necesitan obtener un Certificado SSL.
Un Certificado SSL/TLS es un archivo que contiene una clave pública asignada a su propietario y está asociado a otro archivo almacenado en otro lugar que contiene una clave privada. También es firmado digitalmente por una Autoridad de certificación.
Estos certificados usando TLS permiten asegurar la identidad y autenticidad del sitio web al que nos conectamos mediante el navegador web al hacer la petición de cualquier página, mediante el uso de criptografía.
Generalmente son caros, es algo complicado solicitarlos y obtenerlos y más aún implementarlos en el servidor.
En otra página de nuestro sitio detallamos todos los pasos necesarios para mover un sitio web de HTTP a HTTPS, basados en nuestra propia experiencia en este sitio.
El primero de los requisitos es obtener el certificado necesario, tarea que explicamos en este artículo, tratando de hacerlo de forma sencilla y comprensible.
Los Certificados SSL son emitidos por empresas o servicios de seguridad acreditados para ello en la red, conocidos como Autoridades de certificación (CA).
Los más conocidos en orden de popularidad son Comodo, Symantec, GoDaddy, GlobalSign, DigiCert, StartCom, IdenTrust, Entrust, Verizon y Trustwave.
Lee más información comparativa sobre estas empresas.
El costo de los certificados oscila desde $50 hasta 1500 o más, de acuerdo a la empresa y el tipo de certificado.
Por lo general hay tres tipos de certificados, aunque los proveedores usan distintos nombres para ellos:
En Wikipedia se puede encontrar una tabla con una comparación de las principales Autoridades de certificación: Comparison of SSL certificates for web servers
Para solicitar cualquier certificado es necesario además de autentificarnos, enviar el contenido de un archivo CSR (Solicitud de Firma de Certificado), que se obtiene mediante OpenSSL en nuestro propio servidor.
Es un archivo de texto que posee la extensión CSR, necesitamos abrirlo con el Blog de notas u otro editor, copiar su contenido y pegarlo en el cuadro donde se solicita.
Posteriormente es necesario comprobar nuestra identidad. Para los Certificados de dominio algunos servicios lo hacen mediante una llamada telefónica, otros mediante un email a una dirección de correo de nuestro dominio.
Finalmente el certificado obtenido necesitamos subirlo a nuestro servidor y modificar el archivo de configuración para solo aceptar peticiones mediante el puerto 443 (HTTPS).
La tarea de instalar un Certificado SSL es bastante delicada, pero posible.
Una excelente guía que muestra como instalar un certificado SSL, se puede encontrar en el sitio de DigiCert: SSL Certificate Installation Instructions & Tutorials
Escoge en la página anterior la plataforma o el sistema operativo de tu servidor web para acceder a las instrucciones específicas, muchas de ellas se encuentran en español.
Los que usan en su servicio de alojamiento el servidor Apache pueden crear un archivo CSR para solicitar un certificado a una Autoridad de certificación.
No es nada difícil.
Abre la herramienta de configuración del servidor y en la consola introduce la siguiente línea:
Sustituye los siguientes valores:
Antes de decidirse por una autoridad de certificación, se debe comprobar cualquier sitio que la use con la herramienta SSLTest.
Es un servicio de internet que prueba todos los parámetros del certificado y lo califica en una escala donde el mejor obtiene la letra A.
Además detalla todas las incidencias y posibles errores.
En la siguiente imagen se puede comprobar el reporte de SSLTest, sobre el certificado SSL que usa nuestro sitio web.
En la página del resultado del análisis se muestra bastante información detallada sobre la propiedades del certificado, la autentificación y la configuración del sitio.
En ocasiones los certificados más caros no son los mejores puntuados y algunos baratos no vale la pena usar.
La herramienta también nos será de ayuda para comprobar nuestro certificado después de instalarlo.
Hay opciones para poder habilitar en un sitio web HTTPS, sin tener que adquirir o comprar un Certificado SSL. Una de ellas es usar el servicio de CloudFlare.
CloudFlare es un servicio CDN de internet, que detallamos en otro artículo y explicamos cómo usarlo mediante su opción gratuita o la Pro de pago.
Los blogs o sitios web que usen el servicio CDN de CloudFlare, pueden usar HTTPS sin tener que comprar ni instalar un Certificado SSL, gracias al proyecto Universal SSL.
Es posible porque CloudFlare funciona como un firewall intermediario entre el sitio web original y el navegador del usuario.
CloudFlare ofrece tres opciones:
Abre el panel Page Rules, en el cuadro URL introduce: *domain.com/* sustituye domain.com por el nombre de dominio del sitio y activa la opción: "Always use https".
Existen varios proyectos en internet que tratan de hacer posible, que los propietarios de blogs y sitios web que no puedan pagar por un costoso certificado SSL, puedan obtenerlo de forma gratis y de esa forma hacer que la web sea más segura.
Los que más se destacan en la actualidad son Let’s Encrypt y CFSSL.
Lamentablemente para habilitar la navegación segura mediante estas dos opciones, se necesitan conocimientos avanzados.
Let’s Encrypt es una nueva Autoridad de Certificación de EFF (Electronic Frontier Foundation).
Se vale de una serie de patrocinadores poderosos como Cisco, Akamai, Facebook y otras empresas, para costear este proyecto que permita poder brindar los Certificados SSL gratis.
Para eso usa IdenTrust.
El cliente que hace posible la implementación es gratis, automatizado y de código abierto.
La documentación se puede leer en el sitio y obtener más información detallada del proyecto en Github.
CFSSL es una herramienta de código abierto desarrollada por CloudFlare, cuya documentación está disponible en Github.
No es necesario usar el servicio de CloudFlare para habilitarlo.
Muchos de los desarrolladores que tienen una copia de su sitio web en la computadora, para hacer pruebas usando un servidor local ya sea Apache o IIS (Internet Information Services), pueden implementar un "self-certificate" (certificado propio).
Nos permite probar el funcionamiento del sitio de forma local, antes de dar el paso y hacer efectivo el cambio en la red.
La instalación de Apache incluye dos archivos: el certificado "server.crt" y la clave privada "server.key", solo es necesario habilitar SSL descomentando la línea "SSLEngine on" en el archivo de configuración llamado "httpd-ssl.conf".
También es posible crear un nuevo certificado y una nueva clave abriendo una instancia de la consola y usado el siguiente comando:
Actualmente el navegador Google Chrome no acepta los certificados SSL locales (self-certificate), creados tradicionalmente en Apache.
Con ellos obtenemos un error de privacidad, que entorpece la navegación en un servidor local.
No obstante existe un método de crearlo y agregarlo al almacén de certificados de Windows, de forma tal que Chrome lo acepte como válido.
Lee en otro artículo como hacerlo: Como crear un certificado SSL local en Apache, válido para Google Chrome
Un Certificado SSL/TLS es un archivo que contiene una clave pública asignada a su propietario y está asociado a otro archivo almacenado en otro lugar que contiene una clave privada. También es firmado digitalmente por una Autoridad de certificación.
Estos certificados usando TLS permiten asegurar la identidad y autenticidad del sitio web al que nos conectamos mediante el navegador web al hacer la petición de cualquier página, mediante el uso de criptografía.
Generalmente son caros, es algo complicado solicitarlos y obtenerlos y más aún implementarlos en el servidor.
En otra página de nuestro sitio detallamos todos los pasos necesarios para mover un sitio web de HTTP a HTTPS, basados en nuestra propia experiencia en este sitio.
El primero de los requisitos es obtener el certificado necesario, tarea que explicamos en este artículo, tratando de hacerlo de forma sencilla y comprensible.
¿Qué son y quienes entregan los Certificados SSL?
Los Certificados SSL son emitidos por empresas o servicios de seguridad acreditados para ello en la red, conocidos como Autoridades de certificación (CA).
Los más conocidos en orden de popularidad son Comodo, Symantec, GoDaddy, GlobalSign, DigiCert, StartCom, IdenTrust, Entrust, Verizon y Trustwave.
Lee más información comparativa sobre estas empresas.
El costo de los certificados oscila desde $50 hasta 1500 o más, de acuerdo a la empresa y el tipo de certificado.
Por lo general hay tres tipos de certificados, aunque los proveedores usan distintos nombres para ellos:
- Certificados de dominio (DomainSSL). Son los certificados más baratos, de emisión casi inmediata y validación de forma electrónica. Lo usan la inmensa mayoría de los sitios en internet.
- Certificados de organización (OrganizationSSL). Solo para organizaciones validadas adecuadamente.
- Certificados VE de validación extendida (ExtendedSSL). Son los certificados más caros. Necesitan de una validación más profunda y son atractivos, porque muestran al visitante el nombre de su organización.
Algunos ejemplos de ellos son los que usan Twitter, Mozilla y otras empresas poderosas.
En los tres tipos el nivel de seguridad es el mismo.- Certificados de organización (OrganizationSSL). Solo para organizaciones validadas adecuadamente.
- Certificados VE de validación extendida (ExtendedSSL). Son los certificados más caros. Necesitan de una validación más profunda y son atractivos, porque muestran al visitante el nombre de su organización.
Algunos ejemplos de ellos son los que usan Twitter, Mozilla y otras empresas poderosas.
En Wikipedia se puede encontrar una tabla con una comparación de las principales Autoridades de certificación: Comparison of SSL certificates for web servers
¿Cómo solicitar un Certificado SSL?
Para solicitar cualquier certificado es necesario además de autentificarnos, enviar el contenido de un archivo CSR (Solicitud de Firma de Certificado), que se obtiene mediante OpenSSL en nuestro propio servidor.
Es un archivo de texto que posee la extensión CSR, necesitamos abrirlo con el Blog de notas u otro editor, copiar su contenido y pegarlo en el cuadro donde se solicita.
Posteriormente es necesario comprobar nuestra identidad. Para los Certificados de dominio algunos servicios lo hacen mediante una llamada telefónica, otros mediante un email a una dirección de correo de nuestro dominio.
Finalmente el certificado obtenido necesitamos subirlo a nuestro servidor y modificar el archivo de configuración para solo aceptar peticiones mediante el puerto 443 (HTTPS).
¿Cómo instalar un Certificado SSL en el servidor?
La tarea de instalar un Certificado SSL es bastante delicada, pero posible.
Una excelente guía que muestra como instalar un certificado SSL, se puede encontrar en el sitio de DigiCert: SSL Certificate Installation Instructions & Tutorials
Escoge en la página anterior la plataforma o el sistema operativo de tu servidor web para acceder a las instrucciones específicas, muchas de ellas se encuentran en español.
¿Cómo crear un archivo CSR en Apache?
Los que usan en su servicio de alojamiento el servidor Apache pueden crear un archivo CSR para solicitar un certificado a una Autoridad de certificación.
No es nada difícil.
Abre la herramienta de configuración del servidor y en la consola introduce la siguiente línea:
Sustituye los siguientes valores:
- CU por la sigla que corresponde a tu país
- La Habana por la ciudad o localidad
- Habana por la provincia, estado o región
- NorfiPC por el nombre del sitio u organización
- norfipc.com por el dominio.
En el directorio de Apache "/etc/apache2" podrás encontrar los dos archivos generados: "cert.csr" es el certificado y "clave.key" es la clave privada.- La Habana por la ciudad o localidad
- Habana por la provincia, estado o región
- NorfiPC por el nombre del sitio u organización
- norfipc.com por el dominio.
¿Cómo probar y evaluar un Certificado SSL?
Antes de decidirse por una autoridad de certificación, se debe comprobar cualquier sitio que la use con la herramienta SSLTest.
Es un servicio de internet que prueba todos los parámetros del certificado y lo califica en una escala donde el mejor obtiene la letra A.
Además detalla todas las incidencias y posibles errores.
En la siguiente imagen se puede comprobar el reporte de SSLTest, sobre el certificado SSL que usa nuestro sitio web.
Reporte de SSLTest sobre el Certificado SSL del sitio NorfiPC.
En la página del resultado del análisis se muestra bastante información detallada sobre la propiedades del certificado, la autentificación y la configuración del sitio.
En ocasiones los certificados más caros no son los mejores puntuados y algunos baratos no vale la pena usar.
La herramienta también nos será de ayuda para comprobar nuestro certificado después de instalarlo.
Habilitar la navegación HTTPS gratis
Hay opciones para poder habilitar en un sitio web HTTPS, sin tener que adquirir o comprar un Certificado SSL. Una de ellas es usar el servicio de CloudFlare.
CloudFlare es un servicio CDN de internet, que detallamos en otro artículo y explicamos cómo usarlo mediante su opción gratuita o la Pro de pago.
Los blogs o sitios web que usen el servicio CDN de CloudFlare, pueden usar HTTPS sin tener que comprar ni instalar un Certificado SSL, gracias al proyecto Universal SSL.
Es posible porque CloudFlare funciona como un firewall intermediario entre el sitio web original y el navegador del usuario.
CloudFlare ofrece tres opciones:
- SSL Flexible. De esta forma la navegación entre el navegador del usuario y CloudFlare corre mediante HTTPS y la de CloudFlare y el servidor original mediante HTTP tradicional.
- SSL Full. Permite emplear en el sitio web original un self-certificate, que es un certificado creado por nosotros mismos.
- Strict SSL. Requiere un certificado firmado tradicionalmente que se puede habilitar en el sitio o subirlo a CloudFlare.
Si usas CloudFlare para forzar toda la navegación en tu sitio mediante HTTPS, haz lo siguiente:- SSL Full. Permite emplear en el sitio web original un self-certificate, que es un certificado creado por nosotros mismos.
- Strict SSL. Requiere un certificado firmado tradicionalmente que se puede habilitar en el sitio o subirlo a CloudFlare.
Abre el panel Page Rules, en el cuadro URL introduce: *domain.com/* sustituye domain.com por el nombre de dominio del sitio y activa la opción: "Always use https".
Como obtener un Certificado SSL gratis en internet
Existen varios proyectos en internet que tratan de hacer posible, que los propietarios de blogs y sitios web que no puedan pagar por un costoso certificado SSL, puedan obtenerlo de forma gratis y de esa forma hacer que la web sea más segura.
Los que más se destacan en la actualidad son Let’s Encrypt y CFSSL.
Lamentablemente para habilitar la navegación segura mediante estas dos opciones, se necesitan conocimientos avanzados.
Let’s Encrypt
Let’s Encrypt es una nueva Autoridad de Certificación de EFF (Electronic Frontier Foundation).
Se vale de una serie de patrocinadores poderosos como Cisco, Akamai, Facebook y otras empresas, para costear este proyecto que permita poder brindar los Certificados SSL gratis.
Para eso usa IdenTrust.
El cliente que hace posible la implementación es gratis, automatizado y de código abierto.
La documentación se puede leer en el sitio y obtener más información detallada del proyecto en Github.
CFSSL
CFSSL es una herramienta de código abierto desarrollada por CloudFlare, cuya documentación está disponible en Github.
No es necesario usar el servicio de CloudFlare para habilitarlo.
¿Qué es un self-certificate SSL?
Muchos de los desarrolladores que tienen una copia de su sitio web en la computadora, para hacer pruebas usando un servidor local ya sea Apache o IIS (Internet Information Services), pueden implementar un "self-certificate" (certificado propio).
Nos permite probar el funcionamiento del sitio de forma local, antes de dar el paso y hacer efectivo el cambio en la red.
La instalación de Apache incluye dos archivos: el certificado "server.crt" y la clave privada "server.key", solo es necesario habilitar SSL descomentando la línea "SSLEngine on" en el archivo de configuración llamado "httpd-ssl.conf".
También es posible crear un nuevo certificado y una nueva clave abriendo una instancia de la consola y usado el siguiente comando:
openssl req -newkey rsa:512 -x509 -nodes -out cert.crt -keyout clave.key
Como crear un certificado SSL local válido para Google Chrome
Actualmente el navegador Google Chrome no acepta los certificados SSL locales (self-certificate), creados tradicionalmente en Apache.
Con ellos obtenemos un error de privacidad, que entorpece la navegación en un servidor local.
No obstante existe un método de crearlo y agregarlo al almacén de certificados de Windows, de forma tal que Chrome lo acepte como válido.
Lee en otro artículo como hacerlo: Como crear un certificado SSL local en Apache, válido para Google Chrome
Páginas relacionadas
✓ Como mover mi sitio web de HTTP a HTTPS, todos los pasos
✓ Los mejores servicios de hosting o alojamiento web en español
✓ Cuando y para que usar HTTP o HTTPS al navegar en internet
✓ Qué es CloudFlare, como usarlo para proteger y acelerar mi sitio web
✓ Como saber si un blog o sitio web de internet es seguro y confiable
✓ Como saber si mi navegador web comprueba los certificados SSL
✓ Los mejores servicios de hosting o alojamiento web en español
✓ Cuando y para que usar HTTP o HTTPS al navegar en internet
✓ Qué es CloudFlare, como usarlo para proteger y acelerar mi sitio web
✓ Como saber si un blog o sitio web de internet es seguro y confiable
✓ Como saber si mi navegador web comprueba los certificados SSL
Comparta esta página
Facebook
Twitter