Ver hasta cuando es válido un certificado HTTPS SSL/TLS de una web
Es una realidad que el protocolo HTTPS se ha extendido por la red de forma imparable. Me atrevería a decir que esta expansión del HTTPS es la consecuencia de considerar como inseguro el protocolo HTTP. Lo cierto es que con la llegada del protocolo HTTPS han llegado nuevos errores a nuestros navegadores. Por este motivo, vamos a enseñaros a comprobar hasta cuando es válido un certificado HTTPS SSL/TLS de una página web.
Los certificados HTTPS SSL tienen una fecha de caducidad y una vez alcanzada ya no se consideran seguros. Esto implica que si una web está usando un certificado expirado, el navegador no nos permitirá acceder a la misma.
¿Cómo comprobar la validez o caducidad de un certificado HTTPS SSL/TLS?
En ocasiones necesitamos comprobar la validez de un certificado SSL/TLS para asegurarnos de que no ha caducado. La forma más sencilla para obtener la fecha de caducidad del certificado es emplear el propio navegador. Nosotros usaremos FireFox o Chrome, cualquiera de los dos nos sirve.
Basta con acceder a la web bajo el protocolo HTTPS, por ejemplo https://www.vozidea.com/
y una vez abierta página web hacer click en el icono del candado situado al lado de la URL.
Comprobar el certificado en Chrome.
A partir de aquí, si usamos Chrome pulsamos sobre la opción «Certificado» y podremos ver toda la información del certificado SSL, incluida la fecha de emisión y la fecha de caducidad.
Verificar el certificado SSL usando FireFox.
Si usamos FireFox, una vez que pulsamos en el icono del candado tendremos que pulsar sobre el icono con forma de flecha hacia la derecha y después pulsar sobre la opción «Más información».
Esto despliega una nueva ventana donde se muestran los detalles de la conexión y podremos consultar la fecha de caducidad del certificado, el emisor, datos técnicos sobre el cifrado, etc.
¿Qué es un certificado HTTPS SSL/TLS?
Podemos definir un certificado HTTPS SSL/TLS como unos pequeños fragmentos de código criptográfico asociados a una organización o entidad emisora. Para entenderlo mejor, podríamos decir que son el elemento necesario para que las conexiones del protocolo HTTPS sean seguras. Estos certificados también posibilitan la implementación de protocolos seguros como FTPS, SMTPS, etc.
Los certificados SSL/TLS están siempre asociados a dos elementos:
- Un nombre de dominio, nombre de host o nombre de servidor.
- Una organización con identidad propia, por ejemplo el nombre de una compañía.
¿Cómo funcionan los certificados SSL/TLS?
Los certificados HTTPS SSL constan de una llave pública que permite cifrar la información y una llave privada que es la que permite descifrarla. Estas llaves son claves criptográficas generadas de forma aleatoria.
La llave pública es conocida por el servidor y además está disponible públicamente. Esta se usa para encriptar los mensajes o transmisión de datos. Por otro lado, está la llave privada que sólo es conocida por el servidor, de forma que sólo este puede desencriptar los datos.
Vamos a verlo con un ejemplo para que no queden dudas. Si Juan quiere mandar un mensaje a María, este puede usar el certificado público de María para encriptar el mensaje. Una vez que María recibe el mensaje, sólo ella podrá desencriptarlo porque es la única persona que tiene la llave privada. De este modo, si un ladrón roba el mensaje de Juan antes de que llegue a María, no podrá desencriptarlo y no le servirá para nada.
¿Por qué expiran los certificados HTTPS?
Todos los certificados HTTPS SSL tienen un periodo preestablecido de validez. Una vez que ha expirado el certificado, los navegadores modernos muestran errores y advertencias al mismo tiempo que inhabilitan la transmisión de datos.
Los expertos en seguridad afirman que los certificados SSL deben expirar para que sean seguros. Esto nos obliga a renovarlos cada cierto tiempo y no es algo que me extrañe, pues sucede algo parecido con los certificados del DNI electrónico y tecnologías criptográficas similares.
Ahora que sabemos que establecer un tiempo de validez aumenta la seguridad de los certificados, hay que mirar la otra cara de la moneda. Algunas organizaciones afirman que este periodo limitado de validez es un gran negocio para las compañías que comercializan estos certificados. En la actualidad, teniendo a nuestra disposición entidades de emisión de certificados SSL/TLS gratuitos como Let’s Encrypt, este argumento se ha quedado obsoleto.
Diferencias entre HTTPS, SSL y TLS.
Cuando hablamos del protocolo HTTPS y certificados siempre salen palabras como SSL o TLS que no sabemos muy bien que significan. Vamos a tratar de explicar cada uno de estos conceptos y ver qué diferencia hay entre HTTPS, SSL y TLS.
Por un lado SSL es un protocolo criptográfico que permite establecer una comunicación segura. El protocolo SSL fue evolucionando a lo largo de los años y llegó un momento en el que fue reemplazado por su sucesor, el protocolo TLS.
Esta evolución hacia el protocolo TLS trata de subsanar las diferentes debilidades y vulnerabilidades que se fueron encontrando en el protocolo SLL. La propia IETF considera como depreciados los protocolos SSL v2 y SSL v3.
Entonces, HTTPS no es más que una implementación del protocolo HTTP sobre SSL/TLS. Dicho de otro modo, HTTPS es una combinación de HTTP y SSL/TLS.
Os podéis preguntar por qué se sigue usando SLL en lugar de hablar de TLS, ya que el primero está depreciado. Esto es porque el uso del acrónimo SSL está muy extendido en internet, pero a mi modo de ver lo correcto es combinar los acrónimos SSL/TLS para que no haya lugar a dudas.