Para comprender las diferencias entre los tres tipos de certificados SSL —con validación de dominio (DV), con validación de empresa (OV) y con validación extendida (EV)—, resulta útil saber qué son los certificados y cómo los emiten las autoridades de certificación (CA) autorizadas como TV. Las CA son empresas externas de confianza que emiten certificados TLS/SSL autenticando varios datos relacionados con un sitio web y la propiedad de este.
Los certificados TLS/SSL cumplen dos funciones. En primer lugar, proporcionan una conexión segura a un sitio web cifrando los datos que se transmiten entre los usuarios y el dominio. En segundo lugar, los certificados verifican la propiedad y la identidad de la empresa o persona propietaria de la URL. Al igual que un certificado físico, un certificado digital certifica esencialmente el derecho a representar a una empresa u organización en Internet.
Los nombres de los distintos tipos de certificadoSSL se refieren a las medidas de validación que se han tomado antes de emitir el certificado. Por ejemplo, en el caso de los certificados con validación de dominio, se ha verificado el propietario de una URL, mientras que, para los certificados con validación de empresa, se comprueba el propietario del dominio y se autentica la empresa afiliada con la URL. Los certificados con validación extendida son una opción de alta seguridad, porque requieren la verificación del propietario del dominio, la empresa y la entidad jurídica de esta.
Para validar el dominio, el proceso es bastante breve, pues el comprador solo tiene que demostrar que tiene el control del dominio o la URL. Para ello, la CA envía un correo electrónico al propietario del dominio (que aparece en la base de datos de WHOIS). Aunque esta opción resulta práctica cuando se necesita un certificado de inmediato, hay que tener en cuenta que esta forma de validación con una sola comprobación constituye el estándar más bajo en Internet.
Lo que diferencia a los certificados con OV y EV es que exigen pasos de validación adicionales para obtenerlos. En ambos casos, las CA tienen que verificar el propietario del dominio, así como varios datos relacionados con la empresa afiliada, como el nombre, el tipo, el estado y la dirección física.
La validación extendida exige tomar nueve medidas adicionales, como verificar el número de teléfono público de la empresa, el tiempo que lleva activa, el número de registro y la jurisdicción, a lo que se suma una comprobación de dominio fraudulento y de lista de contactos bloqueados y una llamada telefónica para autenticar la situación laboral del solicitante.
Veamos la relación que existe entre el proceso de validación y la seguridad de la que goza su marca en Internet. Hay una amplia gama de posibilidades, desde la seguridad nula hasta el nivel de seguridad más alto.
Todos los certificadosTLS/SSL indican a los clientes el nivel de identidad de empresa registrado con el certificado, además de certificar que el sitio web está cifrado.
Los certificados con validación de dominio (DV) son los certificados SSL con menor validación de identidad y se pueden obtener con facilidad y rapidez, incluso utilizando para ello un bot malicioso. Son certificados de bajo coste; la validación solo consiste en verificar que una empresa o persona tenga el control del dominio web para el que desea obtener el certificado.
Para obtener un certificado con DV, el propietario del sitio web recibe un correo electrónico de confirmación de la CA emisora a la dirección de correo electrónico que figura en el del dominio. Los certificados con DV se suelen utilizar para sitios web que no realizan transacciones comerciales ni con tarjetas de crédito.
Tipos de sitios web que utilizan certificados con DV:
Los certificados con validación de empresa (OV) se autentican con nueve comprobaciones de validación y se consideran un certificado empresarial de nivel medio. Con los certificados con OV, las CA autentican la propiedad del dominio de forma similar a los certificados con DV.
La diferencia entre la validación de empresa (VO) y la validación de dominio (VD) radica en los pasos que siguen las CA para autenticar que la organización empresarial (es decir, Inc., Corp., LLC, Ltd., Pty. Ltd., etc.) afiliada al certificado sea válida y que todo esté en regla.
Se utilizan sobre todo en estos sitios y páginas web:
Los certificados con validación extendida (EV) se autentican con 18 comprobaciones de validación que requieren el máximo nivel de verificación por parte de las CA. Los certificados con EV protegen la identidad de la marca debido a la rigurosidad del proceso necesario para obtenerlos.
Además de todos los pasos de autenticación que siguen las CA para los certificados con DV y OV, los certificados con EV comprueban la existencia operativa de la empresa y la dirección postal, además de realizar una llamada telefónica para verificar la situación laboral del solicitante.
Se utilizan sobre todo en estos sitios y páginas web:
El equipo de validación de TV rechaza aproximadamente 3750 solicitudes de certificados con EV al año, en ciertos casos por ser fraudulentas.
Al hacer clic en el ícono del candado en la barra de URL, puede verificar la identidad del propietario del sitio web. Desafortunadamente, la mayoría de los sitios de phishing tienen un candado y un certificado DV. Por eso es importante mirar más allá del candado en la barra de URL. Si un sitio web no está dispuesto a poner su identidad en el certificado, no debería estar dispuesto a compartir ninguna información de identificación con ellos. Si ve el nombre de la organización, ahora puede tomar una mejor decisión sobre en quién confía.
La Unión Europea ha defendido a capa y espada la mejora de los estándares de seguridad online para aumentar la confianza de los usuarios y la autenticidad en Internet. En 2015, la Comisión Europea aprobó la directiva sobre servicios de pago (también llamada PSD2) para regular el procesamiento de pagos, crear un mercado europeo de servicios de pago más integrado y proteger a los consumidores mediante la mejora de la seguridad de los pagos. La PSD2, que entró en vigor en enero de 2018, exige que los bancos y otros proveedores de servicios de pago electrónico utilicen certificados cualificados, que son firmas electrónicas con valor legal y resultan aún más difíciles de obtener que un certificado con EV.
Ahora que, con la evolución de Internet, los estándares de identidad se ven en peligro cada vez con más frecuencia, TV interviene activamente en el para abogar por un mayor rigor a la hora de garantizar la identidad en Internet. Porque la autenticidad de la identidad debería ser tan importante en el mundo digital como en el físico. Y, en el mundo actual, donde todo está conectado digitalmente, el deterioro de las identidades en Internet tiene un efecto negativo en la confianza del público que aspiramos a mantener.