En el gran esquema de las cosas, los certificados SSL tienen una vida relativamente corta. Pueden proteger su sitio web durante sólo un año antes de expirar. Lo imperativo es no sobrepasar el plazo de vencimiento. Si el certificado SSL caduca, prepárese para lo peor: el temido mensaje de advertencia de seguridad en sus páginas. En este artículo, le mostraremos qué ocurre cuando caduca un certificado SSL y cómo asegurarse de que su sitio web permanece siempre seguro.
Pero antes, respondamos a una de las preguntas más frecuentes sobre los certificados SSL. ¿Por qué caducan y tienen una validez tan corta?
Índice
- ¿Por qué caducan los certificados SSL?
- ¿Qué ocurre cuando caduca un certificado SSL?
- ¿Cuáles son los riesgos?
- ¿Se puede utilizar un certificado caducado?
- ¿Cómo controlar la fecha de caducidad de su certificado SSL?
- ¿Cómo evitar la caducidad de los certificados?
- 5 ocasiones en que las grandes empresas dejan caducar sus certificados SSL
- ¿Cómo renovar un certificado SSL?
Por muy rápido que renueve su certificado, sigue habiendo un plazo en el que es vulnerable a los ciberataques. Por eso es imprescindible hacerlo con suficiente antelación. Los riesgos de los certificados caducados podrían acarrear pérdidas financieras y daños a la reputación más allá de lo que un sitio web puede gestionar.
¿Por qué caducan los certificados SSL?
Los certificados SSL son pequeños archivos digitales que cifran y autentican la conexión entre dos aplicaciones informáticas. Aunque el cifrado puede durar siglos sin romperse nunca (sí, descifrar el cifrado SSL está más allá de la capacidad humana), autenticar un certificado para la eternidad nunca ha sido una opción.
Internet es un entorno que cambia rápidamente y en el que un año equivale a 5 en el mundo real. Las empresas van y vienen, cada día surgen nuevas tendencias y nuevas normativas sustituyen regularmente a las directivas anteriores. Antiguamente, los certificados SSL tenían una validez de cinco años, luego se acortó a tres, dos y, finalmente, se fijó en sólo un año.
Volvamos a la autenticación/validación SSL y veamos por qué desempeña un papel crucial a la hora de determinar la vida útil de un certificado SSL. Un certificado digital verifica la identidad de un sitio web o de la empresa que lo respalda. Cuando un usuario inspecciona el certificado, ve quién es el emisor(Autoridad de Certificación) y la entidad receptora (Sujeto).
La información es siempre exacta y está bastante actualizada, ya que el certificado tiene una validez máxima de un año. Sin embargo, las empresas pueden cambiar de nombre y de propietario, o quebrar y dejar de existir. Si un certificado no caducara, validaría una empresa potencialmente muerta como segura y auténtica. Un escenario así es música para los oídos de los estafadores, y con las ciberamenazas creciendo día a día, la validez limitada de SSL es una forma eficaz de combatirlas.
¿Qué ocurre cuando caduca un certificado SSL?
Ahora que ya sabe por qué caducan los certificados SSL, es hora de analizar los efectos devastadores de la caducidad de los certificados SSL. Sí, las cosas son así de serias, y más vale aprender de los errores de los demás. Por ejemplo, LinkedIn dejó que uno de sus certificados caducara dos veces en tres años. Esta metedura de pata no sólo puso a la empresa de medios sociales en un punto de mira negativo, sino que acabó costándole dinero.
Cuando un certificado SSL caduca pero permanece en el servidor de su sitio web, todos los navegadores web y móviles mostrarán el sitio como No seguro. La advertencia roja de seguridad procedente de autoridades indiscutibles como Chrome o Firefox eclipsará todo tu duro trabajo. Si no soluciona este problema lo antes posible, su tráfico caerá en picado. Los visitantes expertos en tecnología ignorarán la advertencia de seguridad y entrarán en el sitio por su cuenta y riesgo, pero la inmensa mayoría de su público se pasará a la competencia.
Entonces, ¿qué hacer si el certificado SSL ha caducado? Si no puede sustituir inmediatamente su certificado caducado, lo mejor que puede hacer es eliminarlo de su servidor y utilizar el protocolo HTTP. Aunque Chrome y otros navegadores podrían seguir marcando su sitio como no seguro, es posible que se salve con sólo la pequeña advertencia junto a su URL.
¿Cuáles son los riesgos?
Un certificado SSL caducado plantea riesgos de seguridad inmediatos para el sitio web que lo ejecuta. Si opera en zonas horarias diferentes, incluso una interrupción breve puede afectar a sus clientes. En el mejor de los casos, ocurre durante las horas de menor actividad y el problema se soluciona rápidamente.
Sin embargo, unos pocos minutos sin una conexión HTTPS pueden ser suficientes para llevar a cabo un ataque man-in-the-middle y comprometer los datos sensibles de sus visitantes. Estás a merced de la suerte y podrías acabar con unos cuantos usuarios descontentos o con una demanda por violación de datos. Cualquiera de los dos resultados es fácilmente evitable, pero el segundo podría perjudicar a una empresa.
Por muy rápido que renueve su certificado, sigue habiendo un plazo en el que es vulnerable a los ciberataques. Por eso es imprescindible hacerlo con suficiente antelación. Los riesgos de los certificados caducados podrían acarrear pérdidas financieras y daños a la reputación más allá de lo que un sitio web puede gestionar.
¿Se puede utilizar un certificado caducado?
Técnicamente sí, pero en un sitio web activo no, porque los navegadores no confiarán en él y marcarán su sitio como “No seguro”. Como resultado, sus visitantes utilizarán los sitios de la competencia, mientras que a usted le costará establecer una relación de confianza con su público.
Un certificado SSL garantiza que todos los datos transmitidos entre un sitio web y sus visitantes están cifrados. Cuando un certificado caduca, los navegadores ya no pueden verificar la autenticidad de un sitio web. Esto deja inevitablemente a su sitio web y a sus visitantes expuestos a atacantes malintencionados que podrían interceptar y leer los datos.
¿Cómo controlar la fecha de caducidad de su certificado SSL?
Entonces, ¿cómo comprobar si un certificado SSL ha caducado y una advertencia de seguridad SSL saluda a su sitio web, visitante? La forma más rápida es inspeccionar su certificado SSL directamente desde su navegador. Sólo tiene que hacer clic en el candado que aparece junto a la URL, ir a Certificado y, en la pestaña General, comprobar su fecha de caducidad. Puede establecer un recordatorio sobre la renovación del certificado, pero la mayoría de las CA enviarán por correo electrónico notificaciones al servidor con antelación para que no se le pase la fecha límite.
Otra forma de averiguar la fecha de caducidad de su certificado SSL es acceder a su cuenta SSL y comprobar la “Próxima fecha de caducidad“. Simplemente haga clic en el certificado que ha comprado y desplácese hacia abajo hasta que vea el periodo de validez. Con tantos recordatorios, no hay excusas para saltarse la fecha de caducidad y poner en peligro la seguridad de su sitio web.
¿Cómo evitar la caducidad de los certificados?
Evitar la caducidad de los certificados es fácil si toma medidas preventivas y utiliza una gestión adecuada de los certificados. Tu proveedor de SSL te notificará por correo electrónico la caducidad del certificado SSL con unas semanas de antelación, por lo que tendrás tiempo de sobra para actualizarlo. Asegúrate de que la dirección de correo electrónico que has facilitado durante el proceso de compra de SSL está operativa y puedes acceder a ella. Si recibes notificaciones push en tu smartphone, las posibilidades de que se te pase la fecha de caducidad son escasas.
Si gestiona varios certificados en distintos sistemas y redes, controlar su caducidad puede resultar complicado. Para agilizar el proceso, las grandes empresas utilizan software de gestión del ciclo de vida de los certificados que automatiza la renovación de SSL.
Por último, puede comprobar manualmente cuándo caduca su certificado SSL haciendo clic en el candado situado junto a la URL de su sitio web y ampliando los detalles del certificado. Puede fijar un recordatorio en su calendario o hacer una nota mental para renovar su SSL. Sin embargo, este enfoque no es aconsejable. Con la sobrecarga de información actual, es fácil olvidarse de ella.
5 ocasiones en que las grandes empresas dejan caducar sus certificados SSL
A la historia reciente no le faltan estudios de casos cuando se trata de la caducidad de SSL. Desde sitios web gubernamentales hasta redes sociales y aplicaciones de juegos, todos son culpables de incumplir el plazo de renovación de su SSL.
A continuación, presentamos cinco casos en los que grandes organizaciones dejan caducar sus certificados SSL:
1. El Gobierno de EE UU deja caducar decenas de certificados durante el cierre
Cuando Donald Trump y los demócratas se negaron a llegar a un acuerdo sobre la financiación del muro mexicano, miles de empleados habían sido suspendidos durante 30 días o más. Como resultado, docenas de sitios web federales, desde el Departamento de Justicia de EE.UU. hasta la NASA, vieron caducar sus certificados. Sin administradores que renovaran los certificados, varios sitios web con normas de seguridad más estrictas quedaron inaccesibles. Toda la debacle puso en peligro los datos confidenciales de los usuarios y animó a los piratas informáticos a utilizar ataques man-in-the-middle contra los sitios afectados.
2. El Partido Conservador británico deja caducar su certificado SSL
Al otro lado del Atlántico, en las Islas Británicas, no hubo paros que perturbaran el flujo habitual de trabajo. Pero parece que el Brexit ha pasado factura no sólo a los políticos, sino también a los administradores del sistema. En lo que un usuario de Twitter calificó de “metedura de pata vergonzosa”, alguien olvidó renovar el certificado SSL del Partido Conservador del Reino Unido. Este es un buen ejemplo de cómo un fallo de seguridad evitable puede dañar la volátil reputación de un partido político. Por si el Brexit no fuera suficiente, los tories tuvieron que lidiar también con el “Certxit”.
3. Un certificado SSL caducado provoca la caída de millones de smartphones
Lejos de la política, en el mundo de la tecnología, que presumiblemente debería tener normas de seguridad mucho mejores, la empresa sueca de telecomunicaciones Eriksson sufrió un corte masivo de la red que afectó a casi decenas de países y dejó fuera de servicio millones de teléfonos inteligentes. ¿El motivo? Un certificado SSL caducado. Un pequeño archivo digital sembró el caos en toda la red de Eriksson, y los representantes de la empresa admitieron que el incidente era totalmente evitable.
4. LinkedIn deja que sus certificados caduquen dos veces en dos años
Como si la caducidad de un certificado SSL no fuera suficiente para plantear serias dudas sobre las prácticas de seguridad de una empresa, el gigante de las redes sociales LinkedIn ha sido noticia dos veces por razones equivocadas. Un año después, el certificado SSL del acortador de enlaces Inkd.in provocó cortes en el Reino Unido y Estados Unidos. En ambos casos, la empresa de redes sociales renovó rápidamente sus certificados, pero el tiempo de inactividad no sólo afectó a su imagen, sino también a sus clientes y socios.
5. Pokemon Go sufre cortes por caducidad de SSL
Cuando Pokemon Go arrasó en el mundo de los videojuegos, millones de usuarios de todo el mundo cazaron Pokemons en los lugares más peculiares. Tan popular como era, un día el juego se cayó porque Niantic, la empresa detrás de él, olvidó renovar sus certificados SSL. Aunque la interrupción sólo duró media hora, una metedura de pata así no debería ocurrir en una gran empresa de juegos.
¿Cómo renovar un certificado SSL?
La renovación de SSL implica obtener un certificado SSL totalmente nuevo y seguir los mismos pasos que siguió la primera vez que lo trajo, incluida la importación de los nuevos archivos SSL en su servidor. Puede solicitar el mismo certificado SSL o comprar un tipo diferente. Además, incluso puede utilizar la misma CSR (Certificate Signing Request), pero ambas CA y nosotros recomendamos generar una nueva CSR con los datos de contacto actualizados cada vez que renueve su certificado. Lo mejor de todo es que, gracias a los SSL plurianuales, la renovación y validación de los certificados es mucho más rápida.
La mejor práctica para renovar su certificado SSL es hacerlo lo antes posible. Puede iniciar el proceso de renovación en los 30 días siguientes a la expiración del certificado. De este modo, todos tus días restantes se transferirán al nuevo cert. Si utiliza un certificado de Validación de Dominio, puede ejecutarlo hasta la última semana antes de cambiarlo.
Sin embargo, si tiene un certificado de Validación Empresarial o de Validación Ampliada, le recomendamos renovarlo mucho antes, con tres o cuatro semanas de antelación. Aunque la validación de BV y EV sea más rápida durante la renovación, en algunos casos excepcionales, un certificado EV puede tardar más de una semana en validarse. Aunque esto es muy poco probable, es mejor cubrir todas las posibilidades.
En cuanto al coste de la renovación, si nos compró el certificado anterior, el precio seguirá siendo el mismo. Incluso ahorrará dinero al solicitar su certificado en una suscripción plurianual. Si no adquiere su producto SSL pronto a expirar de SSL Dragon, se ha perdido un truco. Ofrecemos los mejores precios del mercado, mucho más bajos que los proveedores de alojamiento o registradores de dominios. Lo mejor de todo es que nuestros expertos en SSL le prestarán asistencia las 24 horas del día.
Conclusión
Ahora que ya sabe qué ocurre cuando caduca un certificado SSL y cómo evitar este descuido potencialmente peligroso, puede tomar todas las medidas necesarias para proteger su sitio web y a sus visitantes de problemas no deseados. La seguridad de la Web depende en gran medida de la encriptación ininterrumpida de los datos. Y, aunque los certificados SSL ofrecen una protección inquebrantable, los administradores web son responsables de su renovación, ya sea manualmente o con software automatizado.
Preguntas frecuentes
Cuando caducan los certificados SSL, los datos en curso del servidor del sitio web al navegador del usuario siguen estando cifrados. Sin embargo, los navegadores no pueden verificar la autenticidad del sitio web y no establecen una conexión segura. Además, el certificado caducado no figurará en la CRL (Lista de Certificados Revocados) de la CA, convirtiéndose en una potencial bomba de relojería si un hacker consigue acceder a él sin autorización. Los atacantes pueden utilizar certificados caducados para hacerse pasar por el servidor y robar los datos de los usuarios.
Copiar enlace
No debe eliminar inmediatamente el certificado SSL caducado. Los certificados SSL contienen información crítica como el periodo de validez, la autoridad de certificación (CA) que emitió el certificado y la clave pública utilizada para el cifrado. Algunas normativas de cumplimiento pueden exigirle que conserve los certificados SSL caducados durante un periodo determinado con fines de auditoría. Microsoft también advierte de que no se borren los certificados caducados, ya que son necesarios para la compatibilidad con versiones anteriores.
Copiar enlace
Sí, es posible utilizar HTTPS con un certificado caducado, pero no es recomendable. Un certificado SSL caducado puede causar problemas de confianza a los usuarios e incluso violaciones de datos. Hay una razón por la que todos los navegadores emiten una advertencia de seguridad cuando caduca un certificado SSL: se convierte en un resquicio que los atacantes pueden aprovechar.
Copiar enlace
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10
