Introducción
Durante los últimos años, HTTPS la adopción ha aumentado rápidamente (Google proporciona un informe de transparencia que muestra este progreso de forma más visual). HTTPS usa SSL /TLS certificados para proteger datos, y es uno de los mecanismos de seguridad del navegador más importantes contra las ciberamenazas. La industria web ahora está alentando (o requiriendo) HTTPS como un reemplazo para HTTP inseguro.
Sin embargo, esta seguridad adicional ha aumentado inevitablemente la complejidad operativa tanto para los usuarios del navegador como para los administradores del servidor web. HTTPS depende de componentes que potencialmente pueden fallar y producir mensajes de error oscuros.
Además, las advertencias de seguridad no significan necesariamente que el servidor o el navegador estén siendo atacados. Los certificados caducados, revocados o mal configurados también pueden producir mensajes similares. Por esta razón, muchos usuarios pueden confundirse (o molestarse) e ignorar los errores de HTTPS, aunque ignorar los mensajes de error de seguridad puede ser bastante peligroso. (De hecho, los proveedores de navegadores están dificultando cada vez más eludir las advertencias de seguridad).
Los administradores enfrentan la preocupación adicional de que la exhibición constante de advertencias de seguridad en sus sitios web a los visitantes puede tener un efecto negativo en la reputación del sitio. Es imperativo que los administradores del sitio investiguen y solucionen rápidamente cualquier problema subyacente.
Para ayudar con esto, examinaremos algunas de las advertencias de error HTTPS más comunes, explicaremos lo que significan y sugeriremos cómo los administradores pueden remediarlas.
"No es de confianza para este sitio web"
SSL /TLS los certificados generalmente son emitidos por entidades de terceros llamadas Autoridades de Certificacióno CAs. CA (como SSL.com) firman criptográficamente cada certificado que emiten. Esto permite a los navegadores confirmar que el certificado para un sitio web en particular fue emitido por una CA confiable (una que ya se ha agregado a los almacenes de certificados del navegador).
El error "No confiable" significa que un servidor web presentó un certificado firmado con una firma digital que el navegador no reconoce. Un navegador mostrará este mensaje de error en dos casos:
- El servidor emplea un no confiable autofirmado certificado o
- La instalación del certificado en el servidor ha fallado, por lo que el navegador no puede verificar correctamente su autenticidad.
Los certificados autofirmados son como los certificados normales, pero los administradores del servidor web los crean localmente en lugar de las CA de confianza. Dichos certificados pueden usarse para URL internas, páginas estáticas o sitios web de bajo tráfico.
Dado que los certificados autofirmados no están vinculados a una CA de confianza, los navegadores no confían en ellos automáticamente. Un usuario debe omitir manualmente una advertencia de seguridad (por lo general, indicando al navegador que "confíe" en el certificado autofirmado) antes de poder visitar el sitio. El procedimiento varía de un navegador a otro y, a menos que sepa exactamente quién emitió el certificado que no es de confianza (y por qué), le recomendamos que evite eludir tales advertencias.
El segundo caso ocurre cuando falla una instalación (o se hace incorrectamente). Una ocurrencia común es dejar de lado los certificados intermedios, también llamados una cadena de certificados, al realizar la instalación. Esto rompe la cadena de confianza de la CA al certificado del sitio web, por lo que los navegadores no reconocen el certificado como confiable y presentan este error a los visitantes.
Cuando reciba el error "No confiable", considere la página que está visitando. Es muy poco probable que una página de alto tráfico o una que maneje información confidencial del usuario (como tarjetas de crédito, direcciones de facturación, etc.) use un certificado autofirmado.
Por lo tanto, podría ser una de dos posibilidades: el servidor (o la conexión) fue secuestrado (y los atacantes reemplazaron el certificado original con el suyo) o el administrador intentó actualizar el certificado del servidor y falló en algún lugar del proceso.
Errando por el lado de la precaución, recomendamos que los usuarios eviten usar cualquier sitio web que muestre este error hasta que se resuelva el problema subyacente.
Cómo reparar un error "No confiable"
No se recomienda utilizar certificados autofirmados para páginas externas o con conexión a Internet, como páginas de inicio de sesión o salida del cliente. De hecho, la mayoría de los documentos de estándares y certificaciones, como PCI-DSS, requieren el uso de certificados debidamente firmados de una CA acreditada para cualquier operación tan sensible.
Si compró un certificado de una CA y aún encuentra este error, debe verificar que la instalación no haya producido ningún error y que haya seguido los pasos correctamente. Si eso no ayuda, debe comunicarse con la CA emisora para obtener más ayuda.
"Su conexión no es segura"
Algunos navegadores pueden indicar que la conexión es "no privada" en lugar de "no segura", pero todos se refieren al mismo problema: el certificado del servidor no se puede validar. Aquí, el navegador terminará la conexión al sitio web y mostrará este mensaje de error. Los certificados no se validan cuando se revocan o caducan.
Los certificados digitales se pueden revocar por muchas razones, y las CA de confianza mantienen servicios para mostrar públicamente sus certificados revocados. (Éstos incluyen Lista de revocación de certificadoss (CRL) y Protocolo de estado de certificado en línea (OCSP) respondedores.) Los navegadores consultan con estos servicios antes de confiar en un certificado. Los usuarios que se encuentren con certificados revocados deben evitar usar el sitio web, ya que esto significa que su conexión podría verse comprometida.
Los certificados SSL también caducan naturalmente después de un período de tiempo y deben renovarse. Esto ayuda a garantizar que todas las credenciales se verifiquen periódicamente, ofreciendo una seguridad razonable de que el certificado cubre un servidor controlado por un propietario legítimo y no un atacante malintencionado.
Cómo solucionar el error "No seguro"
Le recomendamos que renueve sus certificados antes de que caduquen para evitar este error. SSL.com Los clientes pueden utilizar nuestro servicio de alerta de caducidad integrado para advertir sobre la próxima caducidad del certificado.
"Contenido mixto"
Una advertencia de contenido mixto se refiere a componentes de sitios web HTTPS que se recuperan a través de HTTP. Los ejemplos comunes incluyen imágenes remotas, scripts o cualquier otro elemento que se transmite de forma insegura (incluso si está en el mismo servidor).
Los atacantes pueden aprovechar las conexiones HTTP no seguras para comprometer el navegador de un visitante (o incluso la computadora). A pesar del riesgo evidente, muchos sitios web todavía usan HTTP para recuperar componentes remotos. Para advertir a los usuarios sobre conexiones de contenido mixto, los navegadores muestran un indicador de seguridad negativo.
Los usuarios deben evitar todas esas conexiones si es posible, pero desafortunadamente numerosos sitios web legítimos aún no han resuelto este problema. Por lo tanto, sugerimos precaución y uso de buen criterio al elegir visitar sitios web que muestran la advertencia de contenido mixto.
Cómo arreglar una advertencia de "Contenido mixto":
Los administradores deben buscar en el código fuente de su sitio web las URL que comiencen por http://. Para evitar que los navegadores muestren la advertencia de contenido mixto, reemplace todas las URL HTTP con HTTPS (es decir, deben comenzar con https://) URL que apuntan al mismo recurso. Los siguientes fragmentos muestran un ejemplo:
Debería cambiar a:
Si el servidor remoto ya admite HTTPS, simplemente puede cambiar las URL en su código fuente. Sin embargo, si no tiene el control del servidor remoto, tendrá que negociar con el tercero que sí controla el servidor o buscar un servicio diferente con soporte HTTPS para eliminar esta advertencia.
"No coinciden los nombres"
Los navegadores muestran este mensaje de error cuando un servidor presenta un certificado digital para un nombre de dominio diferente. Esto puede ocurrir porque el dominio del certificado se equivocó (por ejemplo, el certificado solicitado domain.org en lugar de domain.com) durante la compra del certificado, a través de una configuración incorrecta (presentar otro certificado en lugar del esperado) o porque el certificado no cubre múltiples dominios o subdominios utilizados en el sitio web.
Cómo solucionar el error "No coinciden los nombres"
Si el dominio no está escrito correctamente, debe comunicarse con la CA emisora para obtener posibles soluciones.
La mala configuración se puede resolver actualizando el sitio para utilizar el certificado correcto.
Finalmente, si administra un sitio web que contiene múltiples dominios (o subdominios), considere usar un Certificado de nombre alternativo del sujeto (SAN) en lugar de varios certificados individuales. Un solo certificado SAN puede proteger cientos de dominios diferentes e incluso dominios comodín (p. Ej. *.ssl.com) además de ser mucho más fácil de administrar y mantener que múltiples certificados (sin mencionar que puede ser más fácil en su bolsillo).
Conclusión
Uno puede pensar en HTTPS como una caja negra, pero en realidad es una colección de componentes interconectados que deben funcionar en armonía para que sea efectivo. Los mensajes de advertencia que hemos descrito son una parte molesta pero vital de Internet. Esperamos que proporcionar una comprensión básica de esos mensajes pueda ayudar a mantener a los usuarios seguros y hacer que los administradores sean más eficientes.
¡Gracias por elegir SSL.com! Si tiene alguna pregunta, comuníquese con nosotros por correo electrónico a Support@SSL.com, llamada 1-877-SSL-SECURE, o simplemente haga clic en el enlace de chat en la parte inferior derecha de esta página.
