Renovar certificado SSL: cómo cumplir con los requisitos de Chrome y Mozilla
En toda web en la que existe tráfico de información sensible, poseer un certificado SSL es importante para garantizar la seguridad de los datos de los usuarios. No obstante, en la actualidad esta afirmación ha de puntualizarse, pues los conocidos navegadores Google Chrome y Mozilla Firefox anunciaron hace unos meses el cese de su confianza en los certificados SSL que Symantec había emitido antes del 1 de diciembre de 2017. Esta decisión se debe a que las soluciones de seguridad web de la corporación, junto a las de otras de infraestructura de clave pública (PKI), fueron traspasadas a DigiCert, compañía ahora encargada de actualizar y modernizar varios de los aspectos del modelo de Symantec. Los citados navegadores decidieron retirar su confianza de los certificados SSL hasta que se completen las actualizaciones.
Evita aparecer en la barra del navegador como "página no segura" y consigue la confianza de tus clientes con una página web con encriptación SSL.
Los certificados SSL en el punto de mira
La decisión tajante de Chrome y Mozilla de retirar su confianza en los certificados SSL se basa en una serie de discrepancias encontradas en los certificados SSL emitidos entre 2015 y 2017. Estas ponían en tela de juicio la habilidad real de Symantec para garantizar que los certificados SSL pudiesen llevar a cabo un proceso de autenticación válido. La empresa y la comunidad de los navegadores han mantenido un debate durante varios meses que concluyó con dos medidas principales. Estas fueron establecidas por Google Chrome y más tarde confirmadas por Mozilla.
- Symantec debía asociarse a otra autoridad de certificación (CA) para ejecutar los procesos de autenticación y emisión de certificados SSL desde una nueva infraestructura.
- Se retiraría la confianza de todos los certificados SSL emitidos por la infraestructura anterior de Symantec, los cuales han de ser reemplazados gratuitamente antes de las fechas estipuladas.
Poco tiempo después, DigiCert adquirió el negocio de certificados, que a partir de diciembre de 2017 emite desde la nueva infraestructura certificados SSL compatibles.
En principio, el motivo por el que Chrome y Mozilla han llevado a cabo estas actuaciones se basa en su intención de garantizar la seguridad de los usuarios. No obstante, otros navegadores como Explorer, Safari y Opera han preferido no enviar ningún mensaje de advertencia a sus usuarios, ya que no consideran la supuesta amenaza tan alarmante como Chrome y Mozilla. Con todo, exista realmente o no un riesgo en la seguridad de los certificados, lo cierto es que muchos operadores van a ser testigos de cómo esta campaña de desconfianza va a afectar a sus webs.
¿Cuándo afectarán estas medidas a los certificados SSL?
Desde el pasado 16 de abril se muestra un mensaje de advertencia a todos los usuarios de Chrome 66 (o de versiones posteriores) cuando intentan acceder a una web encriptada con un certificado SSL de Symantec emitido antes del 1 de junio de 2016. Además, a partir de octubre de 2018 Chrome 70 (o versiones posteriores) también mostrará este aviso en las páginas con certificados SSL emitidos antes del 1 de diciembre de 2017.
El contenido de los mensajes se encarga simplemente de advertir a los usuarios de que el intercambio de información puede no ser seguro. Los visitantes tienen entonces dos opciones: aceptar y continuar sin impedimentos, pues la funcionalidad de la web no se ve afectada, o abandonar la web y buscar otras páginas más seguras. Eso sí, llegado el momento, se impedirá el acceso a la página web.
¿Cómo saber si las medidas afectan a mi certificado?
Para saber si estas medidas afectan al certificado SSL de tu página web, debes comprobar su fecha de emisión. Si es anterior al 1 de junio de 2016 o al 1 de diciembre de 2017, se hará necesario renovar el certificado SSL. Para ello, aunque hay un gran número de herramientas online que pueden ayudarte, la opción más sencilla es aquella que permite comprobar la validez a través del mismo navegador. A continuación, se ejemplifica cómo llevar a cabo este proceso de comprobación en Google Chrome y Firefox.
Google Chrome
Para comprobar el estado de tu certificado SSL en Chrome haz clic en el icono junto al URL: puede mostrar un candado verde (conexión segura), la vocal “i” dentro de un círculo (Información o No es seguro) o un triángulo rojo con el símbolo de cierre de exclamación (No es seguro o Peligroso). Aparecerá un menú desplegable:
En la pestaña “Detalles” (“Details”) encontrarás el periodo de validez del certificado web.
Mozilla Firefox
Los pasos para comprobar la fecha de emisión de un certificado SSL en Mozilla Firefox son muy similares a los de Chrome. Basta con clicar en el icono junto al URL, ya sea un candado verde (“Seguro”), una “i” en un círculo gris (“Información o no seguro”) o un símbolo de exclamación en un triángulo rojo (“No seguro o peligroso”), tras lo que se abre una lista desplegable:
Al clicar sobre la flecha junto a la información sobre el tipo de conexión se abre una ventana. En la pestaña “General” se muestra desde cuándo es válido el certificado.
Calendario de renovación
El calendario de renovación está formado por dos fases que coinciden con las publicaciones de las versiones Google Chrome 66 y 70:
Fase I – La versión de Chrome 66 muestra mensajes de no confianza para todos los certificados que fueron emitidos antes del 1 de junio de 2016 y que no han sido renovados antes del 15 de marzo de 2018.
Fase II –Si el certificado SSL de tu página se emitió después del 1 de diciembre de 2017 no se verá afectado de ninguna forma; no obstante, si pertenece a una fecha anterior tendrá que ser reemplazado antes del 13 de septiembre de 2018. Si ya usas Chrome 66 probablemente habrás visto el aviso que sigue en Chrome DevTools:
Si no se ha reemplazado el certificado SSL de una web antes del lanzamiento de Chrome 70, los usuarios no podrán acceder a la información contenida en ella:
Entrar en acción
Todos los certificados SSL afectados deben renovarse por otros nuevos, los cuales mantendrán la fecha de expiración del anterior. Además, este proceso no supondrá coste económico alguno para los usuarios.
Si tu certificado actual expira antes del 13 de septiembre de 2018 (Chrome 70 beta) no tienes por qué llevar a cabo ningún proceso de renovación.
Tendrás que crear un CSR (Certificate Signing Request) para cada certificado que tenga que ser reemplazado. Este es un proceso estándar en el que hay que enviar a DigiCert la clave pública, información sobre la compañía y el nombre de dominio. Una vez has enviado la petición, recibirás un nuevo certificado que podrás instalar.