Una introducción a los certificados SSL para WooCommerce

Publicado: 2015-12-24

Parte del proceso de iniciar una tienda en línea es encontrar una manera de asegurar la experiencia de sus compradores. Usted quiere que sus clientes potenciales se sientan seguros, por supuesto, y que sepan que sus datos no van a caer en las manos equivocadas.

Si es nuevo en el comercio electrónico, es posible que haya escuchado algunas conversaciones sobre los certificados SSL o HTTPS como parte de este proceso de seguridad. Y usted podría estar completamente confundido por ello. Relájate, eso es normal y podemos ayudarte.

SSL suena como un tema complicado, pero una vez que comprenda la premisa y por qué su tienda podría necesitarlo, no es algo por lo que tenga que preocuparse . De hecho, para la mayoría de los propietarios de tiendas, puede obtener un certificado para agregar SSL a su tienda en solo unos minutos.

Repasemos qué es SSL, por qué podría necesitarlo y cómo puede obtener un certificado para su tienda. Al final de esta publicación, su confusión debería desaparecer y debería estar aún más preparado para comenzar a vender en línea.

El certificado SSL explicado

Para comprender qué es un certificado SSL y por qué podría necesitar uno, primero echemos un vistazo rápido a la tecnología detrás de él.

Una lección rápida sobre SSL

SSL significa "Capa de sockets seguros", aunque a veces también se denomina "Seguridad de la capa de transporte" (o TLS). SSL por sí solo es un protocolo utilizado para asegurar y proteger transacciones, aunque no necesariamente financieras, entre destinos en una red .

SSL se basa en el cifrado para que estas transacciones sean privadas. Cada mensaje transmitido debe pasar una verificación interna de la integridad de este cifrado antes de que tenga éxito. Si la verificación falla (debido a la corrupción de datos o cualquier intento inesperado de alterar o capturar los datos), los datos cifrados no estarán expuestos.

Usamos SSL todos los días cuando navegamos por sitios web comunes como Facebook, YouTube y tiendas en línea. El cifrado utilizado evita que personas con malas intenciones intercepten transacciones tan inocentes como sus consultas de búsqueda... o tan peligrosas como la información de su tarjeta de crédito.

Cómo se aplica SSL a los certificados de sitios web

Cuando un sitio web quiere asegurar sus transacciones, obtendrá un certificado SSL para ese dominio. El certificado SSL aplica el cifrado descrito anteriormente a toda la actividad del sitio web , incluidos los envíos de páginas y formularios, las transacciones financieras, etc. Esto evita el robo de datos u otros ataques similares.

Los certificados SSL también contienen información de seguridad importante , que incluye:

  • Nombre de empresa
  • Ubicación de la compañía
  • Periodo de vigencia del certificado
  • Datos de la autoridad que emitió el certificado

Esto permite a las personas que no están seguras de la autenticidad o confiabilidad de un sitio web hacer clic en el ícono de "candado" verde en su navegador para revisar más información. Si todavía no se sienten seguros, pueden salir del sitio.

Un ejemplo del tipo de información que puede ver al revisar un certificado SSL, en este caso, el blog del Centro para webmasters de Google.
Un ejemplo del tipo de información que puede ver al revisar un certificado SSL, en este caso, el blog del Centro para webmasters de Google.

Cómo saber si un sitio web usa SSL/TLS

Hay dos formas rápidas de saber si un sitio web determinado tiene un certificado SSL. Buscar:

  • Un icono de "candado" verde en la barra de direcciones, y
  • Una URL que comienza con https en lugar de http

Dependiendo de cómo el sitio use SSL, es posible que esto no se aplique a todas las páginas, como aprenderá a continuación.

Cómo está cambiando el uso de SSL

Durante bastante tiempo, el estándar de Internet era que los certificados SSL solo se recomendaban para dominios o páginas específicas de sitios web donde se transmitía o recibía información confidencial (como datos financieros). Sin embargo, esa recomendación está cambiando lentamente.

En agosto de 2014, Google anunció que la seguridad del sitio web se agregaría como una "señal de clasificación ligera" para los resultados en su motor de búsqueda . Esto significaba que un sitio web protegido con SSL/TLS tenía más posibilidades de obtener una clasificación más alta para una consulta que uno no seguro, suponiendo que todos los demás factores fueran los mismos.

Del anuncio:

[N]os hemos estado realizando pruebas teniendo en cuenta si los sitios utilizan conexiones cifradas y seguras como señal en nuestros algoritmos de clasificación de búsqueda. Hemos visto resultados positivos, por lo que estamos comenzando a usar HTTPS como una señal de clasificación. Por ahora es solo una señal muy ligera […] mientras damos tiempo a los webmasters para cambiar a HTTPS. Pero con el tiempo, podemos decidir fortalecerlo, porque nos gustaría alentar a todos los propietarios de sitios web a cambiar de HTTP a HTTPS para mantener a todos seguros.

Durante el último año, las implicaciones potenciales de este cambio han provocado que muchos propietarios de sitios web, no solo propietarios de tiendas, cifren sus sitios con certificados SSL completos, cambiando sus URL a "https" en lugar de "http".

Sin embargo, esto no requiere que nadie asegure todo su sitio con SSL . Si así lo desean, los propietarios de sitios web y tiendas aún pueden colocar todas sus páginas confidenciales en un subdominio y comprar un certificado solo para ese dominio, dejando el resto de las páginas sin cifrar.

Cómo saber si tu tienda online necesita SSL

Al leer todo esto, es posible que se convenza de que necesita un certificado SSL. Después de todo, la seguridad es importante para ti, ¿verdad?

Sin embargo, si no captura ni almacena ningún dato confidencial, es posible que en realidad no necesite un certificado . Esto puede sonar extraño, así que profundicemos.

El escenario más común que hace que los propietarios de las tiendas estén exentos de la necesidad de SSL es el uso de un procesador de pagos externo, por ejemplo, PayPal. Esto se debe a que PayPal es responsable de capturar y almacenar toda la información de pago confidencial de su cliente, por lo que nunca se almacena en su base de datos .

Los procesadores de pagos externos tienen sus propios estándares de seguridad, certificados y métodos para pasar datos de forma segura desde y hacia su tienda. Por lo tanto, no necesariamente necesita SSL, porque lo tendrán cubierto.

Si no almacena ninguna información de pago confidencial, es posible que no necesite SSL.
Si no almacena ninguna información de pago confidencial, es posible que no necesite SSL.

Otro escenario es si no permite que los clientes creen cuentas o inicios de sesión con contraseñas de ningún tipo. Incluso si utiliza una pasarela de pago de terceros, completamente fuera del sitio, es posible que aún tenga clientes que creen cuentas con usted para guardar sus direcciones de envío y facturación .

Si bien esta es información mucho menos confidencial, muchos clientes tienden a usar la misma contraseña para cada cuenta. Entonces, un poco de ingeniería inversa podría llevar a un pirata informático a obtener acceso, por ejemplo, a la cuenta de correo electrónico de un comprador, a la cuenta bancaria... lo que sea. Esto significa que, a menos que la creación de cuentas esté deshabilitada en su tienda, necesitará SSL para proteger esas contraseñas e inicios de sesión .

En resumen, los dos factores que pueden eliminar SSL como requisito son:

  • El uso de una pasarela de pago completamente fuera del sitio, y
  • Absolutamente ninguna funcionalidad de cuenta o contraseña permitida por los clientes

Si no cuenta con estos dos factores, necesitará un certificado para su tienda. E incluso si lo hace, aún debe considerarlo , dada la posibilidad de que HTTPS se vuelva más importante para las clasificaciones, y la tranquilidad del cliente, en el futuro.

¿Necesita SSL? Cómo obtener un certificado (dos formas)

La forma estándar de proteger su tienda con SSL hasta hace muy poco era pagar a un tercero por un certificado. Sin embargo, ahora hay otra opción, como se mencionó durante El estado de la palabra en WordCamp US.

Aquí hay dos formas en que puede proteger su tienda y mantener contentos a sus clientes.

Pagar por un certificado

Los certificados SSL se pueden comprar de una amplia variedad de terceros . Muchos revendedores de dominios los ofrecen a sus clientes (a veces incluso junto con su nombre de dominio), y también hay empresas independientes que venden solo certificados SSL.

Lo mejor que puede hacer es comenzar con la empresa a la que compró (o planea comprar) el nombre de dominio de su tienda para determinar si ofrecen certificados o algún tipo de paquete. De lo contrario, una simple búsqueda debería mostrar múltiples opciones confiables.

Antes de comprar, dedique unos minutos a considerar detenidamente el tipo de certificado que necesita . Los certificados SSL básicos solo cubren un dominio, ej. ejemplo.com o subdominio.ejemplo.com. Pero también puede comprar certificados multidominio o certificados "comodín" para cubrir varios subdominios (ejemplo1.dominio.com, ejemplo2.dominio.com…).

El precio de los certificados pagados suele oscilar entre $30 y $50 por año para dominios individuales y hasta $300 por año para opciones de dominios múltiples o comodín.

Certificados gratuitos de Let's Encrypt

El Grupo de Investigación de Seguridad de Internet (ISRG) actualmente tiene un programa llamado Let's Encrypt en versión beta pública. Let's Encrypt permite que cualquier persona asegure su sitio con SSL/TLS de forma gratuita, brindando de manera efectiva a los propietarios de sitios web y tiendas un certificado SSL permanente y gratuito .

El problema: Let's Encrypt no es tan sencillo como trabajar con un registrador de dominios para comprar e instalar su certificado. También está todavía en versión beta, por lo que es posible que haya errores. Sin embargo, sigue siendo completamente gratuito y de código abierto.

Un diagrama de Let's Encrypt que muestra cómo funcionan sus certificados.
Un diagrama de Let's Encrypt que muestra cómo funcionan sus certificados.

Si está interesado en seguir esta ruta, le recomendamos que envíe la documentación de Let's Encrypt a su desarrollador, quien puede determinar el complemento y el cliente que necesita para su servidor y manejar el proceso de instalación del certificado por usted.

Las consecuencias de no tener un certificado

Quizás se pregunte "¿qué sucede si ignoro todo esto y simplemente no obtengo un certificado SSL?"

La verdad es que no puede pasar nada. Pero también podría haber consecuencias nefastas, que incluyen:

  • Compradores que pierden la confianza en ti porque tu tienda parece no segura
  • Individuos desagradables que "suplantan" su tienda porque no hay forma de probar que usted es el verdadero propietario o fabricante de sus productos.
  • Un pirata informático que usa ingeniería inversa para secuestrar el correo electrónico, las redes sociales u otra cuenta en línea de un cliente con información obtenida de su tienda
  • Robo de datos personales o financieros confidenciales almacenados en su servidor
  • La reacción negativa pública y financiera potencial causada por cualquiera de los eventos anteriores

Como puede ver, es mejor simplemente pagar por un certificado SSL y estar tranquilo que arriesgarse. Incluso tener clientes potenciales que lo molesten por el ícono de candado que falta, y potencialmente salir sin comprar porque falta, vale los $ 30 más o menos al año, ¿no cree?

SSL no tiene por qué ser un asunto complicado

Esperamos que esta introducción a los certificados SSL para comercio electrónico lo haya ayudado a comprender un poco mejor por qué podría necesitar, o no, un certificado para su propia tienda en línea.

Con un poco de suerte, SSL y la seguridad de la tienda deberían parecerle mucho más fáciles de entender ahora. Pero si tiene alguna pregunta pendiente, ¡estaremos más que felices de responderla en los comentarios a continuación! Pregunte, siempre estamos aquí para ayudar.