Seguro que te has dado cuenta que cualquier establecimiento tradicional posee algún tipo de medida de seguridad para proteger la integridad de su negocio y de los clientes, como un sistema de alarmas, una prevención de incendios, o cualquier otra práctica. En el mundo online para cualquier ecommerce tampoco se debe descuidar la seguridad online, y uno de los aspectos más sugeridos siempre ha sido la necesidad de comprar un certificado SSL.
Es cierto que la seguridad en Internet ha mejorado muchísimo, pero como veremos más adelante, todavía hoy, una de las grandes deficiencias que tiene el comercio electrónico es que los internautas no confían en realizar las compras online o en meter sus datos bancarios en Internet, debido principalmente al desconocimiento que tienen sobre el medio y a las asiduas noticias que aparecen en los informativos sobre fraudes electrónicos, phishing o ataques hacia páginas webs.
Así que a continuación voy a destripar las razones por las que cualquier tienda online va a necesitar comprar un certificado ssl si desea que efectivamente funcionen sus ventas por Internet.
Contenido
¿Que es un certificado ssl?
El protocolo SSL son las iniciales de Secure Sockets Layer, es decir, capa de conexión segura que sirve para dar mayor seguridad en la transmisión de datos entre el internauta y la web, solo sirve para el intercambio de información entre la página y el usuario que está navegando. Voy a poner unos ejemplos prácticos para mostrar cuando se realiza ese traspaso de datos:
- Rellenamos un formulario de contacto.
- Realizamos unas compra en un ecommerce.
- Nos registramos como usuario en una página web.
- Si solo navegas por la web, no estás transmitiendo tus datos, con lo que poco te debería importar si esa página posee el cifrado SSL o no.
En estos tres casos estamos poniendo información personal nuestra que vamos a enviar a través de los servidores, con lo que si encima son datos bastante importantes como el número de nuestra tarjeta de crédito, el número del móvil, o la dirección de nuestra dirección particular, tendríamos que fijarnos en el nivel de precaución que toma esa web para evitar que un tercero se apropie de estos datos.
Con un certificados SSL lo que se consigue es que esos datos que el internauta envía o recibe de la web, están encriptados de una manera especial para que sean más difícil de obtener por parte de un intruso. No voy a entrar al detalle de como funciona un SSL, para eso os dejo este enlace, y la siguiente imagen que intenta resumir la finalidad de este protocolo especial.
Sino deseas utilizar el protocolo de seguridad ssl para tu tienda online, tampoco se acaba el mundo ya que aún hay compradores online que todavía no tienen en cuenta la seguridad en sus pagos, pero el riesgo de que alguien se apropie de estos datos es mucho mayor, y si eso ocurre ten por seguro que esa información se va a utilizar con alguna finalidad poco apropiada y tu web será la responsable de los daños y perjuicios ocasionados a la persona.
Beneficios del certificado ssl
Tan solo por el riesgo de la responsabilidad civil sería una razón más que suficiente para comprar un certificado ssl en tu ecommerce, pero aún así te indico a continuación más beneficios.
Conexiones más seguras
Como ya hemos explicado antes, al utilizar un certificado SSL en tu web haces que el trasvase de datos con tus usuarios sea más segura. Además ahora los navegadores ya te advierten sobre lo peligroso que puede ser una web, esto se refleja en el famoso candado que puede verse en estos colores:
- Candado verde donde te indica que la página posee el protocolo de seguridad.
- Candado amarillo que sugiere la aparición de elementos poco seguros.
- Color rojo donde alerta sobre la poca fiabilidad del sitio, incluso en algunos navegadores para poder visitar la web debes dar conformidad.
- Por último, indicar que hay sitios donde no se usa el protocolo SSL y el navegador no muestra ningún color.
Toda esta simbología de colores en los candados y de los avisos proporcionados por el navegador, ejerce una influencia en el comportamiento del comprador online, obviamente antes alertas amarillas y rojas se lo va a pensar mucho antes de realizar la compra.
Así que si vas a comprar un certificado SSL conseguirás que el cliente online vea el candado verde en tu dirección de dominio y las dudas sobre la fiabilidad de tu ecommerce serán menores.
Seguridad en pagos
Al principio he comentado que hay mucha gente que todavía no compra online debido a la desconfianza al pagar. Hace apenas unos días salió publicado el estudio sobre comercio electrónico en España durante el ejercicio 2014, elaborado por la agencia estatal red.es y solo hace que reafirmar esta creencia.
Como podéis ver, cuando han preguntado a una persona la razón por la que no desea comprar online, el segundo motivo es la consideración de que no es un medio seguro, pero lo más llamativo es que esta justificación es incluso mayor que en el período anterior, siendo ya más del 55%.
Y si nos fijamos en los aspectos de mejora que consideran los compradores online habituados a realizar sus compras por Internet, en un 61,3% consideran que la seguridad en los pagos es muy mejorable.
Estos dos indicadores del estudio siguen reflejando que al internauta le preocupa la seguridad en el momento de realizar el pago, así que es un buen motivo para comprar un certificado ssl si tienes un ecommerce o tienda online.
Es conveniente indicar, que muchas tiendas online cuando el cliente va a realizar el pago con tarjeta entra directamente en la plataforma de la entidad que ofrece el soporte de cobro que por defecto siempre tienen un buen certificado SSL (redsys, servired, paypal, etc…).
Ley Organica de Proteccion de Datos
Hay un gran olvidado en la mayoría de páginas web, y se trata de la obligación del cumplimiento de la LOPD donde debes inscribir tu formulario de alta en la Agencia Española de Protección de Datos si vas a recabar algún datos sobre clientes o visitantes, con lo que cualquier ecommerce está más que obligado a cumplir con este procedimiento sino desea recibir alguna multa o sanción por incumplimiento.
Este procedimiento es tan sencillo como dar de alta un formulario donde en unos de sus puntos preguntan sobre las medidas de seguridad que vas a realizar sobre los datos que tus clientes, te van a proporcionar.
La LOPD establece tres tipos de datos:
- Nivel básico que serían los nombres, apellidos, números de teléfono y direcciones físicas (esta información se proporciona siempre en cualquier tienda online).
- Nivel medio donde ya contemplaría los datos financieros, pero estos datos son almacenados y/o gestionados por las plataformas de pago que hemos indicado antes (redsys, servired, paypal, etc…).
- Nivel alto que comprende datos sobre ideologías, creencias religiosas, aspectos sobre la vida sexual o datos relacionados con violencia de género (obviamente ningún ecommerce debería recoger ninguno de estos datos).
Pues según la Agencia Española de Protección de Datos, solamente obliga al uso de sistemas encriptados si la web procesa información de nivel alto, con lo que no sería necesario comprar un certificado SSL para cumplir con la LOPD.
¿Mejora al SEO?
A finales del pasado año surgió la rumorología de que tener las páginas con https mejoraban la posición orgánica en Google. Hay tantos factores que influyen en el SEO que es muy complicado afirmar esa mejoría, de hecho hay algunos experimentos como éste que muestran una ligera mejoría, pero por sí solo el comprar un certificado SSL no te garantiza nunca estar en la primera página del buscador.
Si buscas en Google el término «zapatillas» te aparecerá como primer resultado una página que usa SSL, pero ésta no es la causa del top del ránking, se trata de Zalando donde ya analicé en su día las causas del éxito en su posicionamiento SEO. Además tanto en la página 2, 3, 4 y sucesivas de Google se encuentran otros dominios con https, con lo que por sí solo el tener un certificado SSL no te garantiza un buen ránking. También hice la prueba con la keyword «corbatas de seda» y la mejor posición de una página segura era la tercera, encontrándose algunas en la quinta o séptima página del buscador.
Seguro de indemnizacion
Cuando fui a comprar mi primer certificado SSL lo que más me llamó la atención es que lleva asociado un seguro de indemnización o repositorio por si en un futuro se da un prejuicio económico sobre algún cliente del ecommerce. Como los datos relativos al pago los tendrá Paypal, Redsys o la plataforma de cobro correspondiente no debería ser éste un aspecto muy importante a la hora de buscar un buen certificado seguro. Es curioso como hay algunos que llevan un seguro asociado de hasta más de 1mm de euros (apostaría a que la letra pequeña ocupa varias hojas).
Consideraciones al usar un certificado ssl
Yo no me considero ningún experto en protocolos de seguridad, pero a continuación os quiero compartir algunas consideraciones en las que uno se debe fijar al comprar un certificado SSL para su tienda online.
Emisor del certificado
Cuando pides un certificado SSL a tu empresa de hosting, en realidad ellos actúan como intermediarios entre el titular de la web y la entidad emisora del certificado, ya que la emisión de certificados solo pueden hacerla algunas sociedades dedicadas exclusivamente a protocolos de seguridad.
¿Entonces puedo ir yo directamente a una Entidad de Certificación? Sí, peeeeero el problema está en que después ese certificado debes instalarlo en el servidor donde tienes alojada tu página, y para ello además de programación también deberías controlar sobre protocolos, algo que muy poca gente controla; por este motivo lo mejor es comprar un certificado SSL a través de la compañía que proporciona el hosting de tu ecommerce.
No hay muchas entidades emisoras de certificados SSL, pero aún así hay algunos que son más reconocidas que otras. Entra las más famosas podemos encontrar VeriSign, GeoTrust o Equifax, a modo de ejemplo aquí os dejo el listado de las certificadoras que reconoce Redsys como compatibles para su plataforma de cobro por tarjeta. Así que aunque vayáis a comprar un certificado ssl a través de vuestro proveedor de servicios de Internet, siempre fijaros en el CA o nombre de la entidad que emitirá el certificado.
Tipos de certificados ssl
A modo general se pueden encontrar 3 tipos de certificados para protocolos de seguridad SSL:
- Certificado ssl para ser usado solo en un dominio. Es la opción más usual, económica y rápida, ya que en el mismo día lo tendrás instalado en tu servidor.
- Certificados ssl para ser usado en varios dominios que pertenecen a la misma persona, la ventaja es que puedes utilizar la misma certificación para todas las webs que poseas, el inconveniente es que tiene un precio mucho más elevado y puede llegar a tardar algunos días en emitirse. Esta es una opción muy útil para aquellas organizaciones que tienen muchos ecommerces o poseen varios dominios con multitienda.
- Hay tiendas online que poseen subdominios para cada ecommerce en función del país de destino, por ejemplo kayak.es posee https://www.kayak.com.ar/ para sus clientes en argentina, para estos caso se debe utilizar un certificado que admite su validez para todos los subdominos que se creen a partir del dominio raíz. Al igual que el anterior tienen un precio más elevado.
Clase de IP del ecommerce
Un aspecto a tener en cuenta, que solo detectarás si alguna vez te surge algún error como el que ha surgido en varios ecommerce con la migración del tpv Redsys al nuevo encriptado SHA256, es que para utilizar un certificado SSL en tu web vas a requerir de una IP dedicada. Si tu sitio está ubicado en un VPS o en un hosting dedicado, por defecto ya tendrá una IP asignada, pero si en cambio está alojada en un hosting compartido deberás adquirir también a tu proveedor que te asignen una dirección IP dedicada, ya que sino te pueden surgir problemas en la verificación del protocolo SSL, como en la siguiente imagen.
Tipo de cifrado
Al principio he comentado que un certificado SSL lo que hace es encriptar los datos que trasmite el usuario con la web con un cifrado especial. Estos cifrados están evolucionando constantemente por dos motivos: uno porque los hackers también se actualizan y consiguen descubrir vulnerabilidades, y el segundo es porque las empresas de seguridad tienen que seguir facturando por nuevos servicios.
Si vas a comprar un certificado SSL debes asegurarte que utiliza la encriptación SHA2 de 2048 bits, cualquier otro valor inferior sería un desperdicio de dinero ya que tendría muchas vulnerabilidades y tendrías muchos problemas de seguridad en la transmisión de datos.
Donde comprar un certificado ssl barato
Después de todo lo que he contado, creo que sobran los motivos para que cualquier webmaster se decidiera a comprar un certificado ssl para su tienda online o ecommerce. Hace unos años las inversiones a realizar eran elevadísimas, pero hoy se pueden encontrar a un precio muy ecónomico y barato. De hecho por tan solo 35€ al año, puedes comprar un certificado SSL en Profesional Hosting con todos los requisitos necesarios que os he estado contando y encima te lo instalan ellos en tu servidor sin tener que marearte.
Si intentas buscar certificados SSL gratis por Internet, como mucho vas a encontrar algún servidor que te regala los 3 primeros meses del certificado, pero después el precio es bastante más alto. O si eres un programador y estás especializado en protocolos de seguridad puedes contactar con alguna de las entidades certificadoras y te pueden proporcionar alguno gratuito para instalar en tu servidor siempre que colabores con ellos para temas de seguridad en la red.
Así que hemos visto que el utilizar el protocolo htpps va a dar más seguridad a la transmisión de datos en tu ecommerce, es un aspecto que tienen muy en cuenta los compradores online para elegir su tienda de Internet y encima no requiere un gran desembolso económico, por lo que espero haber resuelto tu duda sobre si necesitas comprar un certificado SSL para tu tienda online.
Hola he comenzado por recomendación una tienda en soporte opencart y ahora veo que casi todo lo que hay por ahí es prestashop y otros pero no el mio, crees que debo cambiar o puedo migrarlo todo a otro. Cual recomendarías.
Gracias
Juan ANtonio
Hola Juan Antonio.
El problema de Opencart, es que es una plataforma muy poco utilizada en España. En cambio es mucho más recurrida en Estados Unidos, con lo que si algún día necesitas soporte o encontrar a profesionales que controlen este tipo de ecommerce, te será mucho más complicado.
Aunque el dato es de Nov 2014, te dejo el enlace donde muestra que Prestashop es la plataforma más utilizada en Ecommerce en España:
http://www.xopie.com/tiendas-online-en-espana-c1200x36202?PGFLngID=2
Yo tengo experiencia con Prestashop y Magento (que son las dos plataformas más utilizadas en España), y de estas dos me quedaría con Prestashop ya que tiene un foro en español muy activo y es más fácil de utilizar su backoffice y la gestión de módulos.
Un saludo