¿Qué es un certificado SSL/TLS? Primero, que significan las siglas? Secured Socket Layer (SSL) y Transport Layer Security (TLS). Este último es una evolución del SSL, pero actualmente se usa el término SSL y TLS indistintamente. A fin de simplificar, voy a tomar esa postura

¿Por qué son tan importantes? No sería posible Internet como hoy la conocemos sin certificados SSL. No podríamos realizar una transacción o envío de información que tenga que ser transmitida de forma privada y no accesible por un tercero.

Ej: cualquiera podría hacerse de los datos de tu tarjeta de crédito en una compra online, la contraseña de tu homebanking, leer tus correos electrónicos y una infinidad de información que hoy se transmite por Internet y tiene que mantenerse confidencial

Cumplen dos funciones:
1) La de encriptar la información, para que en caso de que sea interceptada no pueda ser leída por una persona no autorizada
2) Autenticar y Verificar que la persona/organización tenga control sobre el dominio. Según el tipo existen validaciones adicionales

Una Autoridad Certificante (CA) es la encargada de realizar las validaciones y verificaciones correspondientes y luego emitir el certificado. Esto da tranquilidad al usuario de que un tercero independiente está validando la información

Los certificados que son emitidos por la misma empresa y no una CA no tienen validez en cuanto a la validación, ya que son juez y parte. El principal uso que se da es para encriptar la información que viaja en redes internas

Existen distintos tipos de certificados:
1) Validación de Dominio: Solo se requiere que la empresa/persona demuestren el control sobre el dominio y no se comprueba la identidad de la organización

2) Validación de Organizaciones (OV): Además de comprobarse que el solicitante es propietario del dominio, también se tiene que demostrar la existencia y propiedad de la organización

3) Validación extendida (EV): Se realiza una validación más exhaustiva de la organización.
a) Comprobar la existencia jurídica, física y operativa de la entidad.
b) Comprobar que la identidad de la entidad coincide con los registros oficiales.

c) Verificar que la entidad ha autorizado debidamente la emisión del certificado con validación ampliada.
En el caso de una Validación Extendida, la barra de navegación se vuelve verde en algunos navegadores. También se muestra el nombre de la organización

¿Cómo identificamos si un sitio es seguro? En la URL va a aparecer "HTTPS" en lugar de "HTTP" y también en la barra aparece un candado a la izquierda o derecha, dependiendo del navegador. Chrome no distingue en su barra en el caso de un EV, hay que hacer click en el candado

Al realizar click en el candado, y acceder al certificado se pueden ver datos adicionales importantes.
- Cual es la CA
- A nombre de quien fue emitido el certificado
- El periodo de validez
- otros detalles técnicos como la fuerza y el método de encriptación, entre otros

Para ir concluyendo, lo importante es entender que ante toda página en donde tengamos que proporcionar información sensible siempre validar que sea un sitio HTTPS, tenga el candado correspondiente y este emitido al nombre del dominio y la organización validada (caso OV/EV)

Hay mucho más relacionado a los Certificados SSL/TLS pero ya es adentrarnos en cuestiones más técnicas que no es el objetivo. Si hay algo que no haya quedado claro o no haya abordado, me preguntan!

Un punto más. Los certificados EV son los más eficientes a la hora de evitar el phishing, por el hecho de que el nombre de la organización se visualiza en la barra del navegador, y la CA validó los datos de la misma en forma detallada