El desarrollo del comercio electrónico viene determinado, entre otras razones, principalmente por el aumento de la confianza y seguridad que pueda tener el usuario al realizar las operaciones comerciales. Es de interés para y responsabilidad del negocio o tienda electrónica hacer de Internet un sitio más seguro y confiable, estimular y facilitar la actividad comercial y garantizar la protección de los consumidores mediante el aumento de confianza y la reducción del fraude.
A día de hoy la única forma posible de conseguirlo es mediante el uso de certificación con validación extendida a través de certificados VE que garantizan que la tienda online corresponde a una empresa real y comprobada.
En la actualidad se emiten tres tipos de certificados digitales para servidores, certificados con validación de dominio (VD), validación de empresa u organización (VO) y validación extendida (VE).
La base de la certificación electrónica descansa sobre la tecnología SSL Secure Sockets Layer (Capa de Conexión Segura), desarrolla por Netscape, que permite enviar información cifrada por Internet mediante certificados digitales emitidos por un tercero de confianza, denominado autoridad de certificación, que comprueba los datos del solicitante del certificado.
El certificado VD comprueba que el solicitante tiene derecho al uso del dominio y su emisión es inmediata, basta la respuesta del solicitante a un correo de la autoridad de certificación. No proporciona ningún tipo de información sobre la empresa o propietario del dominio.
Los certificados VO se emiten cuando la autoridad de certificación comprueba además del domino, datos de la empresa tales como nombre, sede, propietario, etc. y que el solicitante pertenece a esta empresa. La emisión de un certificado de validación de empresa puede demorarse durante varios días puesto que requiere de las comprobaciones indicadas.
La única forma posible de diferenciar un sitio web con un certificado u otro es accediendo al mismo, los navegadores no los diferencian, en todos aparece en la barra de direcciones https y el candado. Habría que acceder al certificado para comprobar la información que contiene.
Los certificados VE suponen un elemento añadido a la confianza del usuario, la autoridad de certificación lleva a cabo un examen más profundo del solicitante, comprobación de la identidad y cotejo de la información con auditoría previa a la emisión; la comprobación del solicitante es mucho más rigurosa. Para estos certificados los navegadores sí proporcionan directamente información extra como el color verde en la barra de direcciones, el nombre de la empresa a la izquierda de la dirección (o a la derecha según la versión), candado de color verde.
La entidad que se encarga de definir los requisitos que se deben aplicar a las solicitudes de los diferentes certificados es la CA/Browser Forum, formada en 2005 inicialmente por una serie de autoridades de certificación y navegadores con objeto de reforzar los procesos de autenticación y seguridad en la red.
Centrándonos exclusivamente en el comercio electrónico podemos concluir que los certificados VD suponen mayor riesgo de estafa puesto que se pueden crear sitios fraudulentos ofreciendo falsa sensación de seguridad que sirve a los ciberdelincuentes para captura de datos u otras acciones delictivas. La creación de sitos sitios es relativamente sencilla puesto que se limitan a copiar imágenes de sitios legales originales y a la instalación de este tipo de certificados, baratos y de fácil obtención. Como muestra desde SSL Blacklist se puede comprobar que los certificados de sitios maliciosos y botnets son de validación de dominio.
Sin embargo los certificados VE reducen el riesgo de phising y robos de identidad, proporcionan mayor confianza al usuario y facilitan el trabajo y la investigación de las fuerzas de seguridad frente a la ciberdelincuencia.
