El comercio electrónico ha florecido debido a la capacidad de realizar transacciones seguras en línea utilizando las herramientas adecuadas. Estas herramientas son cifrado de clave pública y certificados digitales.

El cifrado de clave pública utiliza SSL (Secure Sockets Layer) para cifrar todos los datos entre la computadora del cliente y el sitio web de comercio electrónico. La información se envía en forma encriptada al sitio utilizando la clave pública del sitio. Al recibir la información, el sitio utiliza su clave privada para descifrar la información. Esto se llama un par de claves . Los intrusos que puedan capturar datos en ruta los encontrarán ilegibles.

Sin embargo, el problema es que cualquiera puede crear un sitio web y un par de claves utilizando un nombre que no les pertenece. Aquí es donde entran los certificados digitales. Los certificados digitales son tarjetas de identificación confiables en formato electrónico que vinculan la clave de cifrado público de un sitio web a su identidad para fines de confianza pública.

Los certificados digitales son emitidos por un tercero independiente, reconocido y de confianza mutua que garantiza que el sitio web que opera es quien dice ser. Este tercero se conoce como una Autoridad de Certificación (CA) . Sin certificados digitales, el público tiene poca seguridad en cuanto a la legitimidad de cualquier sitio web en particular.

Un certificado digital contiene el nombre, dirección, número de serie, clave pública, fecha de vencimiento y firma digital de una entidad, entre otra información. Cuando un navegador web como Firefox, Netscape o Internet Explorer establece una conexión segura, el certificado digital se entrega automáticamente para su revisión. El navegador lo comprueba en busca de anomalías o problemas, y muestra una alerta si se encuentra alguna. Cuando los certificados digitales están en orden, el navegador completa conexiones seguras sin interrupción.

Aunque es raro, ha habido casos de estafas de phishing que duplican un sitio web y 'secuestran' el certificado digital del sitio para engañar a los clientes para que entreguen información personal. Estas estafas implicaron redirigir al cliente al sitio real para la autenticación, y luego llevarlo de regreso al sitio web engañado. Otras estafas de phishing usan certificados digitales autofirmados para deshacerse del tercero de confianza o de la Autoridad de Certificación por completo. El emisor del certificado digital y el firmante son uno en el mismo. Un navegador alertará en este caso, pero la mayoría de los usuarios hacen clic de todos modos, sin entender la diferencia.

Los certificados digitales juegan un papel integral en la seguridad del comercio en línea. Si su navegador le alerta de un problema con un certificado digital, le recomendamos que no haga clic. En cambio, llame a la empresa utilizando un número de teléfono de sus estados de cuenta o directorio telefónico, y pregunte sobre el problema.

No todas las autoridades de certificación son iguales. Algunas AC son más nuevas y menos conocidas. Dos ejemplos de CA altamente confiables son VeriSign y Thawte. Si su navegador no reconoce una Autoridad de certificación, lo alertará.