Secure Socket Layers

Hola, espero que nadie se asombre con las preguntas que voy a hacer, tengan en cuenta mi completa ignorancia acerca del tema. He visto el simbolo de VERI SIGN SECURE SITE, o algo parecido, en varias paginas de comercio electronico no de mucho renombre. La cuestión es que yo estoy haciendo una página de cormercio electronico, y me gustaría tener esa certificación. Mis preguntas son sencillas, ¿Como hago para obtener esa certificación? ¿Qué cosas tengo que contemplar desde la programación y seguridad de mi sitio para obtenerla? ¿Cuáles son los requisitos para obtenerla?. Bueno, espero que alguien sepa contestarme.
Saludos.

tienes que ir al sitio de verisign, pagar un pastonazo y ya está. de todas maneras, ellos te lo explicarán mejor (http://www.verisign.com/).

Gracias Trasgukabi... pero hay una cosa que no entiendo, osea que los sitios que tienen el logo de VeriSign no es que sean seguros? sino que nomas han pagado para conseguirlo?, o ellos solos se encargan luego de efectuar el pago en transformar tu sitio en un sitio seguro?
Saludos.

si, si que lo son. tú pagas y ellos comprueban. es una especie de certificado de calidad.

bueno con verisign te cuesta 995dlls el año, con godaddy 89.95, checa opciones pero primero checa si tu hosting lo soporta

Barbaro, han sido de mucha ayuda. Me gustaria saber una cosa, osea yo pago y ellos comprueban no?, entonces quiere decir que yo desde la parte de programacion debo hacer algún mérito para poder obtener ese certificado, que cosas debo hacer?
Alguien sabe? o me puede pasar algun link en donde salga informacion?. Entre a www.verisign.es, pero nada sale allí de los requisitos.
Saludos y nuevamente gracias.

el merito es del hosting ellos te entregan a ti, despues de realizar una verificacion un archivo de texto, esto es lo que tengo entendido, en la pagina de verisign puedes ver mas info, incluso puedes probar el servicio por 14 dias y ver como funciona

Ah ahora voy entendiendo un poco mas, es decir, que yo lo unico que tengo que hacer es pagar esa cifra y de ahi ellos despues verifican si soy apto para el certificado o no?
Mil gracias por todo.

Bueno, discrepo con lo de que los sitios con certificado verisign son totalmente seguros. Eso es un poco como con los temas de calidad ISO 9000, 9001, 14000, etc. Pagando, San Pedro canta.

Lo digo porque conozco un sitio web, con ese certificado de Verisign, donde se puede entrar (al menos se podía entrar hace 2 meses) en el sitio para usuarios registrados (sitio de una importantísimia editorial española), y descargarte ficheros, artículos de revistas, etc, etc, etc, simplemente usando la sql injection. Lo bueno, es que te dice que "te han sido descontados X euros, por la descarga del fichero"... A saber a que pardillo se lo habrán cobrado.

...Mucho sello de calidad, pero poca fiabilidad.

Editado: lo de importantísimia ha sido un error, pero hasta queda bien y todo

la seguridad de un sitio web, hablando de un certificado, no se refiere al nivel de programación, sino a la manera de cómo viajan los datos. Estando en un sitio con SSL sabes que los datos que mandes por un formulario o lo que sea van encriptados.

Tienes razón, pero no es garantía suficiente de seguridad, ni de calidad de que las cosas están bien hechas y son seguras, ...tan solo de que los datos viajan encriptados

Bueno, pero entonces si pagando se garantiza cierta seguridad, me parece que es una buena inversion para un sitio de comercio electronico. Por supuesto, que con eso solo no me voy a quedar y hay que tratar de hacer una pagina segura en todos los aspectos. El tema de SQL Injection ya lo tengo contemplado a traves de diferentes procedimientos que son llamados cada vez que el usuario suscribe un formulario o cada vez que se manda una variable por la URL. Quizas merme un poco los recursos de la pagina y la velocidad de carga, pero prefiero eso antes que hagan lo que quieran con la base de datos. A ustedes que les parece?. Ah y ahora se me ocurre otra pregunta, a nivel de programación, el único tema que el programador se debe encargar a nivel de seguridad, es el tema de SQL Injection? o hay otras situaciones que debe tener en cuenta?.
Saludos.

no tiene que ver que haya errores de programacion con certificados de seguridad, uno certifica el envio de datos el otro es un bug del programador

Exactamente, no tiene nada que ver una cosa con la otra, ellos no certifican tu sitio ni les interesa, lo unico que hacen es venderete un SSL, mediante el cual, puedes hacer que tus datos viajen encriptados, pero todos los huecos de seguridad (si los tienes) seguiran alli.

Salu2,

mariano, hay que vigilar otras cosas también como el cross-site scripting. en el link libros de mi firma tienes un documento sobre ésto.
y no te preocupes, una simple función para prevenir SQL Injection no retrasa la carga de la página. controlar eso a un procesador le cuesta nanosegundos.
un saludo.

No se como agradecerles todas las respuestas, son de mucha ayuda siempre. Trasgukabi me podrias pasar el link que mencionaste?, realmente me interesa mucho mantenerme informado sobre todas las cosas que tengo que contemplar con respecto a la seguridad, ya que es eso lo que me esta faltando, con respecto a programacion, para terminar el sitio. Así que si me puedes facilitar el link me estarias ayudando muchisimo.
Ahora ya entendi por completo lo que son los certificados SSL, lo han explicado realmente bien al tema. Ustedes que estan mas en el tema, me pueden recomendar alguna firma?. Sjam me recomendo tambien Godaddy, pero me llama mucho la atencion la diferencia de precios que existen entre ellas.
Bueno, lo dicho, muchas gracias y saludos a todos.

http://www.forosdelweb.com/showpost....&postcount=102

esto está escrito para PHP, pero puedes aplicarlo a ASP
http://foro.elhacker.net/index.php/topic,45693.0.html

Excelente Trasgukabi, muy buenos documentos. Te agradezco y espero que no te moleste que los este difundiendo a mis amigos mas cercanos para que tambien conozcan del tema, ya que me parece realmente instructivo y útil lo que hay en ellos.
Ahora, estoy en la decision de comprar un certificado con encriptacion de 40 o 128 bits, segun dicen el de 40 ya es suficiente, pero la verdad es uqe no se... que piensan ustedes?
Saludos.