Asegurar la web con Let´s Encrypt en webmin con solo unos clics.

Asegurar la web con Let´s Encrypt en webmin con solo unos clics.

Seguimos con esta tanda de como conseguir un certificado SSL para nuestra web y que funcione ante los ya cambios que están haciendo algunas compañías a través de los navegadores web.

Hoy vamos a ver como obtener e instalar un certificado en nuestro servidor web de una forma fácil, sencilla y sin costo , en el cual tenemos instalado como panel webmin. Para ello seguiremos estos pasos, accedemos a nuestro panel y seleccionamos el dominio que queremos obtener el certificado.

Activamos el website para que acepte conexiones SSL.

 

Una vez guardados los cambios, vamos a Server Configuration, y en el desplegable que se abre seleccionamos Manage SSL Certificate, tal como muestra la siguiente imagen.

En la pantalla que nos abre, vamos a la pestaña que dice Let´s Encrypt, por defecto nos generará el certificado para dominio.com y www.dominio.com.  Suele ser suficiente, si quisiésemos que el certificado sea útil para más subdominios, sería cubrirlos en el recuadro todos los que necesitemos, por ejemplo tienda.dominio.com. En la casilla que nos pregunta meses entre la actualización, escribimos dos. Por norma estos certificados tienen una valided de 3 meses, así colocando dos, nos aseguramos de que nunca nos caduque y tenerlo siempre operativo. Clicamos request certificate y el sistema genera e instala los certificados. Si hubiese otros instalados de antes, los quita y mete los nuevos.

 

Con esto tenemos ya nuestro servidor listo para aceptar conexiones https. Ahora veremos como redireccionar todo nuestro tráfico hacia conexiones seguras. Para ello nos vamos a services y clicamos en configure website.

En la pantalla que nos abre, clicaremos en aliases and redirects. En la opción de Permanent URL redirects, escribimos un slash / y en to, ponemos la dirección completa de nuestro dominio con el https  https://www.dominio.com.

Le damos a salvar, y tras haber guardado los cambios tenemos que aplicarlos sobre apache, para ello clicamos en aplicar cambios.

 

Con esto, todas las peticiones que se hagan a nuestro servidor serán a través de conexión segura, independientemente de si en el navegador el usuario puso http o https.

Certificado SSL gratis con StartSSL

Certificado SSL gratis con StartSSL

Editado 27/01/2017 Leer esta nota antes de seguir con el post.

Todo lo que en este post está escrito es correcto, pero hoy 27 de enero, se han actualizado navegadores como chrome y firefox, y los certificados de StartSSL han dejado de funcionar. Así que recomendamos no perder el tiempo obteniendo uno de estes certificados. He estado indagando y aquí vemos el porqué, seguir enlace.

 

 

Ayer publicábamos un post sobre los avisos que empezarán a dar navegadores como Chrome, y suponemos que en breve se unirán el resto, sobre navegación en páginas web seguras o no. Podeis verlo aquí. Como es sabido, un certificado para autenticar nuestro servidor puede llegar a costar unos cuantos euros, y depende también qué se certifique.

¿Qué hace SSL?

SSL proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Habitualmente, sólo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar.

Los certificados que nos ofrece gratuitamente son de clase 1, ello quiere decir que tan solo certifica la autenticidad del servidor y de la web. Nos dice que realmente estamos navegando por el dominio que vemos en nuestra barra de navegación, y que la conexión está cifrada. Para lo que necesitamos, la mayoría de blogs y foros es más que suficiente. No entraré a explicar las diferencias entre los diferentes tipos de certificados.

Antes de seguir, habrá quien diga que puede generarse un certificado autofirmado, y si, es verdad, con uno autofirmado la conexión sería segura y los datos cifrados, pero el dominio al no estar verificado por una empresa certificadora al entrar a una web que use un certificado autofirmado dará un error y espantaría a los usuarios, cosa que queremos evitar.

Vamos entonces a ver como se genera el certificado. Para ello entramos en la web de startssl y si no tenemos cuenta, crearemos una. Yo que ya la tengo haré login

Una vez logueado debemos ir a Validations Wizard, escogemos la opción de Domain validation (for SSL certificate)

 

Le damos a continuar, y nos pedirá el nombre de dominio que queremos validar, lo introducimos sin las tres w. Solo el nombre y le damos a continuar. Luego nos ofrecerá diferentes formas de validarlo. Una vez validado ya podemos ir a la creación del certificado. Pinchamos en la pestaña de Certificates Wizard, y le damos a la opción que pone DV SSL Certificate. Pasamos a esta pantalla.

En el primer recuadro escribimos el nombre del dominio, por si alguien accede a nuestra web sin el www, damos enter y escribimos el dominio con las www. Si vamos a usar más subdominios para crear webs, tipo tienda.ayudafacil.com, lo añadiríamos también. Se pueden hasta 10 nombres. Quedaría algo así

Lo siguiente, y tras hacer varias pruebas es pinchar la opción que dice “Generated by Myself ” y descargamos la aplicación que nos dan ellos, StartComTool.exe, si usamos windows, para linux nos dan la línea de comandos para hacerlo.

Una vez descargada la aplicación, la ejecutamos, vamos a la pestaña CSR, le damos al botón Generate CSR y nos pedirá un nombre para el fichero .key (en mi caso le llamé ayudafacil.key). Eso nos generaráun código, le damos a copy y lo vamos a pegar a la web en el recuador que en la foto anterior nos quedaba en blanco. Una vez hecho esto y si todo ha ido bien le damos a submit.

Si no hay ningún error, nos pasará a otra pantalla desde donde nos dará la opción de descargar los certificados. Será un zip que contenga certificados para IIS, apache, nginx y otros por si no usamos ninguno de esos. Si no los descargamos no pasa nada, siempre podemos volver a descargar una copia desde la pestaña toolbox, tal como muestra la siguiente imagen.

Como podreis observar tienen una validez de tres años. Muy importante, guardar el fichero .csr y .key que generamos con la aplicación que usamos anteriormente o los certificados por si solos no servirán, ya que sin el fichero key los navegadores no podrán desencriptar las comunicaciones.

 

En otra entrada pondré un manual de como implementar el certificado a través de webmin. Y como nota importante, antes de hacer todo esto, consulta con tu proveedor de hosting, ya que algunos no te permiten implementar un certificado que hayas conseguido tu mismo, sino que tiene que ser a través de ellos y pasando por caja. No obstante esto es válido si tienes un servidor dedicado o un vps, ya que esres tú quien lo gestiona. Si tienes hosting consulta primero.

Espero sirva de ayuda esta guía.

 

Transitando hacia la web segura (https)

Transitando hacia la web segura (https)

Para este año, google con su navegador chrome, y es de suponer que el resto no tardará en aplicar políticas similares, va a empezar a dar un aviso de página no segura en pestañas donde haya un login o donde haya que introducir datos de una tarjeta de crédito.

 

Vamos a explicar esto un poco. Lo que nos va a indicar, es que cuando no estemos logueando en una web y dicha web no utilice el protocolo https, y siga utilizando el http, lo que quiere indicar que la conexión no es cifraza, y que por tanto un usuario mal intencionado podría hacerse con tus datos de login. En las tarjetas, y el comercio electrónico, ya era obligatorio utilizar el protocolo https, aunque ahora si alguien no cumple, también el navegador nos dará el aviso y sabremos que dicha web no es de fiar (en comercio electrónico).

A partir del 31 de enero, navegar por la web y si la web no utiliza protocolo https, chrome nos dará el siguiente aviso.

Como afecta esto a los usuarios. El aviso de no segura no quiere indicar que la web sea falsa, tenga virus, nos esté robando datos, simplemente que utiliza el protocolo http en vez del seguro con https. Para sitios como este, donde se pueden registrar usuarios para hacer comentarios, así como muchos otros blogs, foros … y un largo etc, que de el aviso de web no segura puede llegar a causar una espantada de usuarios, los cuales malinterpretan el aviso de no segura en referencia a si se navega con http o https, con que la web a la que quieren acceder haya sido hackeada, que no sea legítima o no digna de confianza.

Como afecta a los webmaster, dueños de webs. Aquí ya es otro tema, hoy en día casi todas las webs tienen un apartado de login de usuarios, que salga ese aviso en los navegadores, aunque en principio solo va a ser chrome, pero siendo el más utilizado, puede crear un impacto negativo en cuanto a visitantes que entran a la web, ven el mensaje y si no saben de que va el mensaje, se van pensando que la web ha sido comprometida, que le pueden colar algún malware, virus o troyano o querer hacerse con sus datos… O a saber que pensará el usuario.

A mi modo de ver, creo que las webs que no se adapten a esta nueva tendencia van a sufrir una pérdida de visitas, a aumentar la tasa de rebote y al final repercutir en el posicionamiento. Lo veo como una estrategia de google para pasar toda la web (nunca se puede decir toda) hacia una navegación cifrada e ir penalizando las que no lo hagan así.

Es un engorro, ya que los certificados en los proveedores de hosting, que lo coloquen, supone un gasto el invertir tiempo y hacer todos los cambios necesarios para que nuestros enlaces internos apunten ahora a https en vez de http. No se como será, en realidad, pero es algo que iré estudiando y en su momento poder hacer el tránsito lo más rápido y transparente posible.

 

Un saludo y a ver que pasa

Advertisment ad adsense adlogger