Asegurar la web con Let´s Encrypt en webmin con solo unos clics.

Asegurar la web con Let´s Encrypt en webmin con solo unos clics.

Seguimos con esta tanda de como conseguir un certificado SSL para nuestra web y que funcione ante los ya cambios que están haciendo algunas compañías a través de los navegadores web.

Hoy vamos a ver como obtener e instalar un certificado en nuestro servidor web de una forma fácil, sencilla y sin costo , en el cual tenemos instalado como panel webmin. Para ello seguiremos estos pasos, accedemos a nuestro panel y seleccionamos el dominio que queremos obtener el certificado.

Activamos el website para que acepte conexiones SSL.

 

Una vez guardados los cambios, vamos a Server Configuration, y en el desplegable que se abre seleccionamos Manage SSL Certificate, tal como muestra la siguiente imagen.

En la pantalla que nos abre, vamos a la pestaña que dice Let´s Encrypt, por defecto nos generará el certificado para dominio.com y www.dominio.com.  Suele ser suficiente, si quisiésemos que el certificado sea útil para más subdominios, sería cubrirlos en el recuadro todos los que necesitemos, por ejemplo tienda.dominio.com. En la casilla que nos pregunta meses entre la actualización, escribimos dos. Por norma estos certificados tienen una valided de 3 meses, así colocando dos, nos aseguramos de que nunca nos caduque y tenerlo siempre operativo. Clicamos request certificate y el sistema genera e instala los certificados. Si hubiese otros instalados de antes, los quita y mete los nuevos.

 

Con esto tenemos ya nuestro servidor listo para aceptar conexiones https. Ahora veremos como redireccionar todo nuestro tráfico hacia conexiones seguras. Para ello nos vamos a services y clicamos en configure website.

En la pantalla que nos abre, clicaremos en aliases and redirects. En la opción de Permanent URL redirects, escribimos un slash / y en to, ponemos la dirección completa de nuestro dominio con el https  https://www.dominio.com.

Le damos a salvar, y tras haber guardado los cambios tenemos que aplicarlos sobre apache, para ello clicamos en aplicar cambios.

 

Con esto, todas las peticiones que se hagan a nuestro servidor serán a través de conexión segura, independientemente de si en el navegador el usuario puso http o https.

Instalar certificado SSL en webmin

Instalar certificado SSL en webmin

Venimos con una serie de entradas sobre certificados SSL, y navegación https en la web, y como en principio solamente el navegador Chrome nos irá avisando de las webs que son seguras y las que no. Podeis ver las entradas anteriores en este Aviso de navegadores de webs sin https y en este Certificado gratis con StartCom.

Ahora veremos como instalar ese certificado en nuestro panel Webmin, Si quereis saber como instalarlo tenemos una guía en este post. Y como configurarlo en este otro.

Lo primero accedemos al panel y nos logueamos con el usuario con provilegios administrativos, generalmente root. Una vez dentro pinchamos en la pestaña que pone virtualmin, y en el desplegable seleccionamos el nombre de dominio al cual le queremos instalar el certificado. Luego de eso clicamos en editar servidor virtual.

Una vez que clicamos en editar servidor virtual, abrimos el desplegable que nos sale a la derecha y marcamos la opción enabled SSL Website. Luego guardamos los cambios.

Una vez que lo hemos guardado, nos vamos en la columna de la izquierda a donde dice Server configuration y dentro de las opciones clicamos la que dice manage SSL certificate.

Ahí debemos ir a Update certificate and key, tendremos que hacer dos cosas, la primera en Signed SSL certificate, marcamos upload file, y seleccionamos el certificado. Si habéis seguido el manual anterior es el que dice ayudafacil.com.crt (El que se descargó de la web, no el generado por la aplicación). Debajo en la opción Matching private key, lo mismo, seleccionamos upload y subimos el fichero .key que teníamos generado. La opción de Private key password, la dejamos como está, le decimos que no es necesaria. Clicamos en install now, y ya nos sube el certificado y la clave pública.

Con esto ya tendríamos nuestro server funcionando con SSL y aceptando conexiones seguras por el puerto 443 y con protocolo https. Pero haremos una modificación más para garantizar que nuestro certificado sea compatible con todos los navegadores. Por defecto los navegadores más comunes reconocen a startcom como entidad certificadora y por consiguiente como buenos los certificados que expìde. Aún así hay móviles, smartphones, tablets y algún navegador que no lo tienen incorporado y diría que el certificado no es válido o daría algún tipo de advertencia al navegar por nuestra web, y eso, justamente es lo que menos nos interesa.

Vamos a la pestaña de CA Certificate en el webmin, y como antes, seleccionamos la opción de upload, en este caso subiremos el archivo que se llama root.crt que descargamos junto con el certificado de nuestra web.

Guardamos los cambios y ya no habría que hacer nada más. Tan solo las configuraciones necesarias en nuestra web para que los enlaces apunten a https en vez de a http.

 

Con esto terminamos la serie de manuales de creación e instalación de certificado SSL.

Transitando hacia la web segura (https)

Transitando hacia la web segura (https)

Para este año, google con su navegador chrome, y es de suponer que el resto no tardará en aplicar políticas similares, va a empezar a dar un aviso de página no segura en pestañas donde haya un login o donde haya que introducir datos de una tarjeta de crédito.

 

Vamos a explicar esto un poco. Lo que nos va a indicar, es que cuando no estemos logueando en una web y dicha web no utilice el protocolo https, y siga utilizando el http, lo que quiere indicar que la conexión no es cifraza, y que por tanto un usuario mal intencionado podría hacerse con tus datos de login. En las tarjetas, y el comercio electrónico, ya era obligatorio utilizar el protocolo https, aunque ahora si alguien no cumple, también el navegador nos dará el aviso y sabremos que dicha web no es de fiar (en comercio electrónico).

A partir del 31 de enero, navegar por la web y si la web no utiliza protocolo https, chrome nos dará el siguiente aviso.

Como afecta esto a los usuarios. El aviso de no segura no quiere indicar que la web sea falsa, tenga virus, nos esté robando datos, simplemente que utiliza el protocolo http en vez del seguro con https. Para sitios como este, donde se pueden registrar usuarios para hacer comentarios, así como muchos otros blogs, foros … y un largo etc, que de el aviso de web no segura puede llegar a causar una espantada de usuarios, los cuales malinterpretan el aviso de no segura en referencia a si se navega con http o https, con que la web a la que quieren acceder haya sido hackeada, que no sea legítima o no digna de confianza.

Como afecta a los webmaster, dueños de webs. Aquí ya es otro tema, hoy en día casi todas las webs tienen un apartado de login de usuarios, que salga ese aviso en los navegadores, aunque en principio solo va a ser chrome, pero siendo el más utilizado, puede crear un impacto negativo en cuanto a visitantes que entran a la web, ven el mensaje y si no saben de que va el mensaje, se van pensando que la web ha sido comprometida, que le pueden colar algún malware, virus o troyano o querer hacerse con sus datos… O a saber que pensará el usuario.

A mi modo de ver, creo que las webs que no se adapten a esta nueva tendencia van a sufrir una pérdida de visitas, a aumentar la tasa de rebote y al final repercutir en el posicionamiento. Lo veo como una estrategia de google para pasar toda la web (nunca se puede decir toda) hacia una navegación cifrada e ir penalizando las que no lo hagan así.

Es un engorro, ya que los certificados en los proveedores de hosting, que lo coloquen, supone un gasto el invertir tiempo y hacer todos los cambios necesarios para que nuestros enlaces internos apunten ahora a https en vez de http. No se como será, en realidad, pero es algo que iré estudiando y en su momento poder hacer el tránsito lo más rápido y transparente posible.

 

Un saludo y a ver que pasa

Advertisment ad adsense adlogger