Desde 2014 Google viene impulsando el uso del protocolo HTTPS y certificados SSL en todas las páginas web. En un comunicado oficial informó que HTTPS empezaría a tomar influencia en su algoritmo de posicionamiento. Ahora pasados 3 años podemos considerar que estamos ante un proceso maduro y vemos que la mayoría de los sitios implementan este protocolo. Veamos que nos aporta HTTPS:

Nos ofrece SEGURIDAD al cifrar la comunicación entre nuestro servidor y el navegador del usuario. Esto impide que la información sensible (ej. nombre de usuario, contraseñas, dirección y otros datos personales) pueda ser robada durante el trayecto. Por otro lado, nuestro servidor se identificará ante el usuario mediante un certificado SSL. Así nuestros usuarios podrán estar seguros que están tratando con nosotros y nosotros podemos se lo hemos puesto más difícil a quienes intenter suplantar nuestra identidad. Por tanto la segunda ventaja del protocolo HTTPS es que ayuda a generar CONFIANZA, mejorando la experiencia de usuarios para nuestra web y como dijimos anteriormente mejorará nuestro posicionamiento en Google

Sin embargo, es necesario disponer de un certificado SSL reconocido, lo que en muchos casos obtener un certificado SSL supone un desembolso importante. ¿A qué se debe esto? El certificado SSL es el «pasaporte» de nuestro sitio Web y como todo pasaporte válido tiene que ser expedido por una autoridad reconocida. Aunque podemos emitir nuestros propios certificados, estos no generarán la confianza suficiente en aquellos usuarios que no nos conozcan.

Por suerte la situación ha cambiado desde hace poco más de un año. Hoy en día es posible utilizar certificados gratuitos emitidos por Let’s Encrypt. Estos certificados son reconocidos por cualquier navegador, el proceso de instalación y renovacion se puede automatizar totalmente y son totalmente gratuitos. Por tanto ya no hay impedimentos para implementar esta capa de seguridad en nuestro servidor web. Let’s Encrypt nos ofrece todo lo necesario para implementarlo y muchos proveedores de hosting ya lo incluyen en sus servicios. Puedes consultar la lista aquí y en caso de duda consultar con tu proveedor de alojamiento.

Instalación del certificado SSL de Let’s Encrypt

Para instalar el certificado, utilizaremos Certbot, el cliente recomendado por Let’s Encrypt. En la página seleccionamos el software de nuestro servidor web y el Sistema Operativo de nuestra máquina (en nuestro caso Apache sobre Ubuntu 16.04)  y nos aparecen las instrucciones que debemos introducir en la consola de nuestro servidor:

sudo apt-get update
sudo apt-get install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install python-certbot-apache

Estos comandos como pdoemos adivinar, instalan el software necesario para utilizar Certbot. El siguiente paso es ejecutar el configurador para Apache sudo certbot --apache. El ejecutar este comando, se solicitará a Let’s Encrypt un certificado para cada dominio configurado en nuestro servidor, el cual se configurá automáticamente para utilizarlos. 

Indicamos los números (separados por coma o espacio) de los dominios para los cuales instalaremos el certificado, si lo dejamos en blanco se realizará el proceso para todos los dominios mostrados.

Pulsamos entrar. Si algún certificado válido ya hubiese sido generado anteriormente para cualquiera de los dominios seleccionados tendremos la opcion de reinstalarlo (1) o forzar su renovación (2)

Finalmente tendremos la opción de redirigir automáticamente todas las peticiones hacia la versión segura de nuestra web (2) o mantenerlas independientes (1). Lo habitual es que todo el trafico se dirija a la versión con HTTPS.

También tenemos la opción de generar y descargar los certificados pero sin realizar la instalación automática, para aquellos casos en los que sea necesario configurar manualmente el servidor.  En ese caso el comando a ejecutar sería: sudo certbot --apache certonly

Renovación de los certificados SSL

Los certificados emitidos por Let’s Encrypt tienen una validez de 90 días. Como explican en su web esto tiene dos objetivos, en primer lugar aumentar la seguridad (se aplican las mismas consideraciones que aconsejan renovar las contraseñas con cierta frecuencia) y en segundo lugar potenciar la automatización del proceso de renovación.

La renovación automática se instala con el paquete de Certbot, podemos comprobar su correcto funcionamiento ejecutando en nuestro terminal sudo certbot renew --dry-run

Si por algún motivo deseamos renovar manualmente el certificado usaremos el comando: sudo certbot renew

Consideraciones finales

Una vez finalizado el proceso, nuestro servidor será seguro

Si no fuese así y no hemos recibido avisos de error durante el proceso, debemos repasar nuestra web para comprobar que todo el contenido se sirve desde páginas seguras.  Si en nuestro navegador vemos esta imagen, esto indica que parte del contenido se sirve desde urls no seguras.  Debemos actualizar los enlaces correspondientes y prestar mucha atención al contenido externo.

Si utilizamos el inspector del navegador veremos cuales son los enlaces que hay que corregir

En el caso de los scripts, es extremadamente importante asegurarnos que el acceso se hace mediante https. En caso contrario, las restricciones de seguridad prodrían provocar fallos en nuestra página.

0 0 votes
Valoración del artículo
Suscribir
Notificar de
guest
0 Comentarios
Newest
Oldest Most Voted
Inline Feedbacks
View all comments