Primeros pasos para HTTPS en DesdeLinux

Hace menos de un mes les preguntábamos su opinión con respecto a HTTPS en DesdeLinux. Gracias a petercheco hace más de una semana el blog tiene habilitado el HTTPS, o sea, que pueden acceder a httpS://blog.desdelinux.net y les responderá el servidor.

Los motivos para pensar en HTTPS ya los hablamos antes, básicamente son:

  1. Google tomará en cuenta para el SEO sitios con HTTPS en el futuro.
  2. HTTPS es cifrado de información, lo cual se traduce en mayor seguridad para su información y la nuestra.

Como pueden ver, es un punto a nuestro favor en todos los sentidos implementar de forma adecuada HTTPS en nuestros sitios.

Referente al SEO y Google, si bien es cierto que de forma inmediata Google NO relacionará su PageRank con HTTPS, será algo que en un futuro tendrá relación directa, vamos, que influirá en nuestro SEO. Ahora mismo podemos usar herramientas para verificar nuestro SEO, inclusive estoy probando algunas aplicaciones para posicionamiento SEO disponibles que puedan tener versión para Android, pues bien, en un futuro la implementación o no de HTTPS será uno de los parámetros a medir.

Referente a seguridad de la información, es evidente que los logins (usuario y password) circulando en texto plano por la red no es lo más aconsejable, cualquiera con dos dedos de frente podría capturar un password y bueno… hacer lo que su imaginación le permita :)

HTTPS en DesdeLinux

Como dije antes, si acceden a httpS://blog.desdelinux.net les responderá nuestro servidor, su navegador les mostrará que el sitio no es de confianza y tal… porque no hemos pagado para que una empresa firme nuestro certificado como “válido”. Solo deben hacer clic en Descargar/Obtener Certificado y luego en Aprobarlo, eso bastará para que accedan al sitio.

Gracias a petercheco tenemos un certificado generado por nosotros mismos, porque quien les escribe sabe de servidores y demás pero… jeje, nunca había tenido que trabajar con SSL, por lo que les recomiendo se descarguen e importen en su navegador el CA nuestro.

Descargar CA de DesdeLinux

Para agregarlo aquí los pasos:

  1. Abrir Firefox
  2. Ir a Preferencias o Configuración
  3. Vamos a la sección Avanzado, específicamente la pestaña Certificados
  4. Hacemos clic en el botón Importar y buscamos el archivo que recién descargamos, y listo.

Aquí un screenshot:

certificados-firefox

Una vez esté agregado el certificado al navegador, ya podremos acceder al blog por HTTPS sin que nos aparezca el cartel de aviso 😉

¿Y ahora qué sigue?

Por lo pronto estamos probando HTTPS, que se muestre bien el blog por ahí y revisando que todo esté bien. Por lo que, cualquier error … favor de reportarlo 😉

Luego algo que tenemos pensado hacer es que el WP-Admin será obligatorio usarlo mediante HTTPS, pues lo primero que debemos proteger es el user & password de todos nosotros, para ello basta con agregar una línea en el wp-config.php de WordPress.

Este será (posiblemente) el próximo paso.

Bueno nada, ahí lo dejo por el momento. Espero feedback de ustedes a ver si todo funciona como se supone que funcione 😉

PD: El blog sigue funcionando por HTTP y por HTTPS, no se preocupen 😉

67 COMENTARIOS

  1. 1) para hacerlo en chrome, ir a configuración, mostrar opciones avanzadas, administrar certificados, pestaña entidades emisoras, importar, seleccionar el certificado y listo.

    2) Creo que el recuerdame del login de wordpress anda fallando porque despues de loguearme (y desembocar en el panel), entro al blog y me desloguea.

  2. HTTPS en un blog es absurdo, la mayoria de gente solo acceden a blogs para leerlos y para un acceso login, no hay nada de valor más que un usuario, una contraseña y el email. Por otro lado, hacerlo porque Google así lo estipula me da bastante miedo, ya que entonces ya damos la razón de que Google es el gobierno de Internet y el que no pase por su aro, se queda atrás. Igualmente se está mal interpretando el cambio de algoritmo de Google ya que no dice que todas las webs deban ser HTTPS pero si van a dar prioridad a contenido que requiere ser cifrado contra contenido que no lo es (Por ejemplo mercados o webs donde se maneje datos sensibles como tarjetas de crédito o información personal). Esto como sistema de seguridad está muy bien y estoy de acuerdo que haga eso Google pero no nos tenemos ahora que gastar 30 dólares al año por certificado y dominio para una simple web de información pública.

    Ahora bien, espero que tengais en cuenta que una web con certificado autofirmado SI está penado por Google, ya que va a salir alertas de que el sitio web es peligroso y no todo el mundo va a molestarse en agregar el certificado en su navegador.

    Un saludo.

    • …. porque Google así lo estipula?,…poco a poco el monopolio google va atrapando a GNU/Linux en su trampa mercantilista, y sus usuarios quedaran a merced de sus oscuros intereses de mercadotecnia. No se dan cuenta que ese monopolio google quiere meter en la intimidad de las personas que hasta piden numero telefónico con que fin? …para rastrear y saber todo lo que hace. Ahora ya no se va poder comentar libremente en estos foros….si no esta registrado en esta pagina? ….y todo por que?…porque así manda google.

      • Creo que estamos exagerando demasiado …

        ¿que no se podrá comentar libremente en DesdeLinux? … ¿que no se podrá comentar si no se está registrado? … esto nada, repito, NADA tiene que ver con Google o cualquier otra empresa, serían medidas que en caso de aplicar (aunque no veo motivos para hacerlo), serían decisión nuestra, no de otros.

        HTTPS no es propiedad de Google ni mucho menos, es simplemente HTTP pero la información viaja cifrada (protegida) por la red, nada más.

      • Que un hacker a través de un ataque MITM sepa que estoy leyendo un blog que puede acceder él mismo usando la misma dirección por la que accedo es lo que menos me preocupa, por eso me reafirmo que no todas las webs deben tener HTTPS obligatoriamente y creo que la postura de Google es priorizar en contenido cifrado cuyo tráfico de datos sensibles sea mayor al tráfico de visibilidad pública.

        Yo no lo veo bien ahora tener que pagar un X al año por un certificado y para los que manejan un dominio pase, pero los que tenemos más de 3 dominios registrados es un gasto que no nos podemos permitir de ninguna manera.

    • No es del todo cierto, especialmente en caso en que los usuarios sean lo suficientemente “inocentes” como para utilizar la misma contraseña en su e-mail. :)
      Abrazo! Pablo.

      • Comparto tu punto de vista @usemoslinux, muchos usuarios “inocentes” tienen la mala costumbre de usar el mismo usuario y contraseña para casi todo lo que hacen en Internet sin entender el riego que ello implica para su privacidad.

        Y hablando sobre el tema de privacidad, https no solo se implementa por seguridad, sino también por darle al usuario la capacidad de tener mayores niveles de privacidad y eso es algo positivo desde cualquier punto de vista, sin tener la necesidad de entrar en otras diatribas por ese tema.

      • Usar HTTPS siempre es positivo pero tampoco es para tirar el dinero. Solo implementarlo donde realmente sea necesario. Que los usuarios usen la misma contraseña en todos los sitios es como hacer 50 copias de la llave de tu casa y tirarlos por la calle, hasta que alguien sepa donde vives, ocurra una desgracia y te toque cambiar el bombín, pero no tengo a un cerrajero que sabe que hago eso y me pone uno anticopias. Si la gente no tiene cuidado con sus datos sensibles, por qué hemos de ayudarle a ellos si no se toman en serio algo que deberia tratarse con sentido común. Suena muy cruel esto último pero yo al menos he aprendido a base de desgracias y aún con mucha información sobre como debemos tratar nuestros datos, la mayoria no se toma en serio como deben tratar los datos.

        Gastar, en mi caso, 30 euros más al año por proteger a la gente de algo que no deberian hacer por sentido común, no me sale nada rentable.

  3. Hola. Muy buenas noticias. Con los sertificados autofirmados es todo un tema. Yo trabajo con openvpn y usa ssl para los certificados y no hay problemas. Pero para las webs si ya que si no tienen los mismos formados por una empresa del rubro es peor que no usar ssl. Y este tema de los ccertificados es una porqueria ya que te cobran locutas por los mismos.

  4. Si se entra en la web usando HTTPS, al entrar cualquier artículo no mantiene el protocolo si no que la petición a la entrada es usando HTTP. Vamos, que algunos enlaces no mantienen el protocolo (en el menu del header de la web si que lo mantiene)

  5. Hey, por qué no lo firmas con CAcert? así todos los que tengamos importados los certificados de CAcert no tendríamos que hacer una excepción a tu certificado, y nos entraría automáticamente al blog 😉

      • No tiene sentido alguno generar un certificado firmado por CAcert, ya que dicha autoridad no viene incluida por defecto en los navegadores web..

        Es lo mismo que la CA propia de desdelinux.net

      • no viene por defecto en los navegadores, pero CAcert es una entidad reconocida mundialmente, y gente como yo confiamos en ella e importamos los certificados de CAcert. Así, si el blog de desdelinux está certificado por CAcert, con más razón confio en que su certificado SSL es válido, y a parte no tengo que andar importando certificados independientes 😉

      • Es curioso lo que dices @biker.. ¿Confias en CAcert, pero no confias en el certificado y su propia CA emitidos por Desde Linux?

      • no se si alguna vez te han certificado por CAcert, pero el proceso es que te tienen que certificar mínimo unas 5 personas (aprox), y te checan como 3 identificaciones cada uno. Confío mucho en CAcert.. en cuanto al certificado de desdelinux, también confío en él, pero te daré un ejemplo, cómo se que el certificado no fue cambiado hace una hora por algún cracker, y estoy aceptando de inicio el certificado falso? no creo que esto haya pasado, simplemente digo que CAcert te sube un poco la confianza

      • Ademas @biker, ten en cuenta que la web de google tambien usa un certificado emitido por ellos (google Inc).. ¿Confias en ella? Porque es lo mismo.. La diferencia esta en que ellos han contactado a los developers de los navegadores web principales y estos han incluido su certificado CA por defecto en sus navegadores..

        Lo mismo lo puede hacer desdelinux.net..

      • Vamos a ver @biker,
        por un lado entiendo lo que dices.. Por otro lado precisamente para evitar que un hacker cambie la web de desdelinux.net a otra ubicacion con un certificado diferente, se os da para descarga la CA de desdelinux.net a la cual importas y con la cual estan firmados todos los certificados que se ubican en el servidor de desdelinux.. Si alguien hecha de baja el servidor real de desdelinux.net y impone el suyo con un certificado diferente al cual se habrá generado, este no será firmado por la autoridad real de desdelinux.net y a ti en el navegador te saldrá un mensaje diciendo que el certificado del servidor no corresponde con los certificados firmados por la CA original..

        Es imposible que algo pase.. Es por ello que cree tanto el certificado del servidor como la CA que los firma y no usé directamente un certificado autofirmado ya que este sí sería peligroso :).

  6. Enhorabuena KZKG^Gaara por el curro que has hecho y espero que todo vaya bien y que tengas pocos reportes.. Yo he navegado por el blog usando https y no vi nada que tenga que reportar :D.

    En cuanto al certificado de desdelinux.net.. El certificado de desdelinux.net no es autofirmado si no que lo firma una autoridad (CA) de desdelinux.net..

    Es por ello que este blog ofrece a descargar dicha autoridad..

    Es como la autoridad CAcert de la cual habla @biker.. Creo que no hay problema en importar un certificado en el navegador que tengan chicos y chicas.. :D.

    Por mi parte esta bien proteger la comunicación entre el cliente y el servidor cifrandola.

  7. Reportando desde el Inframundo: Bien, cuando accedí por https, me salió eso de la seguridad del certificado, le di entonces a Descargar el CA creado por petercheco, me salió una etiqueta donde me preguntaba si admitía instalar ese certificado para acceder el sitio, para recibir los mensajes desde él, etc., acepté todo y entré perfectamente al blog por https. Resultados: Lo único malo para mí es, como esperaba, que se me demora un poco la carga de las páginas, pero bueno eso no es como para cortarse la venas, si estoy apurada pues accedo a través del http y punto. Se agradece todos los esfuerzos de seguridad.

  8. A mi me da error, y no es porque no sea de una autoridad certificadora reconocida

    Detalles técnicos:
    blog.desdelinux.net uses an invalid security certificate. The certificate is not trusted because no issuer chain was provided. (Error code: sec_error_unknown_issuer)

  9. Yo me pregunto: si el certificado no está firmado por una entidad de seguridad reconocida, no seria mas sencillo (al menos en firefox) simplemente entrar en el sitio por https y cuando salga la advertencia, guardar permanentemente el certificado, como se hace normalmente con cualquier certificado autofirmado?

    • Bueno en Firefox puedes hacer una excepcion permanente, pero en IE creo que no.. Es mejor que cada uno importe la autoridad en su navegador y listo.

  10. Hola se que es no es el lugar, para mi problema pero tengo un problema tal vez me puedan ayudar. Estoy experimientando con Elementary Os, acabo de instalar el driver de Nvidia privativo el que dice (Recomendado). Desde que hice esto el sistema me arranca directamente como si fuera en la terminal, osea no me carga el aspecto grafico. Cuando entro con la segunda opcion (modo de recuperacion) y elijo la opcion continuar el boteo normal, ahi si levanta la parte grafica. Desde ya disculpas por postear aca esto y espero puedan ayudarme. Saludos

  11. Alguien que me oriente:
    He logrado instalar el certificado tanto en Firefox como en Qupzilla. Pero ahora que he reinstalado Maxthon no he pillado la forma de lograr instalar el certificado. ¿Alguien que lo haya logrado?
    Gracias :)

  12. Curioso tip… Conque no tienen el admin del wordpress con https?? Hmmm It looks like a hacker’s restaurant… Les recomiendo “Security for dummies” 😛

      • Sin pretender caer en una competencia de ofensas con diccionario en la que deberías creerme cuando te digo que tienes todas las de perderla, me gustaría sugerirte que fueras más allá de lo burlesco de mis palabras -o de la punta de tu nariz-.

        Hay una idea en ellas que, apelando a tu intelecto (definitivamente me equivoqué, perdón por sobreestimarte), supuse que serías capaz de asimilar de una manera suficientemente constructiva y no con la perretica/catarsis de niño de 9 años con la que la has asumido.

        Soporte de incomprensión social aparte, y por si aún estás leyendo estas líneas (puede darse el caso de que te haya sobreestimado otra vez y ahora mismo estés mordiendo una toalla en modo Anger Management), te comento, a modo de resumen de mi idea, que se me hace curioso el punto de que alguien que ha escrito tantas entradas que tienen que ver con seguridad en sistemas, ya sea web, o de cualquier otra índole, mantenga -luego de los varios años ya que tiene desdelinux- la interfaz de administración del blog en usando http plano.

        Nunca pregunté y la verdad es que no me interesó averiguarlo, pero siempre asumí que el admin de desdelinux corría -como medida primera de seguridad- sobre https (y no como una opción, sino no como LA OPCIÓN).

        Nada, ya se te pasará. De momento asume todo esto como un aporte más, solo. La muela de “críticas no constructivas” guárdala para quien en realidad se lo merezca.

        Tu socio, aún, Willians

  13. Muy interesante, he disfrutado leyendo. Después de tantos comentarios, no es fácil añadir algo, pero me surge una duda.

    Desde el momento en el que los usuarios visiten, comenten, etc. en otras webs, su seguridad sigue expuesta. Por ese motivo no le veo la utilidad, al no ser que se limiten solo a DesdeLinux.

    Saludos.

Dejar una respuesta