Fa menys d'un mes els preguntàvem la seva opinió pel que fa a HTTPS a DesdeLinux. gràcies a petxec fa més d'una setmana el bloc té habilitat el HTTPS, és a dir, que poden accedir a httpS://blog.desdelinux.net i els respondrà el servidor.
Els motius per pensar en HTTPS i als parlem abans, bàsicament són:
- Google prendrà en compte per al SEO llocs amb HTTPS en el futur.
- HTTPS és xifrat d'informació, la qual cosa es tradueix en més seguretat per a la seva informació i la nostra.
Com poden veure, és un punt al nostre favor en tots els sentits implementar de forma adequada HTTPS en els nostres llocs.
Referent a l'SEO i Google, Si bé és cert que de forma immediata Google NO relacionarà el seu PageRank amb HTTPS, serà una cosa que en un futur tindrà relació directa, anem, que influirà en el nostre SEO. Ara mateix podem fer servir eines per verificar el nostre SEO, inclusivament estic provant algunes aplicacions per a posicionament SEO disponibles que puguin tenir versió per a Android, doncs bé, en un futur la implementació o no de HTTPS serà un dels paràmetres a mesurar.
Referent a seguretat de la informació, És evident que els logins (usuari i password) circulant en text pla per la xarxa no és el més aconsellable, qualsevol amb dos dits de front podria capturar un password i bo ... fer el que la seva imaginació li permeti 🙂
HTTPS a DesdeLinux
Com he dit abans, si accedeixen a httpS://blog.desdelinux.net els respondrà nostre servidor, el seu navegador els mostrarà que el lloc no és de confiança i tal ... perquè no hem pagat perquè una empresa ferma nostre certificat com «vàlid». Només han de fer clic a Baixa / Obtenir Certificat i després a aprovar-lo, això serà suficient perquè accedeixin a el lloc.
Gràcies a petxec tenim un certificat generat per nosaltres mateixos, perquè qui els escriu sap de servidors i altres però ... jeje, mai havia hagut de treballar amb SSL, per la qual cosa els recomano es descarreguin i s'importin al teu navegador el CA nostre.
Per afegir aquí els passos:
- obrir Firefox
- Anar a preferències o Configuració
- Anem a la secció Avançat, Específicament la pestanya Certificats
- Fem clic al botó Importa i busquem l'arxiu que recentment descarreguem, i llest.
Aquí un screenshot:
Un cop estigui agregat el certificat a el navegador, ja podrem accedir a l'bloc per HTTPS sense que ens aparegui el cartell d'avís 😉
¿I ara què segueix?
D'antuvi estem provant HTTPS, que es mostri bé el bloc per aquí i revisant que tot estigui bé. Pel que, qualsevol error ... favor de reportar-😉
Després una cosa que tenim pensat fer és que el WP-Admin serà obligatori fer-lo servir mitjançant HTTPS, doncs el primer que hem de protegir és el user & password de tots nosaltres, per això n'hi ha prou amb afegir una línia al wp-config.php de WordPress.
Aquest serà (possiblement) el proper pas.
Bé res, aquí ho deixo de moment. Espero feedback de vosaltres a veure si tot funciona com se suposa que funcioni 😉
PD: El bloc continua funcionant per HTTP i per HTTPS, no es preocupin 😉
Provant implementacion, mentrestant la millor de les sorts perquè res caigui.
1) per fer-ho en chrome, anar a configuració, mostrar opcions avançades, administrar certificats, pestanya entitats emissores, importar, seleccionar el certificat i llest.
2) Crec que el Recordar de la connexió de de wordpress camina fallant perquè després de loguearme (i desembocar en el panell), entro a el blog i em desloguea.
ja està el de l'login. no es preocupin.
En el meu cas, estic fent servir chromium, em aquesta demanant la contrasenya que va ser usada per xifrar el certificat ??? cosa molt estrany que em demani això.
En el cas de firefox, s'ha importat correctament.
Alguna ajuda ??
Hola Nautilus, acabo de provar-ho en Chromium 36 i l'últim Chrome 37 i no hi ha cap problema.
és a la pestanya entitats emissores, no en la dels teus certificats
Tinc el 37 i aquí va ser on em va donar aquest inconvenient
Es m'oblido, et passo un vídeo que vaig fer amb els passos que dono i la decisió comentat.
Et passo el vídeo aquí, amb els passos fets.
https://vimeo.com/105256304
pd: favor algun moderador que esborri el comentari anterior, ja que la tecla enter va ser pressionada per error.
El certificat ho has importar a la pestanya amb el nom Autoritats i no en els teus certificats com fas en el teu vídeo .. Dóna-li clic a la pestanya amb el nom Autoritats :).
A punt petercheco.
És el primer cop que ho faig en chromium:!
HTTPS en un bloc és absurd, la majoria de gent només accedeixen a blocs per llegir-los i per a un accés login, no hi ha res de valor més que un usuari, una contrasenya i el correu electrònic. D'altra banda, fer-ho perquè Google així ho estipula em fa força por, ja que llavors ja donem la raó que Google és el govern d'Internet i el que no passi per la seva cèrcol, es queda enrere. Igualment està malament interpretant el canvi de algoritme de Google ja que no diu que tots els webs hagin de ser HTTPS però si donaran prioritat al contingut que requereix ser xifrat contra contingut que no ho és (Per exemple mercats o webs on es manegi dades sensibles com targetes de crèdit o informació personal). Això com a sistema de seguretat està molt bé i estic d'acord que faci això Google però no ens tenim ara de gastar 30 dòlars a l'any per certificat i domini per a una simple web d'informació pública.
Ara bé, espero que tingueu en compte que un web amb certificat autofirmat SI està penat per Google, ja que sortirà alertes que el lloc web és perillós i no tothom va a molestar-se a afegir el certificat al seu navegador.
Una salutació.
Interessant comentari. Jo en el personal no suport el de l'https, i m'has donat un bon motiu per reafirmar la meva posició.
.... perquè Google així ho estipula?, ... a poc a poc el monopoli google va atrapant GNU / Linux en la seva trampa mercantilista, i els seus usuaris quedaran a mercè dels seus foscos interessos de màrqueting. No s'adonen que aquest monopoli google vol ficar en la intimitat de les persones que fins demanen nombre telefònic amb què tal? ... per rastrejar i saber tot el que fa. Ara ja no es va poder comentar lliurement en aquests fòrums ... si no aquesta registrat en aquesta pàgina? ... i tot per que? ... perquè així mana google.
Crec que estem exagerant massa ...
que no es podrà comentar lliurement a DesdeLinux? … què no es podrà comentar si no s'està registrat? … això res, repeteixo, RES no té a veure amb Google o qualsevol altra empresa, serien mesures que en cas d'aplicar (encara que no veig motius per fer-ho), serien decisió nostra, no d'altres.
HTTPS no és propietat de Google de cap manera, és simplement HTTP però la informació viatja xifrada (protegida) per la xarxa, res més.
No és posar HTTPS per posar-ho, segueixo pensant que les dades de la connexió de viatgin en text pla és una MALA, MOLT MALA idea.
Que un hacker a través d'un atac MITM sàpiga que estic llegint un bloc que pot accedir ell mateix fent servir la mateixa direcció per la qual accedeixo és el que menys em preocupa, per això em reafirmo que no totes les webs han de tenir HTTPS obligatòriament i crec que la posició de Google és prioritzar en contingut xifrat el tràfic de dades sensibles sigui major a l'trànsit de visibilitat pública.
Jo no ho veig bé ara haver de pagar un X a l'any per un certificat i per als que manegen un domini passi, però els que tenim més de 3 dominis registrats és una despesa que no ens podem permetre de cap manera.
No és d'el tot cert, especialment en cas en què els usuaris siguin prou «innocents» com per utilitzar la mateixa contrasenya al correu electrònic. 🙂
Abraçada! Pau.
Comparteixo el teu punt de vista @usemoslinux, molts usuaris «innocents» tenen el mal costum d'utilitzar el mateix usuari i contrasenya per a gairebé tot el que fan a Internet sense entendre el reg que això implica per a la seva privacitat.
I parlant sobre el tema de privacitat, https no només s'implementa per seguretat, sinó també per donar-li a l'usuari la capacitat de tenir majors nivells de privacitat i això és una cosa positiva des de qualsevol punt de vista, sense tenir la necessitat d'entrar en altres diatribes per aquest tema.
Coincideixo amb els dos :).
Utilitza HTTPS sempre és positiu però tampoc és per tirar els diners. Només implementar-on realment sigui necessari. Que els usuaris facin servir la mateixa contrasenya a tot arreu és com fer 50 còpies de la clau de casa teva i llençar-los pel carrer, fins que algú sàpiga on vius, passi una desgràcia i et toqui canviar el bombí, però no tinc a un manyà que sap que faig això i em posa XNUMX anticòpies. Si la gent no va amb compte amb les seves dades sensibles, per què hem d'ajudar a ells si no es prenen seriosament una cosa que hauria de tractar-se amb sentit comú. Sona molt cruel això últim però jo al menys he après a força de desgràcies i encara amb molta informació sobre com hem de tractar les nostres dades, la majoria no es pren seriosament com han de tractar les dades.
Gastar, en el meu cas, 30 euros més a l'any per protegir la gent d'alguna cosa que no haurien de fer per sentit comú, no em surt gens rendible.
El certificat està malament instal·lat ...
http://www.sslshopper.com/ssl-checker.html#hostname=blog.desdelinux.net
Si, tens raó, alguna cosa va malament ..
El certificat no està malament instal·lat .. Aquesta correcte tot. El que informa aquesta pàgina és que no és un certificat signat per alguna de les principals entitats emissores de certificats ..
DESDELINUX.NET té la seva pròpia CA :).
A més afirma que es tracta del servidor correcte amb el seu ip correcta:
bloc.desdelinux.net = 69.61.93.35
La qual cosa dóna seguretat als usuaris que es tracta del servidor de desdelinux.net tal com figura a la configuració DNS del domini.
I fins Firefox / Iceweasel m'ho dóna a entendre de forma senzilla.
https://filippo.io/Heartbleed/#blog.desdelinux.net
Hola @Franco
et dic el mateix que a @Mstaaravin .. El que s'informa aquesta pàgina és que no és un certificat signat per alguna de les principals entitats emissores de certificats ..
En cap cas aquesta afectat amb heartbleed.
Un petit fix al server i ja no em mostra la vulnerabilitat, gràcies per la dada.
Hey, per què no ho signatures amb CAcert? així tots els que tinguem importats els certificats de CAcert no hauríem de fer una excepció al teu certificat, i ens entraria automàticament a l'bloc 😉
Que estrany, quan intentes donar-te d'alta al CAcert et salta la pàgina que no és un certificat vàlid jajajaja
Aquí ho has clabado ILAV jajajaja
Em disculpo .. en comptes de clabado .. clavat ..
ja tens punts en CAcert? si ningú t'ha donat suport, crec que no et deixarà pujar el teu certificat = /
no ve per defecte als navegadors, però CAcert és una entitat reconeguda mundialment, i gent com jo hi confiem i importem els certificats de CAcert. Així, si el bloc de desdelinux està certificat per CAcert, amb més raó confio que el seu certificat SSL és vàlid, ia part no he de caminar important certificats independents 😉
no sé si mai t'han certificat per CAcert, però el procés és que t'han de certificar mínim unes 5 persones (aprox), i et xecen com a 3 identificacions cadascun. Confio molt en CAcert.. quant al certificat de desdelinux, també confio en ell, però et donaré un exemple, com sé que el certificat no va ser canviat fa una hora per algun cracker, i estic acceptant dinici el certificat fals? no crec que això hagi passat, simplement dic que CAcert et puja una mica la confiança
Exactament aquest és el problema, no podem pujar el certificat nostre 😀
¿Algú ens dóna un cop de mà?
No té cap sentit generar un certificat signat per CAcert, ja que aquesta autoritat no ve inclosa per defecte en els navegadors web ..
És el mateix que la CA pròpia de desdelinux.net
Pel qual no em crea: http://es.wikipedia.org/wiki/CAcert.org
És curiós el que dius @biker. Confies en CAcert, però no confies en el certificat i la seva pròpia CA emesos per Desde Linux?
A més @biker, tingues en compte que el web de google també utilitza un certificat emès per ells (google Inc) .. ¿confies en ella? Perquè és el mateix .. La diferència està en que ells han contactat als developers dels navegadors web principals i aquests han inclòs el seu certificat CA per defecte en els seus navegadors ..
El mateix ho pot fer desdelinux.net..
Anem a veure @biker,
d'una banda entenc el que dius. D'altra banda precisament per evitar que un hacker canviï la web de desdelinux.net a una altra ubicacio amb un certificat diferent, se us dóna per a descarrega la CA de desdelinux.net a la qual importes i amb la qual estan signats tots els certificats que s'ubiquen al servidor de desdelinux.. Si algú feta de baixa el servidor real de desdelinux.net i imposa el seu amb un certificat diferent del qual s'haurà generat, aquest no serà signat per l'autoritat real de desdelinux.net ia tu al navegador et sortirà un missatge dient que el certificat del servidor no correspon amb els certificats signats per la CA original.
És impossible que alguna cosa passi .. És per això que creu tant el certificat de servidor com la comunitat autònoma que els signa i no vaig fer servir directament un certificat autosignat ja que aquest sí que seria perillós :).
Hola. Molt bones notícies. Amb els sertificados autofirmados és tot un tema. Jo treball amb openvpn i fa servir SSL per als certificats i no hi ha problemes. Però per als webs si ja que si no tenen els mateixos formats per una empresa de la rúbrica és pitjor que no fer servir SSL. I aquest tema dels ccertificados és una porqueria ja que et cobren locutas pels mateixos.
Si s'entra a la web usant HTTPS, a l'entrar qualsevol article no manté el protocol sinó que la petició a l'entrada és usant HTTP. Anem, que alguns enllaços no mantenen el protocol (en el menú de l'header del web si que el manté)
Sí en efecte, això encara falta doncs cal modificar el loop o alguna cosa de l'core de WordPress, o al menys aquesta és la primera solució que trobo 🙂
Enhorabona KZKG ^ Gaara per la feina que has fet i espero que tot vagi bé i que tinguis pocs informes .. Jo he navegat pel bloc usant https i no vaig veure res que hagi de reportar: D.
Pel que fa al certificat de desdelinux.net.. El certificat de desdelinux.net no és autosignat sinó que ho signa una autoritat (CA) de desdelinux.net..
És per això que aquest blog ofereix a descarregar aquesta autoritat ..
És com l'autoritat CAcert de la qual parla @biker .. Crec que no hi ha problema en importar un certificat al navegador que tinguin nois i noies ..: D.
Per la meva part aquesta bé protegir la comunicació entre el client i el servidor xifrant.
Les gràcies a tu per l'ajuda.
Esperem solucionar els detalls que encara queden 🙂
De res KZKG ^ Gaara. M'alegra poder ajudar una mica :).
Provant i va sense problemes.
Reportant des del Inframundo: Bé, quan vaig accedir per https, em va sortir això de la seguretat de l'certificat, li vaig donar llavors a Descarregar el CA creat per petercheco, em va sortir una etiqueta on em preguntava si admetia instal·lar aquest certificat per accedir al lloc, per rebre els missatges des d'ell, etc., vaig acceptar tot i vaig entrar perfectament a l'bloc per https. Resultats: L'única cosa dolenta per a mi és, com s'esperava, que se m'ha demora una mica la càrrega de les pàgines, però bé això no és com per tallar-se la venes, si estic apurada doncs accedeixo a través del http i punt. S'agraeix tots els esforços de seguretat.
Ja m'està carregant més ràpid, era només un problema de velocitat de la banda ampla d'aquí ... de l'inframón.
funciona perfecte però a l'accedir als articles i moure entre pàgines fa servir http per defecte, hi ha manera que faci servir sempre https?
Coincideixo, em passa el mateix.
A mi em dóna error, i no és perquè no sigui d'una autoritat certificadora reconeguda
Detalls tècnics:
bloc.desdelinux.net uses an invalid security certificate. El certificat no és trusted because no issuer chain was provided. (Error code: sec_error_unknown_issuer)
Jo em pregunto: si el certificat no està signat per una entitat de seguretat reconeguda, no seria més senzill (al menys en firefox) simplement entrar en el lloc per https i quan surti l'advertència, guardar permanentment el certificat, com es fa normalment amb qualsevol certificat autosignat?
Bé en Firefox pots fer una excepció permanent, però en IE crec que no .. És millor que cada un import l'autoritat en el seu navegador i llest.
A mi em va sortir així.
Hola es que és no és el lloc, per al meu problema però tinc un problema potser em puguin ajudar. Estic experimientando amb Elementary Us, acabo d'instal·lar el controlador de Nvidia privatiu el que diu (Recomanat). Des que vaig fer això el sistema em arrenca directament com si fos a la terminal, o sigui no em carrega l'aspecte gràfic. Quan entro amb la segona opció (manera de recuperacion) i trio la opció continuar el boteo normal, ahi si aixeca la part gràfica. Des de ja disculpes per postejar aca això i espero puguin ajudar-me. Salutacions
Algú que em orient:
He aconseguit instal·lar el certificat tant en Firefox com a Qupzilla. Però ara que he reinstal·lat Maxthon no he enxampat la forma d'aconseguir instal·lar el certificat. Algú que l'hagi aconseguit?
gràcies
Acabo de intentar-ho, però pel que es veu encara està basat en Chrome no té aquestes opcions ..
Curiós tipus de ... Conque no tenen el admin de l'wordpress amb https ?? Hmmm It looks like a hacker 's restaurant ... Els recomano «Security for dummies» 😛
Willians, com hi ha confiança i ens coneixem de fa anys t'ho diré pel clar, les crítiques no constructives te les pots ficar ... ja saps per on.
A fotre i molestar a una altra banda ¬_¬
Sense pretendre caure en una competència d'ofenses amb diccionari en què hauries de creure quan et dic que tens totes les de perdre-la, m'agradaria suggerir-te que fossis més enllà del que burlesc de les meves paraules -o de la punta del teu nas-.
Hi ha una idea en elles que, apel·lant al teu intel·lecte (definitivament em vaig equivocar, perdó per sobreestimarte), vaig suposar que series capaç d'assimilar d'una manera prou constructiva i no amb la perretica / catarsi de nen de 9 anys amb la que l'has assumit .
Suport d'incomprensió social a part, i per si encara estàs llegint aquestes línies (pot donar-se el cas que t'hagi sobreestimat una altra vegada i ara mateix estiguis mossegant una tovallola en mode Anger Management), et comento, a tall de resum de la meva idea, que se'm fa curiós el punt que algú que ha escrit tantes entrades que tenen a veure amb seguretat en sistemes, ja sigui web, o de qualsevol altra índole, mantingui -després dels diversos anys ja que té desdelinux- la interfície d'administració del bloc utilitzant http pla.
Mai vaig preguntar i la veritat és que no em va interessar esbrinar-ho, però sempre vaig assumir que l'admin de desdelinux corria -com a mesura primera de seguretat- sobre https (i no com una opció, sinó no com L'OPCIÓ).
Res, ja se't passarà. De moment assumeix tot això com una aportació més, sol. El queixal de «crítiques no constructives» guarda-la per a qui en realitat s'ho mereixi.
El teu soci, encara, Williams
Molt interessant, he gaudit llegint. Després de tants comentaris, no és fàcil afegir alguna cosa, però em sorgeix un dubte.
Des del moment en què els usuaris visitin, comentin, etc. en altres webs, la seguretat continua exposada. Per aquest motiu no li veig la utilitat, tret que es limitin només a DesdeLinux.
Salutacions.
Startssl dóna certificats vàlids com les empreses pagues però totalment gratis 🙂
Fins ara sembla que funciona bé. És un bon començament.
No han provat amb https://www.startssl.com/ ofereix certificats gratis, una altra bona opció és https://www.cacert.org/, Fa dies em lei aquest post https://www.sslshopper.com/article-free-ssl-certificates-from-a-free-certificate-authority.html