Pregunta: Implementación de HTTPS para acceder a DesdeLinux

Al igual que hicimos con la implementación relacionada con TOR, donde les preguntamos qué opinaban, les pedimos ideas o sugerencias, y al final llegamos a un resultado intermedio que fue aprobado por la mayoría de ustedes, aquí hacemos lo mismo con nuestra implementación de HTTPS, les pedimos su opinión al respecto.

Como muchos deben haber leído en sitios de la red, Google (quien para bien o para mal dicta lo referente a SEO) anunció que iba a tomar en cuenta la implementación o no de HTTPS en los sitios a la hora de darles una evaluación, influirá en el PageRank en un futuro (no lo duden), aunque ahora mismo dicen que solo será un peso mínimo, que casi no se tendrá en cuenta.

Sus palabras fueron:

Por ahora es solo una ligera señal –que afecta a menos del 1% de las consultas globales y tiene menos peso que otras señales como el contenido de alta calidad–, mientras damos tiempo para que los webmasters adopten el HTTPS. Pero con el tiempo, es posible que decidamos fortalecerlo, porque nos gustaría animar a todos los propietarios de sitios web para que cambien de HTTP a HTTPS a fin de mantener a todos a salvo en la web.

¿HTTPS? ¿es necesario?

No solo porque ahora Google decidió tenerlo en cuenta, sino porque HTTPS significa tráfico seguro, protegido de las miradas de curiosos o intrusos. O sea, cuando accedan a DesdeLinux otras personas en su misma red no podrán saber exactamente qué hacen en DesdeLinux, qué artículo comentan o leen, entre otras cosas claro.

Lo primero que debemos tener en cuenta es que al implementar HTTPS los datos del usuario viajarán cifrados por la red, significando seguridad ante todo, más allá de si ahora Google dice o no dice algo, y es precisamente por la seguridad que muchos sitios (Twitter, Google, Facebook, etc) abren automáticamente en HTTPS.

¿Al poner HTTPS se quitará HTTP?

Eh aquí la duda o interrogante que tengo. Se puede implementar HTTPS en DesdeLinux, entonces cuando alguien acceda a https://blog.desdelinux.net le abre en conexión cifrada, segura, y también dejar http, de forma tal que si se accede a https://blog.desdelinux.net igual abrirá, pero sin conexión segura.

O sea: Opción 1 -» Dejar tanto HTTPS como HTTP para que el usuario entre por la que especifique en su barra de navegación del navegador.

Otra cosa que se podría hacer es quitar el tráfico HTTP del sitio, mejor dicho, redireccionarlo a HTTPS.

Me refiero a que cuando un usuario acceda a https://blog.desdelinux.net será redireccionado automáticamente a https://blog.desdelinux.net

O sea: Opción 2 -» No permitir tráfico NO seguro en DesdeLinux, obligando al usuario a siempre usar HTTPS

Esa es la principal cuestión, que dejaré que ustedes la comenten, traten, aconsejen. Yo opto por dejar ambos, que sea a elección del usuario por cuál entrar, ¿qué opinan ustedes?

¿Proveedor de SSL?

Nuestro dominio está con NameCheap, el cual hace de «intermediario» o «plataforma» para adquirir un certificado SSL válido, o sea, que nos firmen el generado por nosotros en nuestro servidor y que cuando accedan a https://blog.desdelinux.net no les aparezca una ventana del navegador informándoles que el sitio es inseguro, o algo por el estilo.

NameCheap ofrece muchas opciones, o mejor dicho, tiene disponible varios proveedores, Comodo, RapidSSL, GeoTrust, etc. La duda me surge aquí… ¿alguien me recomienda alguno? … ¿han tenido experiencias en este tema?

Fin!

Bueno nada más que agregar, ahí dejo el post y quedo en espera de sus comentarios.

https


Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

      roader dijo

    Yo soy partidario de permitir solo trafico seguro , es mas facil de mantener asi .

         x11tete11x dijo

      +1

         KZKG^Gaara dijo

      En realidad no es difícil ni lo uno ni lo otro. Tanto como tener solo HTTPS como HTTP & HTTPS, es igual de simple, desde el punto de vista técnico no hay casi variación.

      El problema es que HTTPS es un poco más lento que HTTP, porque hace lo mismo pero agregando un X tiempo más que ocupa en cifrar los datos. Pregunto pensando en personas con un pobre ancho de banda, como este que te escribe 😉

           linuXgirl dijo

        En lo que a mí concierne, y teniendo el mismo problema que tú, pues me inclino por la seguridad, aunque la página tarde un poquito en cargar…. ¡¡¡Ayyy, no, no, no, he visto cómo se tarda en cargar, por ejemplo, Twitter, Facebook, etc!!!! ¡¡¡¡No, no, no, queeeé va… a mí me dejan el http pela’o, o en todo caso habiliten los dos: https y http… ya sin lío!!!!

             KZKG^Gaara dijo

          Tranquila que no se va a demorar ni remotamente como esos jaja aquí tenemos todo bien optimizado 🙂

           eliotime3000 dijo

        Cierto. Y eso me ha pasado en muchas ocasiones.

      AdrianArroyoCalle dijo

    Yo elijo la opción 1. Creo que los usuarios deberían poder elegir. Además mantiene mejor compatibilidad con dispositivos móviles algo anticuados. Por otra parte el certificado SSL es algo que nunca me convenció, se basa en que el proveedor de certificados al cliente se fía de la compañía que los emite y eso puede traer consecuencias vía acción humana bastante negativas, aunque de momento no ha pasado nada de eso.

      Jorge dijo

    Saludos!

    Me parece una excelente práctica permitir solo el trafico vía HTTPS
    Con nginx o apache es muy fácil redirigir las peticiones del puerto 80 al 443
    Con respecto al certificado, supongo que para ustedes es sencillo que su empresa firme el certificado, sin embargo, por temas de costo, también es posible generar un certificado autofirmado que funciona exactamente igual pero con una advertencia cuando los usuarios se conectan.

      eliotime3000 dijo

    Casi te digo CACert, pero ese proveedor de SSL ha obligado a los de Parabola GNU/Linux-Libre a redirigir toda su página a toda su wiki.

    En fin, no conozco otro servicio de SSL que me parezca realmente de fiar.

         gorlok dijo

      Pero el certificado raíz de CACert no viene incluído en ningún browser importante, no es muy diferente a usar un certificado autofirmado 😛 http://en.wikipedia.org/wiki/CAcert.org

      Si no hay problemas con el consumo de recursos, dejaría solo https. Si se dejan ambos, hay que dejar bien claro a los usuarios que tienen la posibilidad de usar https y que sino están en una conexión insegura. Me parece más simple usar solo https, pero es subjetivo.

      Por la CA… cualquiera conocida, la que sea más económica 😀

      Mstaaravin dijo

    Considero que la opción 1 tiene que ser la default, la compatibilidad es un factor importante a tener en cuenta.

    Y una pequeña correción sobre https

    El aumento de consumo de bandwith es prácticamente insignificante, lo que sí aumenta en forma importante es el consumo de CPU en el server pero, con los procesadores de hoy en dia eso es prácticamente impercetible aunque todo depende de la cantidad de tráfico que tienen.
    También deben considerar el contenido extra que publican como imágenes linkeadas (en frames también) que pueden estar disponibles sólo para http y dará un mensaje de advertencia en la mayoría de los browsers.

    Si no desean gastar en un certificado pueden generar uno gratuito class1 en http://www.startssl.com que estan ámpliamente soportados, incluso en muchos dispositivos móviles.

    Aunque usan nginx, una forma de paliar el consumo de CPU es sumando a W3Cache el uso de fast-cgi cache para no reprocesar tanto PHP.

    En principio eso.

      nano dijo

    Te lo dije antes y te lo digo acá, solo para que quede plasmado.

    Para mi lo mejor es permitir solo HTTPS, no veo que ventaja traiga dar la opción de usar un protocolo considerado inseguro, ¿Para que los usuarios puedan elegir? ¿Para las conexiones lentas? Bueno, yo tengo una conexión lenta (a lo sumo, como mucho de 1mb) y no me molesta, aunque tu tienes una bastante peor… pero creo yo que no vale la pena mantener dos protocolos, sabiendo que los usuarios por mas advertidos que estén, de seguro nos tienen marcados en http, y no lo van a cambiar, ni caso le harán; y los usuarios nuevos ni te imagines.

    Hermano, la cifra que me diste para pagar el certificado es alta para lo poco que manejamos, ¿Por qué gastar tanto si existe la posibilidad de que pocos lo usen? Mi voto va a favor de solo HTTPS, no veo de otra.

         elav dijo

      En Cuba por ejemplo, una mala práctica por parte de algunos de los Administradores de Redes, es cerrar el 443 para que no hayan «filtraciones». Por lo tanto, los lugares donde esto sucede no tendrían acceso a DesdeLinux.

           roader dijo

        Umm , en mi humilde ignorancia , creo recordar que http provee acceso desde otros puertos , supongo que con https se puede hacer lo mismo . Lo pones en otro puerto y te olvidas de problema . Maldita censura , eso demuestra que tor es muy necesario . Aqui en españa no les hace falta censura , total , la mayoria de la gente tiene el tarro comido y si les dices algo que no oyerón en las noticias te acusan de demagogo.

           petercheco dijo

        Bueno si en Cuba cierran el puerto 443 como dices, puedes usar puertos alternativos como 8443 o como yo suelo hacer 4433 :).. A Nginx o Apache les da igual lo que configures que se abra por default al ingresar desdelinux.net..

             KZKG^Gaara dijo

          Dejan abierto el 80 y a veces el 443… Pero el resto los cierran siempre 🙁

         Oktoberfest dijo

      1mb !!! eso es oro, te cuento que en la empresa que trabajo, en Cuba, somos unos de los que más ancho de banda tenemos comparadas con las más cercanas de la zona, y tenemos 512 kbits o sea la mitad de tienes tú, pero ahí no se queda la cosa, somos como 10 o 15 personas en la entidad que utiliza este canal, así que saque usted sus propias conclusiones, a veces tengo que utilizar bing.com porque google como utiliza https no me carga para hacer búsquedas…

      Miguel dijo

    Mejor martener las 2 opciones. Está claro que https es lo ideal por temas de privacidad, al fin y al cabo, a nadie le importa que estoy mirando, PERO resulta que en muchos sitios (universidades, escuelas….) se filtra ese tráfico para tener un mayor control (principalmente cortar proxys) y dejar sólo algunos sitios permitidos. Por tanto, mejor los dos protocolos.
    Un saludo a todos.

         KZKG^Gaara dijo

      Aquí en Cuba es igual

      Drarko dijo

    StartSSL.

    Te da un ceritificado valido y gratis por un año para tu dominio y un subdominio.

         KZKG^Gaara dijo

      Sería bueno tener los subdominios también por https, que son varios

           Drarko dijo

        En ese caso, no es gratis, sale u$s 59.99, creo que como en todos los otros.

      cristianhcd dijo

    htpps plis 😀

      petercheco dijo

    Hola chicos de desdelinux,
    os puedo generar un certificado ssl firmado por la autoridad StartCom la cual viene en todos los navegadores web por defecto.

    El certificado sería válido para 1 año desde el día que deseen y os lo haré gratis.. :D. Para el año que venga lo renovamos :).

    Espero vuestra contestación y saludo a toda la comunidad.

         petercheco dijo

      Una cosa más.. Recomiendo que se redirija de manera manera automática http a https y usar solo https en desdelinux.net 🙂

         KZKG^Gaara dijo

      Cuanto costaría en realidad. O se pueden obtener gratis?

           petercheco dijo

        59.90$ el básico para dos años :).. Pero ya te digo os puedo generar uno legalmente ahora mismo 😀

           petercheco dijo

        Bueno consultalo con Elav y si os interesa mandame a mi mail el mail con el que se verifique el certificado.. Por lo que veo los disponibles son :D:

        postmaster@desdelinux.net
        hostmaster@desdelinux.net
        webmaster@desdelinux.net
        abuse@enom.com
        desdelinux@myopera.com

        Mi mail ya lo conocen :). Os generaría también los subdominios.
        Un saludo..

           petercheco dijo

        También podéis crearos vuestra propia autoridad (CA) con la cual generarías vuestro propio certificado y ofrecer la parte pública de la CA a descargar para que los usuários de desdelinux puedan implementarla en sus navegadores web y así ver el sitio firmado correctamente por la autoridad de desdelinux :).

      Daniel dijo

    Tengo una duda, porque no implementan los buscadores un cifrado para las conexiones sin necesidad de que el proveedor utilice https.
    Yo tengo instalado, el https everywhere, el que supuestamente realiza esto en webs no cifradas.
    ¿No seria esto mas practico para todos?
    Puede venir activado/desactivado por defecto y el que lo desea puede desactivarlo/activarlo.

    Un saludo.

      Yukiteru dijo

    Es buena idea cambiarse a HTTPS, más que todo porque acá hay que hacer uso de cuentas de correo o acceder al usuario del blog para poder comentar, y haciendo eso, se da una capa de seguridad a los usuarios. Además, todos los navegadores actuales respetables ofrecen soporte HTTPS, así que dudo que haya algún impacto a la hora de acceder al sitio por parte de los usuarios.

      Yukiteru dijo

    Leyendo un poco sobre el Servicio de Certificados SSL de StartSSL puedo ver que le faltan algunas cositas como:

    * No ofrece soporte multidominio.
    * No ofrece soporte para múltiples emails.
    * No sirve para subdominios.
    * No ofrece detalles de identificación y organización.

    Algunas de estas cosas son útiles para el portal, en especial por el tema de autentificar el foro y el paste de una buena vez, y haciendo comparación con el servicio pago más barato, StartSSL se lleva el premio.

         Mstaaravin dijo

      * startssl.com sí permite wildcards, lo uso y todo el tiempo estoy generando certificados.
      * siempre hay un sólo mail válido con el que gestionar y hay un form que permite elegir cuál usar.
      * sí sirve para subdominios.
      * sí ofrece ese servicio pero pagando y verificando identidad, en este caso no sería necesario.

           Yukiteru dijo

        Ciertamente, StartSSL ofrece soporte wildcard, multidominio y todo eso pero…ES PAGO! Tu hablabas de la opción gratuita (se lo decías a KZKG), y por eso mismo hice la acotación más abajo, de que el servicio pago más barato era por mucho StartSSL donde si ofrece todo lo reseñado y que obviamente era mejor debido a como está constituido el blog y los distintos servicios que ofrece.

        PD: Leer *bien* no cuesta nada 🙂

      Leo dijo

    Opino que ambos protocolos serían útiles en diferentes casos. Pero lo mejor para mí sería que por omisión se entrara a desdelinux con https, en especial si se accede de google (creo que esto es mas fácil decirlo que hacerlo, ja.), pues en lo personal prefiero las conexiones seguras.

      santiago alessio dijo

    para mi seria mejor solo https aunque si no es mucho problema tecnico dejar los seria mejor para que los usuarios elijan, pero yo si peudo voy a usar siempre https

      DAVID HENRY dijo

    Lo mas practico para los usuarios seria redireccionar el trafico a https

      Mstaaravin dijo

    Por los comentarios me doy cuenta que somos pocos los que sugerimos proveer ambas funcionalidades y solamente yo aclarando lo que implica publicar bajo https, el resto creo son solo novatos que quieren https a toda costa sin pensar en sus consecuencias.

    Sorry…

         elav dijo

      Hombre es que desgraciadamente no todos tienen la misma situación y bueno, cada cual tira para lo suyo. Pero te entendemos.

           usemoslinux dijo

        Sin ser un experto en el tema… y no se puede hacer que por defecto la página utilice https y en caso de que el usuario no pueda acceder a ella (bloqueos, etc.) cargue la página http de siempre?
        O sea, usar la página http como un fallback?
        Abrazo! Pablo.

         Yukiteru dijo

      Es válido tu punto como dices hay que ver todas las posibilidades, y el principal problema de proveer HTTPS es para aquellas persona que están detrás de un proxy, firewall o sistema de filtrado que no les permita acceder a servicios seguros (Universidades, oficinas, países con bloqueos a internet), ese sería el mayor problema para los usuarios. Por el otro lado queda el asunto del impacto que tendría implementar SSL en el servidor (un impacto mínimo considerando el hardware actual) o sobre la «lentitud» que tendría la página a la hora de cargar haciendo uso HTTPS (hacer una comparación del tiempo de carga del blog con Facebook o Twitter, it’s wrong!!) pero la verdad me decanto más por HTTPS.

      NotFromBrooklyn dijo

    Entiendo que es casi igual el implementar sólo HTTPS con HTTP redirigido al primero o ambos. Entonces la duda es qué proveedor de SSL usar y aquí influye la confianza y el coste, ¿no?

    ¿Por qué no ahorarse ese dinero y a la vez usar un certificado de completa confianza? ¿Cómo? Dejar implementados tanto HTTP como HTTPS, crear vuestro propio certificado SSL (que pinchar en la pestañita aceptar, este certificado es de confianza, es fácil) y crear por ejemplo un post en el blog o un pequeño banner explicando a la gente que existe la posibilidad de comunicación cifrada y que el certificado es cifrado por vosotros.

    Tal como lo veo yo, visitar vuestra web en HTTP es depositar confianza en vosotros, entonces no hay ningún problema en aceptar vuestro propio certificado. Y los que no quieran añadir vuestro certificado a su browser, que se jo… y usen HTTP.

    No se vosotros, pero a mí personalmente me parece un absurdo tener aque utilizar un servicio de terceros para hacer algo que yo mismo puedo hacer sin ninguna complicación ni ningún coste.

         elav dijo

      Lo mismo pienso yo y se lo he dicho a mi colega. Prefiero crear un certificado propio aunque no este homologado y ya esta. Li importante en este caso es la seguridad, no?

           dhunter dijo

        Elav usar un certificado propio es lo mismo que no usar ninguno, te hacen un man-in-the-middle muy fácil y no te enteras porque como «confías» en el sitio das aceptar, por eso es la idea de que los navegadores ya vienen con los CA autorizados y validan los certificados contra estos, de esa forma a menos que te hayan filtrado un browser con los CA modificados, este siempre te avisa.

             elav dijo

          Si lo sé, pero quién me dice a mi que esa garantía por la que se pagan hasta 100 dólares no es vulnerable igual? Mira todo el rollo que se armó con el SSL, y se suponía lo más seguro de la Web.

           petercheco dijo

        Es justo lo que he escrito ayer arriba.. Exportan la parte pública de vuestra propia CA y la ofrecen para su descarga en la parte del banner por dar un ejemlo.. Luego cada uno de nosotros nos la podemos importar en nuestros navegadores y listo.. Sitio verificado :D.

           Joaquin dijo

        Estoy de acuerdo con lo que dice @petercheco, se podría hacer un banner en una esquina anunciando la novedad y que lleve a un post donde se explica todo.

      Vozidea dijo

    Yo no tocaría nada hasta que Google haga publica la docuemntación para mantener las dos versiones HTTP/S y no perder SEO. En mi opinión implementar HTTPS no es una broma, require bastante trabajo.

         elav dijo

      Buena idea.

         Mstaaravin dijo

      No es una broma para alguien que no sabe ni es administrador de servidores.

           Zeokat dijo

        Pues compañero, aún hoy a 2017 el migrar y auditar una migración de HTTP a HTTPS sigue dando dolores de cabeza por muy sysadmin-pro que te creas.

        Sólo hay que ver como está implementado en tu blog para darse cuenta de que lo has hecho mal. Como tu bien dices ni se, ni soy sysadmin, pero… tu siendolo (o al menos creyendo que lo eres) has demostrado que no tienes ni idea.

        Desde luego yo no te contrataría como sysadmin viendo la chapuza que has hecho.

      Rotietip dijo

    Si preguntaban esto hace unos años hubiera dicho que eligieran la opción 2 sin dudarlo pero, ¿que hay con los usuarios de móviles que solo se conectan por el plan de datos que le ofrece su compania telefónica? Muchos de ellos tienen una cantidad de X bits para consumir al día (por lo general entre 500 MB a 1 o 2 GB según el plan y la empresa). Ya que https requiere un consumo adicional de ancho de banda, si se bloquea el trafico no seguro muchos podrían pensárselo dos veces antes de ver el sitio desde un smartphone sin wifi cerca, y eso podría repercutir negativamente en las visitas.

         petercheco dijo

      Esto es una tontería.. Lo que estas diciendo tu condiciona el contenido de la página web y no el certificado ssl..

      Pedro Romero dijo

    primero que nada tengan un coordial saludo, me gusta mucho su blog, lo sigo desde que estoy en el mundo de la informatica y me ha parecido muy bueno.

    desde mi punto de vista personal y experiencia si posees un http existe la posibilidad de que cuando un usuario se conecte pueda ser victima del man in the midle forzando a ver la coneccion sin cifrado, la otra cosa es que muchos navegadores o dispositivos no poseen el SSL caso que ocurre aqui en Venezuela donde la tegnologica es costosa…

         Yukiteru dijo

      SSL viene integrado en casi todos los navegadores actuales (incluso IE lo trae), además a nivel de dispositivos móviles, la mayoría de ellos ya vienen con ese soporte también, así que si usas Blackberry, Android, Firefox OS, Nokia OS, o BREW no debes preocuparte por eso 🙂

      Franz dijo

    Acaso de verdad creen que los certificados X.509, son seguros ?
    http://64.233.185.141/translate_c?depth=1&hl=es&ie=UTF8&nv=1&prev=_m&rurl=translate.google.com.cu&sl=auto&tl=es&u=http://okturtles.com/&usg=ALkJrhgh7R1XoVQIboP9GTkaBW_mwXuq4Q
    O sea que encrypted.google.com es más seguro qué startpage.com/esp/download-startpage-plugin.html , lo dudo bastante.

      rawBasic dijo

    Yo voy a por una opción híbrida, tener tanto https como http redirigida a conexiones https seguras.. ..y una opción de subdominio que sería la entrada al blog pero http, como: portucuenta.desdelinux.net – inseguro.desdelinux.net.. ..o similar, haciendo al usuario totalmente voluntario y conciente su decisión de una conexión no segura..

      AurosZx dijo

    Pues… me parece que es suficiente con activar HTTPS y que redireccione si se trata de entrar con HTTP. O sea, la opción alterna 1.

      Bart dijo

    En resumen y calibrando los mejores comentarios, parece evidente inclinarse por la opcion 1.

      Gonzalo dijo

    Aparte al usar https las webs nos podemos saltar los filtros de muchos proxys que usan empresas, en la mía por ejemplo usando https me puedo saltar los filtros de contenido del proxy >:)

      kevinjhon dijo

    elijo la opción 1

      Horacio dijo

    tengo una pregunta que consume mas ancho de banda http o https y cuanto en que proporción, depende del certificado usado 128, 256 bits, etc.
    gracias