Primeros pasos para HTTPS en DesdeLinux

Hace menos de un mes les preguntábamos su opinión con respecto a HTTPS en DesdeLinux. Gracias a petercheco hace más de una semana el blog tiene habilitado el HTTPS, o sea, que pueden acceder a httpS://blog.desdelinux.net y les responderá el servidor.

Los motivos para pensar en HTTPS ya los hablamos antes, básicamente son:

  1. Google tomará en cuenta para el SEO sitios con HTTPS en el futuro.
  2. HTTPS es cifrado de información, lo cual se traduce en mayor seguridad para su información y la nuestra.

Como pueden ver, es un punto a nuestro favor en todos los sentidos implementar de forma adecuada HTTPS en nuestros sitios.

Referente al SEO y Google, si bien es cierto que de forma inmediata Google NO relacionará su PageRank con HTTPS, será algo que en un futuro tendrá relación directa, vamos, que influirá en nuestro SEO. Ahora mismo podemos usar herramientas para verificar nuestro SEO, inclusive estoy probando algunas aplicaciones para posicionamiento SEO disponibles que puedan tener versión para Android, pues bien, en un futuro la implementación o no de HTTPS será uno de los parámetros a medir.

Referente a seguridad de la información, es evidente que los logins (usuario y password) circulando en texto plano por la red no es lo más aconsejable, cualquiera con dos dedos de frente podría capturar un password y bueno… hacer lo que su imaginación le permita 🙂

HTTPS en DesdeLinux

Como dije antes, si acceden a httpS://blog.desdelinux.net les responderá nuestro servidor, su navegador les mostrará que el sitio no es de confianza y tal… porque no hemos pagado para que una empresa firme nuestro certificado como «válido». Solo deben hacer clic en Descargar/Obtener Certificado y luego en Aprobarlo, eso bastará para que accedan al sitio.

Gracias a petercheco tenemos un certificado generado por nosotros mismos, porque quien les escribe sabe de servidores y demás pero… jeje, nunca había tenido que trabajar con SSL, por lo que les recomiendo se descarguen e importen en su navegador el CA nuestro.

Descargar CA de DesdeLinux

Para agregarlo aquí los pasos:

  1. Abrir Firefox
  2. Ir a Preferencias o Configuración
  3. Vamos a la sección Avanzado, específicamente la pestaña Certificados
  4. Hacemos clic en el botón Importar y buscamos el archivo que recién descargamos, y listo.

Aquí un screenshot:

certificados-firefox

Una vez esté agregado el certificado al navegador, ya podremos acceder al blog por HTTPS sin que nos aparezca el cartel de aviso 😉

¿Y ahora qué sigue?

Por lo pronto estamos probando HTTPS, que se muestre bien el blog por ahí y revisando que todo esté bien. Por lo que, cualquier error … favor de reportarlo 😉

Luego algo que tenemos pensado hacer es que el WP-Admin será obligatorio usarlo mediante HTTPS, pues lo primero que debemos proteger es el user & password de todos nosotros, para ello basta con agregar una línea en el wp-config.php de WordPress.

Este será (posiblemente) el próximo paso.

Bueno nada, ahí lo dejo por el momento. Espero feedback de ustedes a ver si todo funciona como se supone que funcione 😉

PD: El blog sigue funcionando por HTTP y por HTTPS, no se preocupen 😉


67 comentarios, deja el tuyo

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

  1.   5ull1v4n dijo

    Probando implementacion, mientras tanto la mejor de las suertes para que nada se caiga.

  2.   diazepan dijo

    1) para hacerlo en chrome, ir a configuración, mostrar opciones avanzadas, administrar certificados, pestaña entidades emisoras, importar, seleccionar el certificado y listo.

    2) Creo que el recuerdame del login de wordpress anda fallando porque despues de loguearme (y desembocar en el panel), entro al blog y me desloguea.

    1.    diazepan dijo

      ya está lo del login. no se preocupen.

    2.    NauTiluS dijo

      En mi caso, estoy usando chromium, me esta pidiendo la contraseña que fue usada para encriptar el certificado??? algo muy raro que me pida eso.

      En el caso de firefox, se ha importado correctamente.

      Alguna ayuda??

      1.    petercheco dijo

        Hola NauTiluS, acabo de probarlo en Chromium 36 y el ultimo Chrome 37 y no hay problema alguno.

      2.    diazepan dijo

        es en la pestaña entidades emisoras, no en la de tus certificados

      3.    NauTiluS dijo

        Tengo el 37 y aquí fue donde me dio ese inconveniente

      4.    NauTiluS dijo

        Se me olvido, te paso un vídeo que hice con los pasos que doy y el fallo comentado.

      5.    NauTiluS dijo

        Te paso el vídeo aquí, con los pasos dados.
        https://vimeo.com/105256304

        pd: favor algún moderador que borre el comentario anterior, ya que la tecla enter fue presionada por error.

      6.    petercheco dijo

        El certificado lo debes importar en la pestaña con el nombre Autoridades y no en tus certificados como haces en tu video.. Dale clic a la pestaña con el nombre Autoridades :).

      7.    NauTiluS dijo

        Listo petercheco.

        Es la primera vez que lo hago en chromium :!

  3.   Pes dijo

    HTTPS en un blog es absurdo, la mayoria de gente solo acceden a blogs para leerlos y para un acceso login, no hay nada de valor más que un usuario, una contraseña y el email. Por otro lado, hacerlo porque Google así lo estipula me da bastante miedo, ya que entonces ya damos la razón de que Google es el gobierno de Internet y el que no pase por su aro, se queda atrás. Igualmente se está mal interpretando el cambio de algoritmo de Google ya que no dice que todas las webs deban ser HTTPS pero si van a dar prioridad a contenido que requiere ser cifrado contra contenido que no lo es (Por ejemplo mercados o webs donde se maneje datos sensibles como tarjetas de crédito o información personal). Esto como sistema de seguridad está muy bien y estoy de acuerdo que haga eso Google pero no nos tenemos ahora que gastar 30 dólares al año por certificado y dominio para una simple web de información pública.

    Ahora bien, espero que tengais en cuenta que una web con certificado autofirmado SI está penado por Google, ya que va a salir alertas de que el sitio web es peligroso y no todo el mundo va a molestarse en agregar el certificado en su navegador.

    Un saludo.

    1.    elav dijo

      Interesante comentario. Yo en lo personal no apoyo lo del https, y me has dado un buen motivo para reafirmar mi posición.

    2.    robet dijo

      …. porque Google así lo estipula?,…poco a poco el monopolio google va atrapando a GNU/Linux en su trampa mercantilista, y sus usuarios quedaran a merced de sus oscuros intereses de mercadotecnia. No se dan cuenta que ese monopolio google quiere meter en la intimidad de las personas que hasta piden numero telefónico con que fin? …para rastrear y saber todo lo que hace. Ahora ya no se va poder comentar libremente en estos foros….si no esta registrado en esta pagina? ….y todo por que?…porque así manda google.

      1.    KZKG^Gaara dijo

        Creo que estamos exagerando demasiado …

        ¿que no se podrá comentar libremente en DesdeLinux? … ¿que no se podrá comentar si no se está registrado? … esto nada, repito, NADA tiene que ver con Google o cualquier otra empresa, serían medidas que en caso de aplicar (aunque no veo motivos para hacerlo), serían decisión nuestra, no de otros.

        HTTPS no es propiedad de Google ni mucho menos, es simplemente HTTP pero la información viaja cifrada (protegida) por la red, nada más.

    3.    KZKG^Gaara dijo

      No es poner HTTPS por ponerlo, sigo pensando que los datos del login viajen en texto plano es una MALA, MUY MALA idea.

      1.    Pes dijo

        Que un hacker a través de un ataque MITM sepa que estoy leyendo un blog que puede acceder él mismo usando la misma dirección por la que accedo es lo que menos me preocupa, por eso me reafirmo que no todas las webs deben tener HTTPS obligatoriamente y creo que la postura de Google es priorizar en contenido cifrado cuyo tráfico de datos sensibles sea mayor al tráfico de visibilidad pública.

        Yo no lo veo bien ahora tener que pagar un X al año por un certificado y para los que manejan un dominio pase, pero los que tenemos más de 3 dominios registrados es un gasto que no nos podemos permitir de ninguna manera.

    4.    usemoslinux dijo

      No es del todo cierto, especialmente en caso en que los usuarios sean lo suficientemente «inocentes» como para utilizar la misma contraseña en su e-mail. 🙂
      Abrazo! Pablo.

      1.    Yukiteru dijo

        Comparto tu punto de vista @usemoslinux, muchos usuarios «inocentes» tienen la mala costumbre de usar el mismo usuario y contraseña para casi todo lo que hacen en Internet sin entender el riego que ello implica para su privacidad.

        Y hablando sobre el tema de privacidad, https no solo se implementa por seguridad, sino también por darle al usuario la capacidad de tener mayores niveles de privacidad y eso es algo positivo desde cualquier punto de vista, sin tener la necesidad de entrar en otras diatribas por ese tema.

      2.    petercheco dijo

        Coincido con los dos :).

      3.    Pes dijo

        Usar HTTPS siempre es positivo pero tampoco es para tirar el dinero. Solo implementarlo donde realmente sea necesario. Que los usuarios usen la misma contraseña en todos los sitios es como hacer 50 copias de la llave de tu casa y tirarlos por la calle, hasta que alguien sepa donde vives, ocurra una desgracia y te toque cambiar el bombín, pero no tengo a un cerrajero que sabe que hago eso y me pone uno anticopias. Si la gente no tiene cuidado con sus datos sensibles, por qué hemos de ayudarle a ellos si no se toman en serio algo que deberia tratarse con sentido común. Suena muy cruel esto último pero yo al menos he aprendido a base de desgracias y aún con mucha información sobre como debemos tratar nuestros datos, la mayoria no se toma en serio como deben tratar los datos.

        Gastar, en mi caso, 30 euros más al año por proteger a la gente de algo que no deberian hacer por sentido común, no me sale nada rentable.

    1.    elav dijo

      Si, tienes razón, algo anda mal..

    2.    petercheco dijo

      El certificado no esta mal instalado.. Esta correcto todo. Lo que informa dicha pagina es que no es un certificado firmado por alguna de las principales entidades emisoras de certificados..

      DESDELINUX.NET tiene su propia CA :).

      1.    petercheco dijo

        Además afirma que se trata del servidor correcto con su ip correcta:

        blog.desdelinux.net = 69.61.93.35

        Lo cual le da seguridad a los usuarios de que se trata del servidor de desdelinux.net tal i como figura en la configuracion DNS del dominio.

      2.    eliotime3000 dijo

        Y hasta Firefox/Iceweasel me lo da a entender de forma sencilla.

      1.    petercheco dijo

        Hola @Franco
        te digo lo mismo que a @Mstaaravin.. Lo que informa dicha pagina es que no es un certificado firmado por alguna de las principales entidades emisoras de certificados..

        En ningún caso esta afectado con Heartbleed.

      2.    KZKG^Gaara dijo

        Un pequeño fix en el server y ya no me muestra la vulnerabilidad, gracias por el dato.

  4.   biker dijo

    Hey, por qué no lo firmas con CAcert? así todos los que tengamos importados los certificados de CAcert no tendríamos que hacer una excepción a tu certificado, y nos entraría automáticamente al blog 😉

    1.    elav dijo

      Que raro, cuando intentas darte de alta en CAcert te salta la página de que no es un certificado válido jajajaja

      1.    petercheco dijo

        Ahí lo has clabado Elav jajajaja

      2.    petercheco dijo

        Me disculpo.. en vez de clabado.. clavado..

      3.    biker dijo

        ya tienes puntos en CAcert? si nadie te ha respaldado, creo que no te dejará subir tu certificado =/

      4.    biker dijo

        no viene por defecto en los navegadores, pero CAcert es una entidad reconocida mundialmente, y gente como yo confiamos en ella e importamos los certificados de CAcert. Así, si el blog de desdelinux está certificado por CAcert, con más razón confio en que su certificado SSL es válido, y a parte no tengo que andar importando certificados independientes 😉

      5.    biker dijo

        no se si alguna vez te han certificado por CAcert, pero el proceso es que te tienen que certificar mínimo unas 5 personas (aprox), y te checan como 3 identificaciones cada uno. Confío mucho en CAcert.. en cuanto al certificado de desdelinux, también confío en él, pero te daré un ejemplo, cómo se que el certificado no fue cambiado hace una hora por algún cracker, y estoy aceptando de inicio el certificado falso? no creo que esto haya pasado, simplemente digo que CAcert te sube un poco la confianza

      6.    KZKG^Gaara dijo

        Exactamente ese es el problema, no podemos subir el certificado nuestro 😀

        ¿alguien nos echa una mano?

      7.    petercheco dijo

        No tiene sentido alguno generar un certificado firmado por CAcert, ya que dicha autoridad no viene incluida por defecto en los navegadores web..

        Es lo mismo que la CA propia de desdelinux.net

      8.    petercheco dijo

        Para el que no me crea: http://es.wikipedia.org/wiki/CAcert.org

      9.    petercheco dijo

        Es curioso lo que dices @biker.. ¿Confias en CAcert, pero no confias en el certificado y su propia CA emitidos por Desde Linux?

      10.    petercheco dijo

        Ademas @biker, ten en cuenta que la web de google tambien usa un certificado emitido por ellos (google Inc).. ¿Confias en ella? Porque es lo mismo.. La diferencia esta en que ellos han contactado a los developers de los navegadores web principales y estos han incluido su certificado CA por defecto en sus navegadores..

        Lo mismo lo puede hacer desdelinux.net..

      11.    petercheco dijo

        Vamos a ver @biker,
        por un lado entiendo lo que dices.. Por otro lado precisamente para evitar que un hacker cambie la web de desdelinux.net a otra ubicacion con un certificado diferente, se os da para descarga la CA de desdelinux.net a la cual importas y con la cual estan firmados todos los certificados que se ubican en el servidor de desdelinux.. Si alguien hecha de baja el servidor real de desdelinux.net y impone el suyo con un certificado diferente al cual se habrá generado, este no será firmado por la autoridad real de desdelinux.net y a ti en el navegador te saldrá un mensaje diciendo que el certificado del servidor no corresponde con los certificados firmados por la CA original..

        Es imposible que algo pase.. Es por ello que cree tanto el certificado del servidor como la CA que los firma y no usé directamente un certificado autofirmado ya que este sí sería peligroso :).

  5.   Luciano Lagassa dijo

    Hola. Muy buenas noticias. Con los sertificados autofirmados es todo un tema. Yo trabajo con openvpn y usa ssl para los certificados y no hay problemas. Pero para las webs si ya que si no tienen los mismos formados por una empresa del rubro es peor que no usar ssl. Y este tema de los ccertificados es una porqueria ya que te cobran locutas por los mismos.

  6.   irozgar dijo

    Si se entra en la web usando HTTPS, al entrar cualquier artículo no mantiene el protocolo si no que la petición a la entrada es usando HTTP. Vamos, que algunos enlaces no mantienen el protocolo (en el menu del header de la web si que lo mantiene)

    1.    KZKG^Gaara dijo

      Sí en efecto, esto aún falta pues hay que modificar el loop o algo del core de WordPress, o al menos esta es la primera solución que encuentro 🙂

  7.   petercheco dijo

    Enhorabuena KZKG^Gaara por el curro que has hecho y espero que todo vaya bien y que tengas pocos reportes.. Yo he navegado por el blog usando https y no vi nada que tenga que reportar :D.

    En cuanto al certificado de desdelinux.net.. El certificado de desdelinux.net no es autofirmado si no que lo firma una autoridad (CA) de desdelinux.net..

    Es por ello que este blog ofrece a descargar dicha autoridad..

    Es como la autoridad CAcert de la cual habla @biker.. Creo que no hay problema en importar un certificado en el navegador que tengan chicos y chicas.. :D.

    Por mi parte esta bien proteger la comunicación entre el cliente y el servidor cifrandola.

    1.    KZKG^Gaara dijo

      Las gracias a tí por la ayuda.

      Esperemos solucionar los detalles que aún quedan 🙂

      1.    petercheco dijo

        De nada KZKG^Gaara. Me alegra poder ayudar un poco :).

  8.   Yukiteru dijo

    Probando y va sin problemas.

  9.   linuXgirl dijo

    Reportando desde el Inframundo: Bien, cuando accedí por https, me salió eso de la seguridad del certificado, le di entonces a Descargar el CA creado por petercheco, me salió una etiqueta donde me preguntaba si admitía instalar ese certificado para acceder el sitio, para recibir los mensajes desde él, etc., acepté todo y entré perfectamente al blog por https. Resultados: Lo único malo para mí es, como esperaba, que se me demora un poco la carga de las páginas, pero bueno eso no es como para cortarse la venas, si estoy apurada pues accedo a través del http y punto. Se agradece todos los esfuerzos de seguridad.

    1.    linuXgirl dijo

      Ya me está cargando más rápido, era solo un problema de velocidad de la banda ancha de acá… del inframundo.

  10.   santiago alessio dijo

    funciona perfecto pero al acceder a los articulos y moverme entre paginas usa http por defecto, hay forma que use siempre https ?

    1.    Joaquin dijo

      Concuerdo, me pasa lo mismo.

  11.   Problema dijo

    A mi me da error, y no es porque no sea de una autoridad certificadora reconocida

    Detalles técnicos:
    blog.desdelinux.net uses an invalid security certificate. The certificate is not trusted because no issuer chain was provided. (Error code: sec_error_unknown_issuer)

  12.   Hugo dijo

    Yo me pregunto: si el certificado no está firmado por una entidad de seguridad reconocida, no seria mas sencillo (al menos en firefox) simplemente entrar en el sitio por https y cuando salga la advertencia, guardar permanentemente el certificado, como se hace normalmente con cualquier certificado autofirmado?

    1.    petercheco dijo

      Bueno en Firefox puedes hacer una excepcion permanente, pero en IE creo que no.. Es mejor que cada uno importe la autoridad en su navegador y listo.

  13.   linuXgirl dijo

    A mí me salió así.

  14.   salvipablo dijo

    Hola se que es no es el lugar, para mi problema pero tengo un problema tal vez me puedan ayudar. Estoy experimientando con Elementary Os, acabo de instalar el driver de Nvidia privativo el que dice (Recomendado). Desde que hice esto el sistema me arranca directamente como si fuera en la terminal, osea no me carga el aspecto grafico. Cuando entro con la segunda opcion (modo de recuperacion) y elijo la opcion continuar el boteo normal, ahi si levanta la parte grafica. Desde ya disculpas por postear aca esto y espero puedan ayudarme. Saludos

  15.   mat1986 dijo

    Alguien que me oriente:
    He logrado instalar el certificado tanto en Firefox como en Qupzilla. Pero ahora que he reinstalado Maxthon no he pillado la forma de lograr instalar el certificado. ¿Alguien que lo haya logrado?
    Gracias 🙂

    1.    petercheco dijo

      Acabo de intentarlo, pero por lo visto aunque esta basado en Chrome no tiene dichas opciones..

  16.   Yeretik dijo

    Curioso tip… Conque no tienen el admin del wordpress con https?? Hmmm It looks like a hacker’s restaurant… Les recomiendo «Security for dummies» 😛

    1.    KZKG^Gaara dijo

      Willians, como hay confianza y nos conocemos hace años te lo diré por lo claro, las críticas no constructivas te las puedes meter… ya sabes por donde.
      A joder y molestar para otra parte ¬_¬

      1.    Yeretik dijo

        Sin pretender caer en una competencia de ofensas con diccionario en la que deberías creerme cuando te digo que tienes todas las de perderla, me gustaría sugerirte que fueras más allá de lo burlesco de mis palabras -o de la punta de tu nariz-.

        Hay una idea en ellas que, apelando a tu intelecto (definitivamente me equivoqué, perdón por sobreestimarte), supuse que serías capaz de asimilar de una manera suficientemente constructiva y no con la perretica/catarsis de niño de 9 años con la que la has asumido.

        Soporte de incomprensión social aparte, y por si aún estás leyendo estas líneas (puede darse el caso de que te haya sobreestimado otra vez y ahora mismo estés mordiendo una toalla en modo Anger Management), te comento, a modo de resumen de mi idea, que se me hace curioso el punto de que alguien que ha escrito tantas entradas que tienen que ver con seguridad en sistemas, ya sea web, o de cualquier otra índole, mantenga -luego de los varios años ya que tiene desdelinux- la interfaz de administración del blog en usando http plano.

        Nunca pregunté y la verdad es que no me interesó averiguarlo, pero siempre asumí que el admin de desdelinux corría -como medida primera de seguridad- sobre https (y no como una opción, sino no como LA OPCIÓN).

        Nada, ya se te pasará. De momento asume todo esto como un aporte más, solo. La muela de «críticas no constructivas» guárdala para quien en realidad se lo merezca.

        Tu socio, aún, Willians

  17.   José Miguel dijo

    Muy interesante, he disfrutado leyendo. Después de tantos comentarios, no es fácil añadir algo, pero me surge una duda.

    Desde el momento en el que los usuarios visiten, comenten, etc. en otras webs, su seguridad sigue expuesta. Por ese motivo no le veo la utilidad, al no ser que se limiten solo a DesdeLinux.

    Saludos.

  18.   Juank dijo

    StartSSL da certificados válidos como las empresas pagas pero totalmente gratis 🙂

  19.   AurosZx dijo

    Hasta ahora parece que funciona bien. Es un buen comienzo.

  20.   Mario Tello dijo

    No han probado con https://www.startssl.com/ ofrece certificados gratis, otra buena opción es https://www.cacert.org/, hace días me lei este post https://www.sslshopper.com/article-free-ssl-certificates-from-a-free-certificate-authority.html