[Aporte] Instalar certificado ssl gratuito con Let's encrypt por culpa de chrome

Iniciado por warcry., 7 Agosto 2018, 20:45 PM

0 Miembros y 1 Visitante están viendo este tema.

warcry.

El navegador Google Chrome identificará como "no seguros" todos los sitios web que utilicen el protocolo de transferencia HTTP a partir de julio de este año 2018, y admitirá solamente aquellas páginas que utilicen el sistema cifrado HTTPS. El bloqueo de páginas HTTP entrará en vigor con la difusión de la nueva versión del navegador de Google, Chrome 68, cuyo lanzamiento está previsto para el mes de julio de 2018.

Así que si te sale esta pantallita pues te han jodido, porque el que no tenga experiencia al respecto pensará que está en un sitio con contenido malicioso.


Así que teniendo en cuenta que Chrome es usado por casi el 60% de los usuarios, pues los chicos de Google me han obligado a actualizarme, para que luego digan que no están en posición de monopolio.


Entonces el que tiene una sencilla web que tiene que hacer, pues existe una opción buena, bonita y barata, más bien a coste cero.

Esta opción se llama Let's encrypt donde si tu servidor web es de la familia unix es relativamente fácil solicitar un certificado ssl para tu dominio, sin datos bancarios, sin nombres, sin dni.

Cuando digo que es relativamente fácil, es porque el soporte mayoritario es para debian y si no te mueves en este entorno, pues te tienes que liar a instalar un montón de dependencias para conseguir hacer funcionar la herramienta certbot.

Mi solución ha sido sencilla, para no liarme ha instalar dependencias, he arrancado una live debian, he añadido la fuente al sources.list

deb-src http://ftp.debian.org/debian jessie-backports main

Y he actualizado la Live

apt-get update && apt-get upgrade -y

Una vez actualizado, he montado mi servidor web sobre debian ya que no utilizo los típicos servidores web como apache, y he instalado certbot.

apt-get install certbot

Después lo ejecutas

certbot certonly --webroot -w /var/www/html -d laurldetudominio

Si tienes subdominios pues los añades después de la url de tu web siempre precedidos de -d

Aceptas los términos, introduces un correo para notificaciones y te crea el certificado que tiene una validez de 90 días.

Es fácil automatizar el proceso con un simple script para que cada x días te renueve el certificado, pero en mi caso al estar en una live y debian no ser mi unix de cabecera pues con un simple Snapshot de vmware suficiente.

fuente yo  ;)
HE SIDO BANEADO --- UN PLACER ---- SALUDOS

warcry.

Acabo de actualizar chrome, que tenia la versión 67 y pico a la 68.0.3440.84

y lo que decían que parecía que se iba a acabar el mundo no ha sido para tanto.

lo único que sale en una web http es el simbolito negro de exclamación que ya salia antes y unas letras en gris clarito que pone "no es seguro"

no hay ningún candado rojo o pantalla de advertencia como había leído por ahí, en fin nada llamativo para el usuario
HE SIDO BANEADO --- UN PLACER ---- SALUDOS

Elmer

Hola,

Gracias por la guía. Si bien no pasa lo que mencionas, es muy importante de todas formas actualizar tu dominio con certificado porque también ayuda a que google nos posicione mejor.

Se ve bastante fácil con certbot, lo probaré la próxima vez que necesite instalar una certificación.

warcry.

No pretendia hacer una guia, simplemente comentar lo que habia hecho debido a la presion de google.

aunque debi primero actualizar el navegador y ver cuales eran las consecuencias antes de tirarme a la piscina, pero bueno ya esta hecho  :P

hay un tema con chincheta que si tiene pinta de ser una guia

https://foro.elhacker.net/seguridad/tutorial_certificado_https_iexclgratis-t445507.0.html

lo que pasa es que es del 2015, no se si estará en vigor o estará desactualizada, eso que lo decidan los moderadores que para eso les pagan  ;D

Cita de: Elmer en  9 Agosto 2018, 12:05 PM

es muy importante de todas formas actualizar tu dominio con certificado porque también ayuda a que google nos posicione mejor.


A mi como me posicione google me da igual, ya que no tengo publicidad en mi web y no vendo nada, solo la tengo ahí con fines "educativos"  :xD :xD :xD

lo que no me daría igual es que alguien que quiera entrar a ver el contenido, pues que le empezaran a saltar warning como si se fuera acabar el mundo.
HE SIDO BANEADO --- UN PLACER ---- SALUDOS

warcry.

Bueno sigo en este tema por no abrir otro.

en el hilo de este tema comentaba que había puesto https en mi web, pues bien, hoy, día de asueto, me he dedicado a configurar el servidor, y a ponerlo un poco en orden.

El motivo principal es que mi móvil se conectaba por tls 1.0 por defecto, protocolo bastante anticuado.

Para el que no lo sepa tls significa Transport Layer Security y sustituye a ssl Secure Sockets Layer en el tema de la navegación https.

Pues bien, vamos por la versión tls 1.2 que es lo normal, aunque algunos como este foro utilicen ya la versión tls 1.3  de hecho si le hacéis un scan a la url del foro te pone "Experimental This server supports TLS 1.3"

cuando he echo un scan a mi server, lo tenia configurado como el culo, jajajaja lo unico en verde que tenia era el certificado y encima mal puesto, en casa del herrero cuchillo de palo.  ;-)

tampoco es una cosa que me preocupe en demasía ya que una web tipo blog, pues tampoco pasa nada, pero lo he modificado por el que dirán, ya tengo mis barritas en verde y mi calificación A.

si me aburro estos días miro lo del tema de incluir el protocolo tls 1.3 pero ahora mismo tampoco le veo mucho sentido a eso, igual alguno me da una razón convincente.

edito: No soy muy fan de utilizar versiones beta, me gusta usar estables y con algún tiempo en funcionamiento, para que estén limados los fallos que pueda tener.

Pero al ser una web tipo blog y no necesitar una seguridad exagerada he implementado el protocolo TLS 1.3


Pero mola eso e ver Experimental: This server supports TLS 1.3 (draft28).  ::)
HE SIDO BANEADO --- UN PLACER ---- SALUDOS