Todos a encriptar: chao HTTP hola HTTPS

La mayoría de sitios web suelen empezar con “http://”, mientras que un selecto grupo empiezan con “https://”. Ese selecto grupo solía estar reservado a sitios de compra en línea, bancos y una que otra institución pública. La razón es simple, cuando se ingresa a estos sistemas hay que estar seguros que nadie pueda espiar la información que se envía y recibe de estos sistemas. Por ejemplo, el usuario y la clave de un sistema de banca en línea.

La diferencia entre http y https, es que en el primero nuestra comunicación puede ser fácilmente interceptada sin que nos demos cuenta, mientras que con https esto va a ser muy difícil que suceda. ¿Existe alguna razón por la cuál nuestra actividad en línea pueda ser espiada por terceros? Considero que no, motivo por el cuál hace poco migré este sitio web de http a https. Fue bastante fácil y espero que otros también lo hagan.

¡Este 2017 todos a encriptar!Si bien instalar servidores https es algo que se puede hacer hace mucho, no era una tarea sencilla.  Se tenía que pagar para tener un certificado que sea válido en todos los navegadores.

Para simplificar la tarea  y masificar el uso de https nació el proyecto Let’s Encrypt que permite automatizar e instalar los certificados de cifrado para https. Este proyecto es patrocinados por varias organizaciones de internet como: EFF, Linux Foundation, Mozilla, Automatic (creadores de WordPress), pero también Cisco, Chorme, Facebook, entre otros. Acá pueden revisar el listado completo de auspiciantes y personas detrás de Let’s Encrypt. Es importante destacar que el software que necesitamos instalar en nuestros equipos es software libre,

Instalación

Asistente de configuración de Cerbot que permite escoger sistema operativo y servidor web. https://certbot.eff.org

Gracias a Let’s Encrypt y 10 minutos de investigación sobre su configuración, este blog funciona a través de https siempre. La instalación es bastante simple si el sitio web funciona con GNU/Linux y además se tiene acceso a la línea de comando. Básicamente hay que seguir estas instrucciones. En caso de no tener acceso a la línea de comandos hay otras opciones.

En mi caso utilizo Debian Jessie con Apache lo primero que hay que hacer es configurar  los repositorios backports. Para esto hay que editar el archivo /etc/apt/sources.list y añadir la siguiente línea:

deb http://ftp.debian.org/debian wheezy-backports main

Una vez actualizado los repositorios hay que actualizar e instalar el paquete python-certbot-apache:

apt-get update
apt-get install python-certbot-apache -t jessie-backports

Una vez instalado el hay que ejecutar el programa cerbot que tiene la opción para configurar apache automáticamente.

certbot --apache

Luego hay que seguir el asistente que permite configurar los dominios que se quiere proteger con ese certificado y si se quiere que sitio funcione siempre con https.

Pocos segundos después http://rafael.bonifaz.ec se convirtió en https://rafael.bonifaz.ec :). Cerbot realizó toda la configuración necesaria de Apache. Tengo una instalación bastante estándar, en otros casos recomiendo revisar más a profundidad la configuración de Let’s Encrypt. Los certificados duran 3 meses, pero el paquete de cerbot ejecuta las tareas para automatizar la renovación del certificado.

En el caso de WordPress tuve que modificar la base de datos para que ciertas imágenes ya no sean servidas como http.

El resultado

Una vez terminada la migración decidí comparar mi certificado con el del sistema de banca línea en el portal SSLLabs. El resultado, dice que debería cambiar de banco 🙁

Artículos relacionados

4 pensamientos en “Todos a encriptar: chao HTTP hola HTTPS

    • Creo que en los proveedores que te permiten subir las claves a través de su panel se puede. Es un poco más complicado, pero se puede. Hay otros proveedores que ya permiten usar letsencrypt. en la página de ellos hay un listado

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

You can encrypt your comment so that only Rafael Bonifaz can read it.