Etiquetas

Consigue tu certificado digital gratis

Certificado digital

En este pequeño hilo os explicaré lo que es un certificado digital, para que sirve, como conseguir uno gratuito y las diferencias entre uno gratuito y uno de pago.

Definición

Cómo siempre empezamos con algo de teoría y luego ya nos metemos en materia, SSL es el acrónimo de las siglas en inglés «Secure Socket Layer» (o «capa de puertos seguros»), un protocolo de seguridad creado por la compañía Nestcape para cifrar las comunicaciones entre el servidor de una web y el navegador de la persona que entra en esa web.
Esto reduce el riesgo de que algún pirata robe los datos que se envían por la red, es un «código» que mantiene las comunicaciones entre empresa y usuario privadas.
Para el que no lo sepa Netscape, fue la primera empresa en desarrollar un navegador comercial.
Los protocolos SSL tienen dos funciones:
  • Cifrar información: todos los datos que se transmiten virtualmente entre un servidor y un usuario y viceversa se cifran.
  • Autentificar la identidad: el certificado SSL equivale a una firma electrónica que acredita la identidad y credenciales del sitio web.

Uso de un certificado

Para ofrecer una conexión segura debemos solicitar el certificado SSL que te identifique, lo que también se conoce como «certificado digital» de seguridad, y luego se debe instalar en el servidor.
Existen diversos tipos de certificados de seguridad en internet, pero solo pueden emitirlos las autoridades de certificación (CA), que cuentan con los permisos oficiales para certificar solicitudes.
Cada autoridad emite un «Certification Practice Statement» o certificado declarativo (CPS) donde se establecen los procedimientos de verificación empleados.
Normalmente suelen ser de pago los certificados, pero también podemos encontrar alguna gratuita, más adelante os explicaré como conseguir una gratuita y las diferencias entre las de pago y estas.

Beneficios de tener un certificado

Según un estudio realizado por la consultoría Gartner, casi un 70 % de los compradores online ha dejado de comprar en una tienda virtual porque no ha confiado en la página. Sin un certificado SSL o un sello de confianza, es más que probable que tus visitantes no acaben de fiarse de tu sitio web y decidan contactar con otro proveedor que les transmita mayor seguridad.
Motivos para usar un certificado:
  • Legitimas tu web y empresa porque queda patente que tu actividad online la realizas bajo valores y parámetros de seguridad.
  • La información privada de tu web está encriptada, de forma que los usuarios no corren el riesgo de que sus datos sean interceptados o robados.
  • Pones barreras al malware: los certificados SSL escanean la página web en busca de programas ilícitos o malware que puedan ponerte en riesgo.
  • Mejor posicionamiento: con la actualización de Chrome en 2017, Google favorece las páginas web que cuentan con el SSL a través del uso de HTTPS. Por lo tanto, este certificado también suma puntos a la hora de obtener mejor posición en los resultados de búsqueda.

Obtener certificado gratuito

Ahora vamos a conseguir un certificado gratuito y ponerlo en nuestro dominio que hemos obtenido.
Mi elección es Certbot, todo este tutorial estará explicado siguiendo los pasos de esta página, pero bueno seguramente serán los mismos pasos para todas.
Esta es la pantalla de inicio.
Aquí elegiremos la opción de apache y luego elegimos la versión de nuestro sistema operativo (en mi caso Ubuntu 18.04, porque es lo que tengo instalado en el VPS). En caso de que no sepais la versión que teneis aquí os dejo un par de comandos para saberlo.
lsb_release -a

cat /etc/*-release

cat /etc/issue
Lo primero es instalar el repositorio en el servidor, recordad que para ello debereis tener permisos de root.
sudo apt-get update
Instalamos software-properties-common con el comando:
sudo apt-get install software-properties-common
Añadimos los repositorios a la lista de repositorios.
sudo add-apt-repository universe
sudo add-apt-repository ppa:certbot/certbot
Volvemos a actualizar.
sudo apt-get update
E instalamos el certbot.
sudo apt-get install python-certbot-apache
Ahora vamos a proceder a configurar nuestro certificado para ello usaremos el siguiente comando:
sudo certbot --apache
Lo primero que nos pedirá será nuestro e-mail.
Lo siguiente esque aceptemos los términos y condiciones, una vez leidos si estamos de acuerdo introducimos una "A" y si no estamos de acuerdo una "C".
La siguiente pregunta que nos harán es si queremos recibir e-mails de actualizaciones y noticias sobre Certbot, tendréis que elegir entre "Y" si o "N" no.
Y ahora ya nos pregunta que dominios queremos ponerle el certificado HTTPS, en mi caso he elegido solo uno para que veais la diferencia entre cuando lo tengo activado y cuando no.
Para elegir deberéis introducir el número de la URL que queráis certificar, si queréis más de una, separadas por comas.
El siguiente paso es de suma importancia porque nos pregunta si queremos redirigir las búsquedas a nuestros dominios que esten en HTTP, que se pongan directamente en HTTPS, si queremos que se redirija elegimos el 2, si no queremos que redirija elegimos el 1.
Una vez terminado nos dirá que enhorabuena ya tenemos los certificados y nos indicará unas URLs para comprobar que realmente se haya expedido el certificado correctamente.
Si entramos en una de las páginas se pondrá a analizar dicha página y una vez termine debe aparecernos una imagen similar a la siguiente.
Ahora si entramos en uno de nuestros dominios que hemos certificado, nos debe aparecer el candado como que es seguro.
Sin embargo, en las URLs que no he querido certificar seguirá apareciendome que no es seguro.
Es la misma página, ¿cual es la diferencia? En mi caso yo no activé la redirección para que vieses lo que sucedia.
La primera URL es: https://www.avatodaw.tk
La segunda es: avatodaw.tk
Hasta aquí cómo conseguir un certificado digital gratuito, lo siguiente las diferencias entre uno gratuito y uno de pago, pero antes os dejo una lista de plugins que le podéis poner al Certbot si os apatece.

Diferencias

Ahora os hablaré un poco de las diferencias entre uno de pago y uno gratuito, no todo puede ser tan bonito ni fácil.
  • La velocidad de emisión: el proceso de emisión es completamente automático. Esto implica que el certificado se recibe al momento. Sin embargo, no tiene lugar ninguna verificación sobre el titular de la web: certifican la web como segura, pero no hay una comprobación de la empresa que hay detrás de la web.
    Por el contrario, para conseguir un certificado SSL de las autoridades tradicionales primero se debe realizar una petición y, a continuación, efectuar una serie de pasos, cosa que puede llevar de unas horas a unos días. Sin embargo, la Autoridad emisora de un SSL de pago realiza una verificación de la empresa que hay detrás de la web, lo que hace que estos SSL certifican que tanto la web como la empresa que hay detrás sean fiables.
  • Periodo de validez: la mayoría de los certificados SSL tradicionales son válidos por lo menos durante un año y ofrecen la opción de prolongar este periodo hasta los tres años. Por su parte, los certificados de Let’s Encrypt duran 90 días y se actualizan automáticamente. En ocasiones, esta instalación frecuente totalmente automatizada causa problemas y deja al certificado fuera de servicio.
  • Garantía: los certificados de Let’s Encrypt no incluyen garantía alguna en caso de fallo, los tradicionales sí suelen contar con una para que, en caso de haber problemas, puedas reclamar la compensación correspondiente.
  • Asistencia técnica: al comprar un certificado SSL de un proveedor de calidad, se gana acceso a personal con formación que nos puede guiar en el proceso de solicitud e instalación de los certificados SSL. En cambio, Let’s Encrypt no dispone de una plantilla para facilitar ayuda técnica.
  • Variendad de certificados SSL: si tu sitio web necesita la seguridad añadida de un certificado de validación extendida (EV), deberás adquirirlo necesariamente en un proveedor tradicional, ya que Let’s Encrypt solamente ofrece certificados de validación de dominios (DV). Además, tampoco ofrece certificados multidominio ni wildcard, lo que significa que, si tenemos subdominios, Let’s Encrypt nos obligará a pedir un certificado para cada uno.
  • Confianza y compatibilidad: los navegadores y sistemas operativos tienen un repositorio por defecto que contiene una lista de las autoridades de certificación aprobadas que utilizan para comprobar si un certificado es de confianza o no.
    Let’s Encrypt se lanzó oficialmente en abril de 2016, por lo que todavía se puede considerar una iniciativa joven. De aquí que no cuente con la universalidad de las autoridades de larga trayectoria y pueda tener problemas de compatibilidad con algunos navegadores y sistemas operativos antiguos.

Reflexión

Ahora que ya sabéis lo que es un certificado digital, para que sirve, como obtener uno gratuito y las diferencias entre los de pago y gratuitos, ¿pagaríais por un certificado?
Mi punto de vista: para empezar y hacer alguna práctica o para hacer alguna demostración usaría el gratuito, una vez se ponga en producción si que miraria la opción de buscar uno de pago, y otra variante sería si es un proyecto que no necesita demasiada seguridad alomejor con un certificado gratuito podría salir adelante.
Etiquetas:

Comentarios

Publicar un comentario

Entradas populares