Certificats SSL/TLS

La comunicació normal a Internet no està xifrada, la connexió entre els ordinadors es pot escoltar fàcilment. Mitjançant l'ús de certificats SSL/TLS, la comunicació entre l'ordinador de l'usuari i el servidor, on s'emmagatzemen els llocs web, està xifrada i no pot ser escoltada ni modificada en el camí.

Els visitants de llocs web tenen la certesa que les dades enviades al servidor (noms, contrasenyes, números de targetes de crèdit, etc.) s'envien únicament a l'operador del lloc web i ningú pot accedir-hi durant la comunicació.

Alhora amb l'ús de HTTPS no és possible, que per exemple un punt d'accés wifi gratis, pugui inserir dades no desitjades, per exemple anuncis o codi nociu als llocs web sense que el propietari del lloc web o visitant ho sàpiguen. 


Per a més informació sobre la nostra oferta en certificats SSL de ACTIVE 24 visiti www.active24.cat.  

 

Let's Encrypt gratis


Per a cada hosting Linux oferim de forma gratuïta i automàtica un certificat de l'autoritat de certificació Let's Encrypt. Aquests certificats són de confiança en els navegadors i poden utilitzar-se per la seguretat completa del lloc.

El certificat emès és vàlid per 3 mesos i es renova automàticament a intervals regulars. No s'ha de preocupar per les actualitzacions de certificats, que normalment s'instal·len manualment.

NOTA: Els certificats de Let's Encrypt són oferts per nosaltres amb el millor esforç. Fem el màxim possible per mantenir el certificat de l'autoritat externa per al lloc web i és renovat regularment, però no hi ha garantia per a aquest servei. És per això que, per a llocs web importants, en els quals el funcionament depèn d'un certificat vàlid, recomanem utilitzar certificats de pagament. Per exemple, els certificats amb EV (validació estesa) ofereixen el nivell més alt de verificació i en la línia d'adreça del navegador també apareix el nom de l'empresa del propietari del domini, la qual cosa augmenta la credibilitat del lloc web.

Condicions per als certificats "Let's Encrypt" proporcionats a ACTIVE 24:

  • Es generen per al nom principal i els àlies. Els àlies inserits posteriorment s'impliquen automàticament en el certificat al cap de diverses hores.
  • No es generen per àlies amb * - per exemple *.active24.cz, només generem una variant www en lloc de www.active24.cz. Si el certificat ha de ser per algun subdomini no especificat, cal tenir àlies amb nom específic.
  • La condició per obtenir el certificat és un registre DNS correctament configurat perquè apunti al servidor de hosting correcte a ACTIVE 24.
  • Let 's Encrypt no admet els anomenats dominis IDN (accentuats). Per a aquests dominis, no s'emetrà el certificat.
  • Els dominis es comproven en bases de dades que contenen informació sobre malware. Si el domini es troba en una d'aquestes llistes, no es crearà el certificat.
  • Un certificat no pot contenir més de 100 àlies.
  • Quan es crea un hosting, primer es genera un certificat autosignat que se substitueix pel certificat Let 's Encrypt. Pot trigar fins a diverses hores i s'han de complir totes les condicions, abans que es crei el certificat.
  • Si instal·la el seu propi certificat a través de l'àrea de client, no es realitzarà cap altre intent d'instal·lació del certificat Let 's Encrypt. La renovació d'un certificat propi és gestionada directament pel client. Per restaurar el certificat de Let 's Encrypt i la seva administració, posis en contacte amb el servei d'atenció al client.


CSR (Certificate Signing Request - Sol·licitud de signatura de certificat)


Per emetre un certificat SSL/TLS, es requereix el que s'anomena CSR (Certificate Signing Request - Sol·licitud de signatura de certificat). Es tracta d'un arxiu que conté informació sobre el sol·licitant i es basa en la clau privada del servidor. La CSR, és generada sempre per l'administrador del servidor. 

Des de l'Àrea de client pot generar la CSR per al hosting amb el sistema operatiu Linux a Active24 (trobará informació detallada a l'apartat Instal·lació de certificat), o pot sol·licitar la generació de la CRS per mitjà d'una Sol·licitud autoritzada. Juntament amb la seva sol·licitud, haurà de proporcionar la informació següent.

La CSR ha de contenir com a mínim les dades següents:

Common Name: Nom de domini per al qual s'ha de crear el certificat, hi ha diferència entre domini amb i sense www. (El més habitual és demanar el certificat de domini amb www).

Organització: Nom de l'empresa que ha d'aparèixer en el certificat.

Localitat: Ciutat

País: Codi del país, inserir només amb lletres majúscules (per exemple ES)

Estat: Estat
NOTA: En aquestes informacions no s'utilitzen diacrítics, es tracta d'informacions que es poden rastrejar a l'inrevés.


Instruccions detallades per generar la CSR en el seu propi servidor, les pot trobar en els llocs web Thawte:

Apache 

Microsoft IIS 7 


 

Verificació de certificats

Abans d'emetre el certificat, l'autoritat de certificació requereix verificar al propietari. Sense aquesta verificació, no emetrà un certificat de seguretat.

El mètode de verificació depèn del tipus de certificat. Pot ser validat només per un enllaç de confirmació però també ho pot ser mitjançant una trucada telefònica.

A l'adreça active24.cat pot triar el certificat segons els mètodes de verificació. En general, es pot argumentar que com més complexa sigui la verificació de l'organització, més creïble serà el certificat.

Per exemple, els portals de pagament poden requerir que un certificat sigui verificat per la companyia per telèfon.

 

Validació de domini (DV)

Es verifica mitjançant l'e-mail triat pel client des de admin, administrador@, webmaster@, hostmaster@ o postmaster@domain.xyIs.

No es pot triar un altre correu electrònic. L'autoritat de la certificació enviarà l'email a l'adreça escollida i el domini serà confirmat mitjançant l'enllaç contingut en l'email.

Validació del propietari (OV)

L'autoritat de certificació es posarà en contacte amb l'empresa, per a la qual es demana el certificat. Trobaran a la companyia en llistats telefònics públics com ara paginasamarillas.es, on es pot trobar el número de telèfon de l'empresa, on es validarà l'ordre del certificat.  

Les trucades es fan només en anglès. L'empresa introduirà un codi al telèfon, que ha de ser confirmat en el correu electrònic.

Validació ampliada (EV)

És el mateix que verificar l'empresa, però és molt més completa. Per tant, la verificació pot portar més temps.

Les informacions s'obtenen de més fonts i es requereix l'enviament de documents certificats.

L'autoritat de certificació es posarà en contacte amb el client en el seu correu electrònic, on s'informa al client del que és necessari per a la validació.

A més, es verifica també la relació de treball de l'empleat, que figura com a contacte administratiu en el certificat.

 


 

 

Instal·lació del certificat


Tots els servidors virtuals compartits amb sistema operatiu Linux suporten la funció auto-SSL. Com a resultat, té activat immediatament després de crear l'allotjament, l'accés al seu lloc a través d'un protocol HTTPS segur. Un certificat autofirmat es genera per primera vegada al servidor virtual i, a continuació, el sistema periòdicament intenta reemplaçar el certificat de confiança de Let 's Encrypt. Pot trigar fins a diverses hores i cal complir amb els termes de creació d'Let 's Encrypt (el més important és tenir el domini dirigit en aquest allotjament).

Els certificats Auto-signats i Let 's Encrypt poden ser reemplaçats en qualsevol moment per un certificat propi, en aquest cas és responsabilitat de l'usuari el manteniment i actualització del certificat.

Els certificats estan instal·lats en els nostres servidors Linux mitjançant el mètode SNI, on hi ha més certificats instal·lats en una mateixa adreça IP.

La informació bàsica sobre el certificat actualment instal·lat, es mostra a la secció Serveis/Hosting i servidors/Servidors virtuals de l'Àrea de client, en l'opció Certificat SSL/TLS de l'apartat detalls del servidor virtual. Aquí podrà veure l'emissor del certificat, la data de caducitat i altres opcions d'administració SSL/TLS.

Veure

Es mostren els detalls del certificat instal·lat. En el cas d'un certificat autosignat, l'editor és el domini al qual s'emet el certificat. Per a altres certificats existeix l'autoritat de certificació que va emetre el certificat.

Substituir

Aquí pot substituir el certificat instal·lat actualment, demanar un de nou o generar CSR per al hosting.

  • Sol·licitar el certificat el redirigirà a la nostra actual oferta de certificats de pagament. Un cop emès el certificat, els nostres tècnics ho instal·laran.
  • Crear nova sol·licitud de certificat CSR per nou certificat. Generarà la clau CSR necessària per a la creació de certificats SSL/TLS en un altre proveïdor.
  • Carregar directament nou certificat: Si té un nou certificat emès, el pot inserir fàcilment i actualitzar-lo al servidor. Només ha de seguir l'assistent d'instal·lació.

 

Implementar HTTPS (redirecció .htaccess)


HTTPS està implementat (com el propi HTTP) en l'allotjament de Linux mitjançant l'ús del proxy invers Nginx, que emet l'anomenat TLS de descàrrega.

El trànsit entre Nginx i Apache no està xifrat i Apache sabrà sobre el xifrat només de la comunicació. Això resulta en les següents limitacions per a les aplicacions que intenten verificar que s'accedeix a través d'HTTPS segur.

- La detecció en PHP fent servir la variable $_SERVER ['HTTPS']! = 'On' és totalment funcional
- La variable $_SERVER['SERVER_PORT'] inclou l'ús de HTTPS número 80
- La detecció amb l'arxiu .htaccess mitjançant les regles "RewriteCond %{SERVER_PORT} !^443$" i "RewriteCond %{HTTPS} !on" no está actiu! El port en aquests casos sempre serà 8x, amb la versió de PHP i HTTPS variable sempre és Off. En lloc de la variable %{HTTPS} és necessari fer servir per a la detecció la variable %{HTTP:X-Forwarded-Proto}.

Per redirigir a HTTPS es recomana que compleixi amb les següents condicions, mantenint al mateix temps la compatibilitat amb versions anteriors:

RewriteEngine On

RewriteCond %{HTTPS} !on

RewriteCond %{HTTP:X-Forwarded-Proto} !=https

RewriteRule ^.*$ https://%{HTTP_HOST}%{REQUEST_URI} [L,QSA,NE]