Certificats SSL/TLS

La comunicació normal a Internet no està xifrada, la connexió entre els ordinadors es pot escoltar fàcilment. Mitjançant l'ús de certificats SSL/TLS, la comunicació entre l'ordinador de l'usuari i el servidor, on s'emmagatzemen els llocs web, està xifrada i no pot ser escoltada ni modificada en el camí.

Els visitants de llocs web tenen la certesa que les dades enviades al servidor (noms, contrasenyes, números de targetes de crèdit, etc.) s'envien únicament a l'operador del lloc web i ningú pot accedir-hi durant la comunicació.

Alhora amb l'ús de HTTPS no és possible, que per exemple un punt d'accés wifi gratis, pugui inserir dades no desitjades, per exemple anuncis o codi nociu als llocs web sense que el propietari del lloc web o visitant ho sàpiguen. 


Per a més informació sobre la nostra oferta en certificats SSL de ACTIVE 24 visiti www.active24.cat.  

 

Let's Encrypt gratis


Per a cada hosting Linux oferim de forma gratuïta i automàtica un certificat de l'autoritat de certificació Let's Encrypt. Aquests certificats són de confiança en els navegadors i poden utilitzar-se per la seguretat completa del lloc.

El certificat emès és vàlid per 3 mesos i es renova automàticament a intervals regulars. No s'ha de preocupar per les actualitzacions de certificats, que normalment s'instal·len manualment.

NOTA: Els certificats de Let's Encrypt són oferts per nosaltres amb el millor esforç. Fem el màxim possible per mantenir el certificat de l'autoritat externa per al lloc web i és renovat regularment, però no hi ha garantia per a aquest servei. És per això que, per a llocs web importants, en els quals el funcionament depèn d'un certificat vàlid, recomanem utilitzar certificats de pagament. Per exemple, els certificats amb EV (validació estesa) ofereixen el nivell més alt de verificació i en la línia d'adreça del navegador també apareix el nom de l'empresa del propietari del domini, la qual cosa augmenta la credibilitat del lloc web.

Condicions per als certificats "Let's Encrypt" proporcionats a ACTIVE 24:

  • Es generen per al nom principal i els àlies. Els àlies inserits posteriorment s'impliquen automàticament en el certificat al cap de diverses hores.
  • No es generen per àlies amb * - per exemple *.active24.cz, només generem una variant www en lloc de www.active24.cz. Si el certificat ha de ser per algun subdomini no especificat, cal tenir àlies amb nom específic.
  • La condició per obtenir el certificat és un registre DNS correctament configurat perquè apunti al servidor de hosting correcte a ACTIVE 24.
  • Let 's Encrypt no admet els anomenats dominis IDN (accentuats). Per a aquests dominis, no s'emetrà el certificat.
  • Els dominis es comproven en bases de dades que contenen informació sobre malware. Si el domini es troba en una d'aquestes llistes, no es crearà el certificat.
  • Un certificat no pot contenir més de 100 àlies.
  • Quan es crea un hosting, primer es genera un certificat autosignat que se substitueix pel certificat Let 's Encrypt. Pot trigar fins a diverses hores i s'han de complir totes les condicions, abans que es crei el certificat.
  • Si instal·la el seu propi certificat a través de l'àrea de client, no es realitzarà cap altre intent d'instal·lació del certificat Let 's Encrypt. La renovació d'un certificat propi és gestionada directament pel client. Per restaurar el certificat de Let 's Encrypt i la seva administració, posis en contacte amb el servei d'atenció al client.

 

CSR (Certificate Signing Request - Sol·licitud de signatura de certificat)


Per emetre un certificat SSL/TLS, es requereix el que s'anomena CSR (Certificate Signing Request - Sol·licitud de signatura de certificat). Es tracta d'un arxiu que conté informació sobre el sol·licitant i es basa en la clau privada del servidor. El CSR, és generat sempre per l'administrador del servidor. 

Des de l'Àrea de client pot generar el CSR per al hosting amb el sistema operatiu Linux a Active24 (trobará informació detallada a l'apartat Instal·lació de certificat), o pot sol·licitar la generació del CRS per mitjà d'una Sol·licitud autoritzada. Juntament amb la seva sol·licitud, haurà de proporcionar la informació següent. El CSR ha de contenir com a mínim les dades següents.

¿Cómo generar el CSR?

  1. Iniciï sessió a l'Àrea de Client.
  2. Seleccioni el hosting Linux en el qual desitja instal·lar el certificat (Servidors i hosting/Llista de servidors/Detall del servidor seleccionat).
  3. A Configuració del servidor, en l'apartat Configuració del servei, faci clic a detall en l'apartat Certificat SSL/TLS
  4. A continuació, faci clic al botó Generar CSR.
  5. En el següent pas, completi les dades per incloure al futur certificat SSL / TLS (completar sense signes diacrítics).
  6. La clau CSR es pot descarregar en format .TXT al seu dispositiu.

Instruccions detallades:

  1. Amb les seves dades d'accés, iniciï sessió a l'Àrea de Client. Si no disposa de les seves dades d'accés pot sol·licitar una nova contrasenya.
  2. Després d'iniciar sessió, al menú de l'esquerra seleccioni Servidors i hosting, la Llista de servidors es selecciona automàticament. En el llistat, faci clic a Detall en el domini per al qual vol instal·lar el certificat.                                                                                                                                                                                                                                                    
  3. A Configuració del servidor, en l'apartat Configuració del servei, faci clic en Detall en l'apartat Certificat SSL/TLS.                                                                                                                                                                                                                      
  4. Per iniciar la creació del CSR vostè mateix, faci clic al botó Generar CSR. El següent pas és completar les dades que contindrà el certificat.                                                                                                                                                                                                                                

 

Common Name: Nom de domini per al qual s'ha de crear el certificat, hi ha diferència entre domini amb i sense www. (El més habitual és demanar el certificat de domini amb www).

Organització: Nom de l'empresa que ha d'aparèixer en el certificat.

Localitat: Ciutat

País: Codi del país, inserir només amb lletres majúscules (per exemple ES)

Estat: Estat
NOTA: En aquestes informacions no s'utilitzen diacrítics, es tracta d'informacions que es poden rastrejar a l'inrevés.


Las instruccions detallades per generar el CSR en el seu propi servidor, les pot trobar en els llocs web Thawte:

Apache 

Microsoft IIS 7 


 

Verificació de certificats

Abans d'emetre el certificat, l'autoritat de certificació requereix verificar al propietari. Sense aquesta verificació, no emetrà un certificat de seguretat.

El mètode de verificació depèn del tipus de certificat. Pot ser validat només per un enllaç de confirmació però també ho pot ser mitjançant una trucada telefònica.

A l'adreça active24.cat pot triar el certificat segons els mètodes de verificació. En general, es pot argumentar que com més complexa sigui la verificació de l'organització, més creïble serà el certificat.

Per exemple, els portals de pagament poden requerir que un certificat sigui verificat per la companyia per telèfon.

 

Validació de domini (DV)

Es verifica mitjançant l'e-mail triat pel client des de admin, administrador@, webmaster@, hostmaster@ o postmaster@domain.xyIs.

No es pot triar un altre correu electrònic. L'autoritat de la certificació enviarà l'email a l'adreça escollida i el domini serà confirmat mitjançant l'enllaç contingut en l'email.

Validació del propietari (OV)

L'autoritat de certificació es posarà en contacte amb l'empresa, per a la qual es demana el certificat. Trobaran a la companyia en llistats telefònics públics com ara paginasamarillas.es, on es pot trobar el número de telèfon de l'empresa, on es validarà l'ordre del certificat.  

Les trucades es fan només en anglès. L'empresa introduirà un codi al telèfon, que ha de ser confirmat en el correu electrònic.

Validació ampliada (EV)

És el mateix que verificar l'empresa, però és molt més completa. Per tant, la verificació pot portar més temps.

Les informacions s'obtenen de més fonts i es requereix l'enviament de documents certificats.

L'autoritat de certificació es posarà en contacte amb el client en el seu correu electrònic, on s'informa al client del que és necessari per a la validació.

A més, es verifica també la relació de treball de l'empleat, que figura com a contacte administratiu en el certificat.

 


 

 

Instal·lació del certificat


Tots els servidors virtuals compartits amb sistema operatiu Linux suporten la funció auto-SSL. Com a resultat, té activat immediatament després de crear l'allotjament, l'accés al seu lloc a través d'un protocol HTTPS segur. Un certificat autofirmat es genera per primera vegada al servidor virtual i, a continuació, el sistema periòdicament intenta reemplaçar el certificat de confiança de Let 's Encrypt. Pot trigar fins a diverses hores i cal complir amb els termes de creació d'Let 's Encrypt (el més important és tenir el domini dirigit en aquest allotjament).

Els certificats Auto-signats i Let 's Encrypt poden ser reemplaçats en qualsevol moment per un certificat propi, en aquest cas és responsabilitat de l'usuari el manteniment i actualització del certificat.

Els certificats estan instal·lats en els nostres servidors Linux mitjançant el mètode SNI, on hi ha més certificats instal·lats en una mateixa adreça IP.

La informació bàsica sobre el certificat actualment instal·lat, es mostra a la secció Servidors i hosting/Llista de servidors de l'Àrea de client, en l'opció Certificat SSL/TLS de l'apartat detalls del servidor. Aquí podrà veure l'emissor del certificat, la data de caducitat i altres opcions d'administració SSL/TLS.

Com instal·lar un certificat SSL/TLS?

  1. Iniciï sessió a l'Àrea de Client..
  2. Seleccioni el hosting Linux en el qual desitja instal·lar el certificat (Servidors i hosting/Llista de servidors/Detall del servidor seleccionat).
  3. A Configuració del servidor, en l'apartat Configuració del servei, faci clic a detall en l'apartat Certificat SSL/TLS
  4. Per instal·lar el certificat SSL/TLS vostè mateix, escolli Pujar certificat.
  5. Introdueixi el certificat complet en el quadre de text, incloent  ----- BEGIN CERTIFICATE ----- i ----- END CERTIFICATE -----
  6. Certs certificats poden requerir l'addició de l'anomenat certificat intermedi (que s'inclou en l'arxiu del certificat).
  7. Una vegada que s'ha instal·lat el certificat, cal fer una redirecció a HTTPS.

Instruccions detallades:

  1. Amb les seves dades d'accés, iniciï sessió a l'Àrea de Client. Si no disposa de les seves dades d'accés pot sol·licitar una nova contrasenya.
  2. Després d'iniciar sessió, al menú de l'esquerra seleccioni Servidors i hosting, la Llista de servidors es selecciona automàticament. En el llistat, faci clic a Detall en el domini per al qual vol instal·lar el certificat.                                                                                                                                                                                                                                                   
  3. A Configuració del servidor, en l'apartat Configuració del servei, faci clic a Detall en l'apartat Certificat SSL / TLS.                                                                                                               
  4. Per instal·lar el certificat SSL/TLS vostè mateix, escolli Pujar certificat. Introdueixi tot el codi del certificat en el quadre de text o utilitzi l'opció de càrrega des d'arxiu.                                                           
      NOTA: Introdueixi el certificat complet en el quadre de text, incloent ----- BEGIN CERTIFICATE ----- i ----- END CERTIFICATE -----
  5. Ha de confirmar la instal·lació del certificat seleccionat amb el botó Pujar i Validar. Certs certificats poden requerir que introdueixi un certificat intermedi (inclòs a l'arxiu de certificat) o insereixi una clau privada al servidor; això és obligatori si el certificat es va emetre originalment per a un altre servidor físic.
  6. Una vegada que ha completat les claus necessàries, s'instal·la el certificat SSL i el lloc web pot utilitzar el protocol https. Per a connexions segures, cal configurar la redirecció a HTTPS.

 

Implementar HTTPS i redirecció a Linux hosting

Mitjançant l'opció "Redirecció a HTTPS" a l'Àrea de Client, pot redirigir el seu lloc web a HTTPS amb un sol clic.                                                                                                                                                  

Hi ha quatre opcions disponibles:

1) Depèn de la configuració del servidor (opció per defecte) - no redirigeix, però pot ser modificat per ACTIVE 24 més endavant.

2) Desactivat - no redirigeix i no pot ser modificat per ACTIVE 24 més endavant.

3) Redirecció bàsica habilitada - totes les sol·licituds es redireccionen a HTTPS, però no el contingut mixt, de manera que els estils CSS o els JavaScripts carregats a través d'HTTP no s'interpreten en alguns navegadors, el que afecta el disseny i la funcionalitat de la pàgina web. 

4) Habilitat i s'ocupa de contingut mixt (opció recomanada) - totes les sol·licituds es redirigeixen a HTTPS i s'informa el navegador perquè carregui tot el contingut del lloc mitjançant HTTPS, el que evita problemes de contingut mixt. Les parts del lloc web carregades des d'altres dominis, que no estan disponibles mitjançant HTTPS, no es carregaran.


HTTPS està implementat (com el propi HTTP) en l'allotjament de Linux mitjançant l'ús del proxy invers Nginx, que emet l'anomenat TLS de descàrrega.

El trànsit entre Nginx i Apache no està xifrat i Apache sabrà sobre el xifrat només de la comunicació. Això resulta en les següents limitacions per a les aplicacions que intenten verificar que s'accedeix a través d'HTTPS segur.

- La detecció en PHP fent servir la variable $_SERVER ['HTTPS']! = 'On' és totalment funcional
- La variable $_SERVER['SERVER_PORT'] inclou l'ús de HTTPS número 80
- La detecció amb l'arxiu .htaccess mitjançant les regles "RewriteCond %{SERVER_PORT} !^443$" i "RewriteCond %{HTTPS} !on" no está actiu! El port en aquests casos sempre serà 8x, amb la versió de PHP i HTTPS variable sempre és Off. En lloc de la variable %{HTTPS} és necessari fer servir per a la detecció la variable %{HTTP:X-Forwarded-Proto}.

Per redirigir a HTTPS es recomana que compleixi amb les següents condicions, mantenint al mateix temps la compatibilitat amb versions anteriors:

RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteCond %{HTTP:X-Forwarded-Proto} !=https
RewriteRule ^.*$ https://%{HTTP_HOST}%{REQUEST_URI} [L,QSA,NE]
Header set Content-Security-Policy "upgrade-insecure-requests;"

La capçalera afegida amb el valor "upgrade-insecure-requests" resol el problema de contingut mixt.


 

Implementar HTTPS i redirecció a Windows hosting

Primer ha de demanar el certificat per al Hosting de Windows. Els certificats Let 's Encrypt encara no estan disponibles al Windows.

Quan tingui el seu certificat instal·lat, pot redirigir el lloc web a HTTPS utilitzant l'arxiu web.config d'aquesta manera: 

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
  <rewrite>
     <rules>
       <rule name="Redirect to https" enabled="true" patternSyntax="Wildcard" stopProcessing="true">
           <match url="*" negate="false" />
           <conditions logicalGrouping="MatchAny">
               <add input="{HTTPS}" pattern="off" />
           </conditions>
           <action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" redirectType="Permanent" />
       </rule>
     </rules>
  </rewrite>
    <httpProtocol>
        <customHeaders>
            <add name="Content-Security-Policy" value="upgrade-insecure-requests;" />
        </customHeaders>
    </httpProtocol>
  </system.webServer>
</configuration>

La capçalera afegida amb el valor "upgrade-insecure-requests" resol el problema de contingut mixt.

Per a més opcions de configuració, vegeu web.config file documentation.