Certificados SSL/TLS

Úvod > Seguridad > Certificados SSL/TLS

La comunicación normal en Internet no está cifrada, la conexión entre los ordenadores se puede escuchar fácilmente. Mediante el uso de certificados SSL/TLS, la comunicación entre el ordenador del usuario y el servidor, donde se almacenan los sitios web, está cifrada y no puede ser escuchada ni modificada en el camino.

Los visitantes de sitios web tienen la certeza de que los datos enviados al servidor (nombres, contraseñas, números de tarjetas de crédito, etc.) se envían únicamente al operador del sitio web y nadie puede acceder a ellos durante la comunicación.

Al mismo tiempo con el uso de HTTPS no es posible, que por ejemplo un punto de acceso wifi gratis, pueda insertar datos no deseados, por ejemplo anuncios o código dañino a los sitios web sin que el propietario del sitio web o visitante lo sepan. 


Para más información sobre nuestra oferta en certificados SSL de ACTIVE 24 visite  www.active24.es.  

 

Let's Encrypt gratis


Para cada hosting Linux ofrecemos de forma gratuita y automática un certificado de la autoridad de certificación Let's Encrypt. Estos certificados son de confianza en los navegadores y pueden utilizarse para la seguridad completa del sitio.

El certificado emitido es válido por 3 meses y se renueva automáticamente a intervalos regulares. No tiene que preocuparse por las actualizaciones de certificados, que normalmente se instalan manualmente.

NOTA: Los certificados de Let's Encrypt son ofrecidos por nosotros con el mejor esfuerzo. Hacemos el máximo posible para mantener el certificado de la autoridad externa para el sitio web y es renovado regularmente, pero no hay garantía para este servicio. Es por ello que, para sitios web importantes, en los que el funcionamiento depende de un certificado válido, recomendamos usar certificados de pago. Por ejemplo, los certificados con EV (validación extendida) ofrecen el nivel más alto de verificación y en la línea de dirección del navegador también aparece el nombre de la empresa del propietario del dominio, lo que aumenta la credibilidad del sitio web.

Condiciones para los certificados "Let's Encrypt" proporcionados en ACTIVE 24:

  • Se generan para el nombre principal y los alias. Los alias insertados posteriormente se implican automáticamente en el certificado al cabo de varias horas.
  • No se generan para alias con * - por ejemplo *.active24.cz, solo generamos una variante www en lugar de www.active24.cz. Si el certificado tiene que ser para algún subdominio no especificado, es necesario tener alias con nombre específico.
  • La condición para obtener el certificado es un registro DNS correctamente configurado para que apunte al servidor de hosting correcto en ACTIVE 24.
  • Let's Encrypt no admite los llamados dominios IDN (acentuados). Para dichos dominios, no se emitirá el certificado .
  • Los dominios se comprueban en bases de datos que contienen información sobre malware.Si el dominio se encuentra en una de estas listas, no se creará el certificado.
  • Un certificado no puede contener más de 100 alias.
  • Cuando se crea un hosting, primero se genera un certificado autofirmado y se sustituye por el certificado Let's Encrypt. Puede tardar hasta varias horas y deben cumplirse todas las condiciones, antes de que se cree el certificado.
  • Si instala su propio certificado a través del área de cliente, no se realizará ningún otro intento de instalación del certificado Let's Encrypt. La renovación de un certificado propio es gestionada directamente por el cliente. Si desea restaurar el certificado de Let's Encrypt y su administración, póngase en contacto con el servicio de atención al cliente.


CSR (Certificate Signing Request - Solicitud de firma de certificado)


Para emitir un certificado SSL/TLS, se requiere lo que se denomina CSR (Certificate Signing Request - Solicitud de firma de certificado). Se trata de un archivo que contiene información sobre el solicitante y se basa en la clave privada del servidor. El CSR, es generado siempre por el administrador del servidor. 

Desde el Área de cliente puede generar el CSR para el hosting con el sistema operativo Linux en Active24 (encontrará información detallada en el apartado Instalación de certificado), o puede solicitar la generación del CRS por medio de una Solicitud autorizada. Junto con su solicitud, debera proporcionar la información siguiente. El CSR debe contener como mínimo los datos siguientes.

¿Cómo generar el CSR?

  1. Inicie sesion en el Área de Cliente.
  2. Seleccione el hosting Linux en el que desea instalar el certificado (Servidores y hosting/Lista de servidores/Detalles del servidor seleccionado).
  3. En Configuración del servidor, en el apartado Configuración del servicio, haga clic en detalle en el apartado Certificado SSL/TLS
  4. A continuación, haga clic en el botón Generar CSR.
  5. En el siguiente paso, complete los datos para incluir el futuro certificado SSL/TLS (completar sin signos diacríticos).
  6. La clave CSR se puede descargar en formato .TXT a su dispositivo.

Instrucciones detalladas:

  1. Con sus datos de acceso, inicie sesión en el Panel de control. Si no dispone de sus datos de acceso puede solicitar una nueva contraseña.
  2. Después de iniciar sesión, en el menú de la izquierda seleccione Servidores y hosting, la Lista de servidores se selecciona automáticamente. En el listado, haga clic en Detalle en el dominio para el que desea instalar el certificado.                                                                                                                                                                                      
  3. En Configuración del servidor, en el apartado Configuración del servicio, haga clic en detalle en el apartado Certificado SSL/TLS.                                                                                                                                                                                                                                          
  4. Para iniciar la creación del CSR usted mismo, haga clic en el botón Generar CSR. El siguiente paso es completar los datos que contendrá el certificado.                                                                                                                                                                                                                                                            
Common Name: Nombre de dominio para el que se tiene que crear el certificado, hay diferencia entre dominio con y sin www. (Lo más habitual es pedir el certificado de dominio con www).

Organización: Nombre de la empresa que debe aparecer en el certificado.

Localidad: Ciudad

País: Código del país, insertar sólo con letras mayúsculas (por ejemplo ES)

Estado: Estado
NOTA: En estas informaciones no se utilizan diacríticos, se trata de informaciones que se pueden rastrear al revés.


Las instrucciones detalladas para generar la CSR en su propio servidor, las puede encontrar en los sitios web Thawte:

Apache 

Microsoft IIS 7 

 

Verificación de certificados

Antes de emitir el certificado, la Autoridad de Certificación requiere verificar al propietario. Sin esta verificación, no emitirá un certificado de seguridad.

El método de verificación depende del tipo de certificado. Puede ser validado sólo por un enlace de confirmación pero también lo puede ser mediante una llamada telefónica.

En la dirección www.active24.es puede elegir el certificado según los métodos de verificación. En general, se puede argumentar que cuanto más compleja sea la verificación de la organización, más creíble será el certificado.

Por ejemplo, los portales de pago pueden requerir que un certificado sea verificado por la compañía por teléfono.

 

Validación de dominio (DV)

Se verifica mediante el e-mail elegido por el cliente desde admin, administrador@, webmaster@, hostmaster@ o postmaster@domain.xyIs.

No se puede elegir otro correo electrónico. La autoridad de la certificación enviará el email a la dirección elegida y el dominio será confirmado mediante el enlace contenido en el e-mail.

Validación del propietario (OV)

La autoridad de certificación se pondrá en contacto con la empresa, para la cual se solicita el certificado. Encontrarán a la compañía en listados telefónicos públicos como por ejemplo paginasamarillas.es , donde se puede encontrar el número de teléfono de la empresa, donde se validará la orden del certificado.  

Las llamadas se hacen solamente en inglés. La empresa introducirá un código en el teléfono, que debe ser confirmado en el correo electrónico.

Validación ampliada (EV)

Es lo mismo que verificar la empresa, pero es mucho más completa. Por lo tanto, la verificación puede tomar más tiempo.

Las informaciones se obtienen de más fuentes y se requiere el envío de documentos certificados.

La autoridad de certificación se pondrá en contacto con el cliente en su correo electrónico, donde se informa al cliente  de lo que es necesario para la validación.

Además, se verifica también la relación de trabajo del empleado, que figura como contacto administrativo en el certificado.

 

Instalación del certificado


Todos los servidores virtuales compartidos con sistema operativo Linux soportan la función auto-SSL. Como resultado, tiene activado inmediatamente después de crear el alojamiento, el acceso a su sitio a través de un protocolo HTTPS seguro.

Un certificado autofirmado se genera por primera vez en el servidor virtual y, a continuación, el sistema periódicamente intenta reemplazar el certificado de confianza de Let's Encrypt. Puede tardar hasta varias horas y es necesario cumplir con los términos de creación de Let's Encrypt (el más importante es tener el dominio dirigido en este alojamiento).

Los certificados Auto-firmados y Let's Encrypt pueden ser reemplazados en cualquier momento por un certificado propio, en ese caso es responsabilidad del usuario el mantenimiento y actualización del certificado.

Los certificados están instalados en nuestros servidores Linux mediante el método SNI, en donde hay más certificados instalados en una misma dirección IP.

La información básica sobre el certificado actualmente instalado, se muestra en la sección Servidores y hosting/Lista de servidores del Área de cliente, en la opción Certificado SSL/TLS del apartado detalles del servidor. Aquí podrá ver el emisor del certificado, la fecha de caducidad y otras opciones de administración SSL/TLS.

¿Cómo instalar un certificado SSL / TLS?

  1. Inicie sesion en el Área de cliente.
  2. Seleccione el hosting Linux en el que desea instalar el certificado (Servidores y hosting/Lista de servidores/Detalles del servidor seleccionado).
  3. En Configuración del servidor, en el apartado Configuración del servicio, haga clic en detalle en el apartado Certificado SSL/TLS
  4. Para instalar el certificado SSL/TLS usted mismo, seleccione Subir certificado.
  5. Introduzca el certificado completo en el cuadro de texto, incluyendo ----- BEGIN CERTIFICATE ----- y ----- END CERTIFICATE -----
  6. Ciertos certificados pueden requerir la adición del llamado certificado intermedio (que se incluye en el archivo del certificado).
  7. Una vez que se ha instalado el certificado, es necesario hacer una redirección a HTTPS.        

Instrucciones detalladas:

  1. Con sus datos de acceso, inicie sesión en el Panel de control. Si no dispone de sus datos de acceso puede solicitar una nueva contraseña.
  2. Después de iniciar sesión, en el menú de la izquierda seleccione Servidores y hosting, la Lista de servidores se selecciona automáticamente. En el listado, haga clic en Detalle en el dominio para el que desea instalar el certificado.                                                                                                                                                                                                 
  3. En Configuración del servidor, en el apartado Configuración del servicio, haga clic en detalle en el apartado Certificado SSL/TLS.                                                                                                                                                                                     
  4. Para instalar el certificado SSL/TLS usted mismo, seleccione Subir certificado. Introduzca todo el código del certificado en el cuadro de texto o use la opción de carga desde archivo.                                                                                                                                                                                                                                                                                                                      
    NOTA: Introduzca el certificado completo en el cuadro de texto, incluyendo ----- BEGIN CERTIFICATE ----- y ----- END CERTIFICATE ----- 
  5. Debe confirmar la instalación del certificado seleccionado con el botón Subir y Validar. Ciertos certificados pueden requerir que introduzca un certificado intermedio (incluido en el archivo de certificado) o inserte una clave privada en el servidor; esto es obligatorio si el certificado se emitió originalmente para otro servidor físico.
  6. Una vez que ha completado las claves necesarias, se instala el certificado SSL y el sitio web puede usar el protocolo https. Para conexiones seguras, necesita configurar la redirección a HTTPS.

 

Implementar HTTPS y redirección en hosting Linux

Mediante la opción "Redirección a HTTPS" en el Área de Cliente, puede redirigir su sitio web a HTTPS con un solo clic.                                                                                                                                            

Hay cuatro opciones disponibles:

1) Depende de la configuración del servidor (opción por defecto) - no redirige, pero puede ser modificado por ACTIVE 24 más adelante.

2) Deshabilitado - no redirige y no puede ser modificado por ACTIVE 24 más adelante.

3) Redirección básica habilitada - todas las solicitudes se redireccionan a HTTPS, pero no el contenido mixto, por lo que los estilos CSS o los JavaScripts cargados a través de HTTP no se interpretarán en algunos navegadores, lo que afecta el diseño y la funcionalidad de la página web. 

4) Habilitado y se ocupa de contenido mixto (opción recomendada) - todas las solicitudes se redirigen a HTTPS y se informa al navegador para que cargue todo el contenido del sitio mediante HTTPS, lo que evita problemas de contenido mixto. Las partes del sitio web cargadas desde otros dominios, que no están disponibles mediante HTTPS, no se cargarán.

HTTPS está implementado (como el propio HTTP) en el alojamiento de Linux mediante el uso del proxy inverso Nginx, que emite el llamado TLS de descarga.

El tráfico entre Nginx y Apache no está cifrado y Apache sabrá acerca del cifrado sólo de la comunicación. Esto resulta en las siguientes limitaciones para las aplicaciones que intentan verificar que se accede a través de HTTPS seguro.

- La detección en PHP usando la variable $_SERVER ['HTTPS']! = 'On' es totalmente funcional
- La variable $_SERVER['SERVER_PORT'] incluye el uso de HTTPS número 80
- ¡La detección con el archivo .htaccess mediante las reglas "RewriteCond %{SERVER_PORT} !^443$" y "RewriteCond %{HTTPS} !on" no funciona! El puerto en estos casos siempre será 8x, con la versión de PHP y HTTPS variable siempre es Off. En lugar de la variable %{HTTPS} es necesario usarla para la detección la variable %{HTTP:X-Forwarded-Proto}.

Para redirigir en HTTPS se recomienda que cumpla con las siguientes condiciones, manteniendo al mismo tiempo la compatibilidad con versiones anteriores:

RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteCond %{HTTP:X-Forwarded-Proto} !=https
RewriteRule ^.*$ https://%{HTTP_HOST}%{REQUEST_URI} [L,QSA,NE]
Header set Content-Security-Policy "upgrade-insecure-requests;"

El encabezado agregado con el valor "upgrade-insegure-requests" resuelve el problema de contenido mixto.

 

Implementar HTTPS y redirección en Windows hosting

Primero debe pedir el certificado para el Hosting de Windows. Los certificados Let's Encrypt aún no están disponibles en Windows.

Cuando tenga su certificado instalado, puede redirigir el sitio web a HTTPS utilizando el archivo web.config de esta manera: 

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <clear />
                <rule name="Redirect to https" stopProcessing="true">
                    <match url=".*" />
                    <conditions>
                        <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                    </conditions>
                    <action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" redirectType="Permanent" appendQueryString="false" />
                </rule>
            </rules>
        </rewrite>
    </system.webServer>
</configuration>

El encabezado agregado con el valor "upgrade-insegure-requests" resuelve el problema de contenido mixto.

Para más opciones de configuración, vea web.config file documentation.

Aktualizováno:

Ostatní články