Certificados SSL/TLS

La comunicación normal en Internet no está cifrada, la conexión entre los ordenadores se puede escuchar fácilmente. Mediante el uso de certificados SSL/TLS, la comunicación entre el ordenador del usuario y el servidor, donde se almacenan los sitios web, está cifrada y no puede ser escuchada ni modificada en el camino.

Los visitantes de sitios web tienen la certeza de que los datos enviados al servidor (nombres, contraseñas, números de tarjetas de crédito, etc.) se envían únicamente al operador del sitio web y nadie puede acceder a ellos durante la comunicación.

Al mismo tiempo con el uso de HTTPS no es posible, que por ejemplo un punto de acceso wifi gratis, pueda insertar datos no deseados, por ejemplo anuncios o código dañino a los sitios web sin que el propietario del sitio web o visitante lo sepan. 


Para más información sobre nuestra oferta en certificados SSL de ACTIVE 24 visite  www.active24.es.  

 

Let's Encrypt gratis


Para cada hosting Linux ofrecemos de forma gratuita y automática un certificado de la autoridad de certificación Let's Encrypt. Estos certificados son de confianza en los navegadores y pueden utilizarse para la seguridad completa del sitio.

El certificado emitido es válido por 3 meses y se renueva automáticamente a intervalos regulares. No tiene que preocuparse por las actualizaciones de certificados, que normalmente se instalan manualmente.

NOTA: Los certificados de Let's Encrypt son ofrecidos por nosotros con el mejor esfuerzo. Hacemos el máximo posible para mantener el certificado de la autoridad externa para el sitio web y es renovado regularmente, pero no hay garantía para este servicio. Es por ello que, para sitios web importantes, en los que el funcionamiento depende de un certificado válido, recomendamos usar certificados de pago. Por ejemplo, los certificados con EV (validación extendida) ofrecen el nivel más alto de verificación y en la línea de dirección del navegador también aparece el nombre de la empresa del propietario del dominio, lo que aumenta la credibilidad del sitio web.

Condiciones para los certificados "Let's Encrypt" proporcionados en ACTIVE 24:

  • Se generan para el nombre principal y los alias. Los alias insertados posteriormente se implican automáticamente en el certificado al cabo de varias horas.
  • No se generan para alias con * - por ejemplo *.active24.cz, solo generamos una variante www en lugar de www.active24.cz. Si el certificado tiene que ser para algún subdominio no especificado, es necesario tener alias con nombre específico.
  • La condición para obtener el certificado es un registro DNS correctamente configurado para que apunte al servidor de hosting correcto en ACTIVE 24.
  • Let's Encrypt no admite los llamados dominios IDN (acentuados). Para dichos dominios, no se emitirá el certificado .
  • Los dominios se comprueban en bases de datos que contienen información sobre malware.Si el dominio se encuentra en una de estas listas, no se creará el certificado.
  • Un certificado no puede contener más de 100 alias.
  • Cuando se crea un hosting, primero se genera un certificado autofirmado y se sustituye por el certificado Let's Encrypt. Puede tardar hasta varias horas y deben cumplirse todas las condiciones, antes de que se cree el certificado.
  • Si instala su propio certificado a través del área de cliente, no se realizará ningún otro intento de instalación del certificado Let's Encrypt. La renovación de un certificado propio es gestionada directamente por el cliente. Si desea restaurar el certificado de Let's Encrypt y su administración, póngase en contacto con el servicio de atención al cliente.


CSR (Certificate Signing Request - Solicitud de firma de certificado)


Para emitir un certificado SSL/TLS, se requiere lo que se denomina CSR (Certificate Signing Request - Solicitud de firma de certificado). Se trata de un archivo que contiene información sobre el solicitante y se basa en la clave privada del servidor. La CSR, es generada siempre por el administrador del servidor. 

Desde el Área de cliente puede generar la CSR para el hosting con el sistema operativo Linux en Active24 (encontrará información detallada en el apartado Instalación de certificado), o puede solicitar la generación de la CRS por medio de una Solicitud autorizada. Junto con su solicitud, debera proporcionar la información siguiente.

La CSR debe contener como mínimo los datos siguientes:

Common Name: Nombre de dominio para el que se tiene que crear el certificado, hay diferencia entre dominio con y sin www. (Lo más habitual es pedir el certificado de dominio con www).

Organización: Nombre de la empresa que debe aparecer en el certificado.

Localidad: Ciudad

País: Código del país, insertar sólo con letras mayúsculas (por ejemplo ES)

Estado: Estado
NOTA: En estas informaciones no se utilizan diacríticos, se trata de informaciones que se pueden rastrear al revés.


Instrucciones detalladas para generar la CSR en su propio servidor, las puede encontrar en los sitios web Thawte:

Apache 

Microsoft IIS 7 


Verificación de certificados

Antes de emitir el certificado, la Autoridad de Certificación requiere verificar al propietario. Sin esta verificación, no emitirá un certificado de seguridad.

El método de verificación depende del tipo de certificado. Puede ser validado sólo por un enlace de confirmación pero también lo puede ser mediante una llamada telefónica.

En la dirección active24.es puede elegir el certificado según los métodos de verificación. En general, se puede argumentar que cuanto más compleja sea la verificación de la organización, más creíble será el certificado.

Por ejemplo, los portales de pago pueden requerir que un certificado sea verificado por la compañía por teléfono.

 

Validación de dominio (DV)

Se verifica mediante el e-mail elegido por el cliente desde admin, administrador@, webmaster@, hostmaster@ o postmaster@domain.xyIs.

No se puede elegir otro correo electrónico. La autoridad de la certificación enviará el email a la dirección elegida y el dominio será confirmado mediante el enlace contenido en el e-mail.

Validación del propietario (OV)

La autoridad de certificación se pondrá en contacto con la empresa, para la cual se solicita el certificado. Encontrarán a la compañía en listados telefónicos públicos como por ejemplo paginasamarillas.es , donde se puede encontrar el número de teléfono de la empresa, donde se validará la orden del certificado.  

Las llamadas se hacen solamente en inglés. La empresa introducirá un código en el teléfono, que debe ser confirmado en el correo electrónico.

Validación ampliada (EV)

Es lo mismo que verificar la empresa, pero es mucho más completa. Por lo tanto, la verificación puede tomar más tiempo.

Las informaciones se obtienen de más fuentes y se requiere el envío de documentos certificados.

La autoridad de certificación se pondrá en contacto con el cliente en su correo electrónico, donde se informa al cliente  de lo que es necesario para la validación.

Además, se verifica también la relación de trabajo del empleado, que figura como contacto administrativo en el certificado.

 


 

Instalación del certificado


Todos los servidores virtuales compartidos con sistema operativo Linux soportan la función auto-SSL. Como resultado, tiene activado inmediatamente después de crear el alojamiento, el acceso a su sitio a través de un protocolo HTTPS seguro. Un certificado autofirmado se genera por primera vez en el servidor virtual y, a continuación, el sistema periódicamente intenta reemplazar el certificado de confianza de Let's Encrypt. Puede tardar hasta varias horas y es necesario cumplir con los términos de creación de Let's Encrypt (el más importante es tener el dominio dirigido en este alojamiento).

Los certificados Auto-firmados y Let's Encrypt pueden ser reemplazados en cualquier momento por un certificado propio, en ese caso es responsabilidad del usuario el mantenimiento y actualización del certificado.

Los certificados están instalados en nuestros servidores Linux mediante el método SNI, en donde hay más certificados instalados en una misma dirección IP.

La información básica sobre el certificado actualmente instalado, se muestra en la sección Servicios/Hosting y servidores/Servidores virtuales del Área de cliente, en la opción Certificado SSL/TLS del apartado detalles del servidor virtual. Aquí podrá ver el emisor del certificado, la fecha de caducidad y otras opciones de administración SSL/TLS.

Ver

Se muestran los detalles del certificado instalado. En el caso de un certificado autofirmado, el editor es el dominio al que se emite el certificado. Para otros certificados existe la autoridad de certificación que emitió el certificado.

Reemplazar

Aquí puede reemplazar el certificado instalado actualmente, pedir uno nuevo o generar CSR para el hosting.

  • Solicitar el certificado le redirigirá a nuestra actual oferta de certificados de pago. Una vez emitido el certificado, nuestros técnicos lo instalarán.
  • Crear nueva solicitud de certificado CSR para nuevo certificado. Generará la clave CSR necesaria para la creación de certificados SSL/TLS en otro proveedor.
  • Cargar directamente nuevo certificado: Si tiene un nuevo certificado emitido, puede insertarlo fácilmente y actualizarlo en el servidor. Sólo tiene que seguir el asistente de instalación.

Implementar HTTPS (redirección .htaccess)


HTTPS está implementado (como el propio HTTP) en el alojamiento de Linux mediante el uso del proxy inverso Nginx, que emite el llamado TLS de descarga.

El tráfico entre Nginx y Apache no está cifrado y Apache sabrá acerca del cifrado sólo de la comunicación. Esto resulta en las siguientes limitaciones para las aplicaciones que intentan verificar que se accede a través de HTTPS seguro.

- La detección en PHP usando la variable $_SERVER ['HTTPS']! = 'On' es totalmente funcional
- La variable $_SERVER['SERVER_PORT'] incluye el uso de HTTPS número 80
- ¡La detección con el archivo .htaccess mediante las reglas "RewriteCond %{SERVER_PORT} !^443$" y "RewriteCond %{HTTPS} !on" no funciona! El puerto en estos casos siempre será 8x, con la versión de PHP y HTTPS variable siempre es Off. En lugar de la variable %{HTTPS} es necesario usarla para la detección la variable %{HTTP:X-Forwarded-Proto}.

Para redirigir en HTTPS se recomienda que cumpla con las siguientes condiciones, manteniendo al mismo tiempo la compatibilidad con versiones anteriores:

RewriteEngine On

RewriteCond %{HTTPS} !on

RewriteCond %{HTTP:X-Forwarded-Proto} !=https

RewriteRule ^.*$ https://%{HTTP_HOST}%{REQUEST_URI} [L,QSA,NE]