0

Cómo pasar de http:// a https:// sin morir en el intento (certificados digitales SSL)

Como ya comentamos en un anterior artículo, los principales buscadores se están poniendo pesaditos con el rollo de que “tu web no es segura” y “yo no lo haría forastero…”, con todas aquellas webs que no cuentan con certificados digitales SSL para sus páginas webs, lo que hasta hace poco pasaba con la mayoría de las existentes. Veamos lo que podemos hacer al respecto…

Antes de nada conozcamos los tipos de certificados digitales SSL

Son un servicio de un agente externo (una agencia certificadora) que comprueba que nuestros contenidos provengan de quien dice proporcionarlos y, además, sean encriptados, tanto los que facilitamos al usuario, como, más importante, los que el usuario nos facilita a través de los formularios principalmente, para identificarse, mandarnos información o realizar una compra on-line.

Hay diferentes tipos de certificados SSL según su capacidad de validación:

  • Certificados digitales SSL con validación de dominio. La agencia de certificación comprueba el derecho del solicitante a usar un nombre de dominio específico. No se inspecciona la identidad de la empresa y únicamente se muestra la información encriptada al hacer clic sobre el icono de página segura del navegador. (Aparece candado en verde)
  • Certificados digitales SSL con validación de organización o empresa. La agencia de certificación comprueba el derecho del solicitante a usar un nombre de dominio específico y somete a la organización a una inspección. La información corporativa inspeccionada se muestra al cliente final con un simple clic de ratón sobre el icono de página segura del navegador.(Aparece candado en verde)
  • Certificados digitales SSL con validación ampliada. La agencia de certificación comprueba el derecho del solicitante a usar un nombre de dominio específico y somete a la organización a una inspección pormenorizada que incluye los siguientes pasos (Aparece barra en verde):
    • Comprobar la existencia jurídica, física y operativa de la entidad.
    • Comprobar que la identidad de la entidad coincide con los registros oficiales.
    • Verificar el derecho de la entidad a utilizar el dominio especificado en el certificado con validación ampliada.
    • Verificar que la entidad ha autorizado debidamente la emisión del certificado con validación ampliada.

Hay diferentes tipos de certificados SSL según su el número de dominios y subdominios:

  • Certificados digitales SSL de un solo dominio: hay que adquirir uno para cada dominio y tipo (por ejemplo  www.midomino.com y midominio.com necesitarían certificados diferentes)
  • Certificados digitales SSL multi-dominio: paquetes de certificados que proporcionan las agencias certificadoras.
  • Certificados digitales SSL tipo Wildcard: aquellos que protegen todos tus subdominios (*.midominio.com).

Por último hay diferentes tipos de certificados SSL según su coste:

  • Certificados digitales SSL de pago: ofrecen todo tipo de los certificados descritos y normalmente una garantía económica (un seguro), que avala la calidad de su encriptado e inspección.
  • Certificados digitales SSL gratuitos: solo ofrecen un certificado de validación de dominio, pero podemos utilizar tantos como necesitemos. No ofrecen garantía económica. Por ahora solo existe una única agencia que es Let’s encrypt, pero que está respaldada por firmas como Cisco, Facebook, Mozilla o Google Chrome, entre mucho otros.

Paso previo: requisitos del hosting

Para empezar tenemos que decir que no todos los alojamientos web admiten el uso de certificados digitales SSL. Los hosting compartidos más sencillos no admiten la aplicación de certificados.

En teoría necesitaremos una IP dedicada para cada dominio. Esto se puede suplir si el servidor tiene  activado el Server Name Indication protocol (SNI), que permite que el servidor asigne múltiples dominios a una única dirección IP. Dicho esto, los tipos de alojamiento web que habitualmente permiten la instalación de certificados digitales SSL son los siguientes:

  • Hosting compartido con acceso a la administración del servidor: nos permiten realizar ciertas configuraciones del servidor mediante un programa administrador tipo cPanel o similar. En la práctica son servidores virtuales a los que se les ha limitado su capacidad.
  • Servidores Virtuales Privados (VSP): es decir, varios servidores que corren en una misma máquina. Nos permite configurar a nuestro antojo todas sus características.
  • Servidores dedicados: en estos tenemos el control de un servidor físico, normalmente con mayor capacidad, para nuestro uso exclusivo.

Resumiendo, si podemos configurar el servidor con un programa cPanel o similar, podremos instalar el certificado, sino tendremos que cambiar de hosting y hacer una migración al nuevo emplazamiento, con los pequeños quebraderos de cabeza que ello nos puede causar.

Adquirir y activar el certificado

No voy a extenderme mucho en este apartado. Lo normal es que la adquisición del certificado se produzca a través del proveedor del hosting.

Una vez adquirido es necesario activar el certificado a través del programa administrador del hosting o del servidor que utilicemos (os recomiendo este artículo de Liquidweb (en), para los que queráis profundizar en el tema). Por suerte casi todos los proveedores de alojamiento facilitan la labor, tanto en los casos de pago como en los gratuitos, así que para este paso es mejor que solicitemos, en caso de duda, asistencia por parte de los proveedores de hosting, ya que los procedimientos pueden variar en cada caso.

Puesta en marcha: caso WordPress

En el caso de WordPress y otros gestores de contenidos similares como Jommla o Drupal, para su puesta en marcha hay que cambiar la url de referencia del gestor de http://www.midominio.com a https://www.midominio.com. Además hay que asegurarse que todas las peticiones a la antigua dirección -http:- se redireccionen a -https:-. La mejor forma de hacerlo es haciendo una redirección desde el archivo .htaccess.

Pero no nos asustemos, ya existen plugins que harán todo ese trabajo por nosotros (Really Simple SSL por ejemplo), de forma casi automática. Como siempre, antes de todo es conveniente hacer una copia de respaldo de todo lo que vayamos a tocar.

Por último debemos comprobar que todo funciona correctamente, para lo que nos pueden servir, el propio navegador o servicios web como los de GlobalSingn o WhyNoPadlock, que nos indicaran si hay algún error en nuestra configuración. Es importante señalar que si alguna imagen o elemento está apuntando a una web insegura, los navegadores declararán que nuestra web no es segura del todo y que contiene elementos inseguros. Otros plugins como SSL Insecure Content Fixer pueden ayudarnos en esta labor.

Darse de nuevo a conocer en Internet: Google Analytics y Google Search Console

Como si acabáramos de nacer, para Google nuestras nuevas direcciones https:// son realmente nuevas para el buscador, así que tenemos que volver a validarlas.

  • En el caso de Google Analytics desde el panel de inicio, tendremos que acceder a la carpeta Administrador y en la columna Ver, ir a Ver configuración, donde encontraremos el apartado URL del sitio web, donde un selector nos permite cambiar de modo http:// a https://.
  • En el caso de Google Search Console, deberemos dar de alta las nuevas direcciones (https://www.midominio.com y https://midominio.com ) y luego volver a subir los sitemaps de ambas direcciones para que nuestras páginas sean indexadas de nuevo por el buscador.

Ni que decir tiene que estos son los aspectos más importantes, pero que podemos hacer lo mismo en los servicios similares de otros buscadores, directorios y redes sociales donde creamos conveniente que nuestra nueva url aparezca correctamente.

Conclusiones: otra vuelta de tuerca

Al final con un poco de trabajo y tiempo todo se consigue. Siempre nos queda el resquemor de si todo esto de los certificados SSL sirve para algo o es otra forma de intentar sacarnos los cuartos, porque cualquier hacker avispado se nos puede reír a la cara de nuestros esfuerzos. Lo que está claro es que va ser casi obligatorio dotar a nuestras páginas web de los mismos en entornos profesionales y que ello quiere decir que los típicos hostings compartidos van a pasar a mejor vida, sustituidos por los nuevos modelos de servidores virtuales a medida.

Deja un comentario

Puedes usar las siguientes etiquetas HTML y atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>