Sitio no seguro (SSL, Chrome 56, Firefox 51...)

[MAXIUM]

Hola que tal,

Les comento, tengo un sitio que requiere usuario y contraseña para acceder al sistema. Con las recientes versiones de Chrome y Firefox, los esta marcando como INSEGUROS. De momento el aviso es sutil, pero en las próximas versiones sera una alerta más visible, lo que repercutirá en desconfianza de su uso.

Chrome 56


Firefox 51


La consulta es sobre como puedo resolver esto con OpenSSL u otra herramienta, si existe un tutorial o cualquier ayuda que me guíen paso a paso ya que desconozco por completo este tema.

La página esta alojada en un hosting de pago y no tengo mayor manejo de el que cualquier otro hosting básico.

[Casimiro Notevi]

Si no me equivoco, eso es cuestión de la web, usar https, en lugar de http.

[[AgustinOrtu]]

El sitio tiene que usar https e "implementarlo bien" por decirlo de una forma. Basicamente tienen que tener los certificados al dia y que el cifrado sea reconocido y de calidad

https://en.wikipedia.org/wiki/HTTPS

[MAXIUM]

Ok, si entiendo esa parte. Pero me gustaría saber como implementar esto y si sirve de algo OpenSSL

[[AgustinOrtu]]

Tenes que obtener un certificado. Proba con Let's Encrypt

PD: No podes hacer nada con Club Delphi, a menos que seas el webmaster. El problema no son los clientes, es el servidor web. Si la autenticacion es "dual" o "mutua" es mas segura pero es engorrosa para el cliente porque tiene que instalar su certificado:

https://en.wikipedia.org/wiki/HTTPS#Security

Cita:

SSL/TLS comes in two options, simple and mutual. The mutual version is more secure, but requires the user to install a personal client certificate into their web browser in order to authenticate themselves

OpenSSL es simplemente una biblioteca open source que implementa SSL, es decir, es una biblioteca criptografica

[bitbow]

Si usas https, tu certificado debe estar vigente, esta seguridad es en base al servidor, por lo que le puedes poner a tu sitio cualquier tema de seguridad y seguira identificado como inseguro.

Es necesario que uses https y lo implementes de forma correcta, el certificado https lo compras y lo instalas en el servidor (el costo varia dependiendo del nivel de seguridad), si tu sitio no usa https y te marca esa alerta es posible que tengas otros problemas o que tu sitio web este reportado como inseguro (o alguna otra cuestion rara o algun fantasma o una tuerca).

Saludos.

[MAXIUM]

Cita:

Empezado por bitbow

Si usas https, tu certificado debe estar vigente, esta seguridad es en base al servidor, por lo que le puedes poner a tu sitio cualquier tema de seguridad y seguira identificado como inseguro.

Es necesario que uses https y lo implementes de forma correcta, el certificado https lo compras y lo instalas en el servidor (el costo varia dependiendo del nivel de seguridad),
Saludos.

Es decir, nada que yo pueda hacer. Solo tengo contratado un hosting como cualquier otro. Según lo que me dices, es un problema del servidor, por lo tanto, todos los que están alojados en el tendrán el mismo problema y no podremos hacer nada al respecto.

Cita:

Empezado por bitbow

si tu sitio no usa https y te marca esa alerta es posible que tengas otros problemas o que tu sitio web este reportado como inseguro (o alguna otra cuestion rara o algun fantasma o una tuerca).

El asunto es que TODOS los sitios que requieran que los usuarios se logeen tendrán esta alerta a partir de Chrome 56 y Firefox 51 sino adquieren un certificado SSL o HTTPS. Por ESO puse el sitio de www.clubdelphi.com/foros como ejemplo. Ya que también sale con esta "sutil" advertencia pero en las próximas versiones de estos browser, serán más escandalosos.



Más información de lo que estoy comentando, aquí GOOGLE MOSTRARÁ COMO INSEGUROS LOS SITIOS WEB SIN HTTPS

[bitbow]

La pagina de mozilla dice que el mensaje puede ser por muchas causas >>

https://support.mozilla.org/es/kb/qu...n-no-es-segura

Veo complicado validar esto desde tu pagina web, creo que es mas tema del hosting y si hay que adecuar algo en tu pagina ellos te indicaran.

Saludos y suerte.

[mamcx]

El asunto es mas simple de lo que parece.

- NO usar http
- NO mezclar link/conexiones http con https
- Usar un certificado. Con Let's Encrypt es super-facil ahora
- Configurar el servidor web para usar el certificado y hacer redireccion/convertir links viejos

Es muy facil, solo que uno no le presta mucho cuidado a eso. Hay me acorde que ni lo he hecho pa mi sitio!

[MAXIUM]

Cita:

Empezado por mamcx

- Usar un certificado. Con Let's Encrypt es super-facil ahora

Excelente, solo me falta obtener el certificado.

Hable con mi hosting y me indicaron los pasos a seguir https://docs.hosty.cl/tutoriales/web...en-apache.html

[MAXIUM]

Bueno, después leer varios tutoriales sobre como generar el certificado a través de Let's Encrypt y darme por vencido ya que necesitaba tener instalado Linux o ejecutarlo directo en el servidor... revise las opciones de CPanel de mi sitio web.

En la sección Seguridad > SSL/TLS estaba todo listo para generar e instalar el certificado. Solo fueron un par de click...



Lo segundo fue modificar el archivo .htaccess y agregar los siguientes parametros

Código:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Y listo, mi sitio ya es seguro

[[AgustinOrtu]]

Lo que es la ciencia

[Ñuño Martínez]

Un simple detalle:

Tanto Firefox como Chrome, como otros navegadores, seguirán indicando que la web no es segura si no se usan los servicios de ciertas empresas. Por ejemplo, si usas un certificado de la Real Fábrica de Moneda y Timbre Española (FMT), que es total y absolútamente válido, el navegador avisará de que se está usando un certificado no válido. Como digo, sigue siendo válido, pero el navegador dirá que no ya que la FMT no está en sus bases de datos (otra cosa es preguntarse el por qué...).

Sólo informo.

[Casimiro Notevi]

Creo que esta misma semana, por fin, en la última versión de firefox han solucionado el problema. Era algo legal que, como todo en palacio, va despacio.

[mamcx]

Cita:

Empezado por Ñuño Martínez

Como digo, sigue siendo válido, pero el navegador dirá que no ya que la FMT no está en sus bases de datos (otra cosa es preguntarse el por qué...).

Es debido a que todo esta esta construido por una relacion de confianza, y los navegadores tienen un limitado numero de "Certificados raices". Por ejemplo, mozilla:

https://wiki.mozilla.org/CA:IncludedCAs

Esto es debido a que si un miembro de estos certificados se veulve maligno, puede crear ataces de "hombre en el medio"

https://www.us-cert.gov/ncas/alerts/TA15-120A

Cita:

Generally, encryption and digital certificates provide an effective safeguard against MITM attacks, assuring both the confidentiality and integrity of communications. As a result, modern MITM attacks have focused on taking advantage of weaknesses in the cryptographic infrastructure (e.g., certificate authorities (CAs), web browser certificate stores) or the encryption algorithms and protocols themselves.

Ahora, es cierto que ciertas entidades tienen un alto interes de estar como certificados raiz.

Y si miran la lista de Mozilla, pueden deducir quienes estan involucrados en restringir o monitoriar estas conexiones. Es por eso que es mejor usar certificados que no hagan parte de ciertas organizaciones (osea, sean independientes)

Creo recordar que LessEncrypt tiene ese proposito.