Sitio no seguro (SSL, Chrome 56, Firefox 51...)

[MAXIUM]

Cita:

Empezado por mamcx

- Usar un certificado. Con Let's Encrypt es super-facil ahora

Excelente, solo me falta obtener el certificado.

Hable con mi hosting y me indicaron los pasos a seguir https://docs.hosty.cl/tutoriales/web...en-apache.html

[MAXIUM]

Bueno, después leer varios tutoriales sobre como generar el certificado a través de Let's Encrypt y darme por vencido ya que necesitaba tener instalado Linux o ejecutarlo directo en el servidor... revise las opciones de CPanel de mi sitio web.

En la sección Seguridad > SSL/TLS estaba todo listo para generar e instalar el certificado. Solo fueron un par de click...



Lo segundo fue modificar el archivo .htaccess y agregar los siguientes parametros

Código:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Y listo, mi sitio ya es seguro

[[AgustinOrtu]]

Lo que es la ciencia

[Ñuño Martínez]

Un simple detalle:

Tanto Firefox como Chrome, como otros navegadores, seguirán indicando que la web no es segura si no se usan los servicios de ciertas empresas. Por ejemplo, si usas un certificado de la Real Fábrica de Moneda y Timbre Española (FMT), que es total y absolútamente válido, el navegador avisará de que se está usando un certificado no válido. Como digo, sigue siendo válido, pero el navegador dirá que no ya que la FMT no está en sus bases de datos (otra cosa es preguntarse el por qué...).

Sólo informo.

[Casimiro Noteví]

Creo que esta misma semana, por fin, en la última versión de firefox han solucionado el problema. Era algo legal que, como todo en palacio, va despacio.

[mamcx]

Cita:

Empezado por Ñuño Martínez

Como digo, sigue siendo válido, pero el navegador dirá que no ya que la FMT no está en sus bases de datos (otra cosa es preguntarse el por qué...).

Es debido a que todo esta esta construido por una relacion de confianza, y los navegadores tienen un limitado numero de "Certificados raices". Por ejemplo, mozilla:

https://wiki.mozilla.org/CA:IncludedCAs

Esto es debido a que si un miembro de estos certificados se veulve maligno, puede crear ataces de "hombre en el medio"

https://www.us-cert.gov/ncas/alerts/TA15-120A

Cita:

Generally, encryption and digital certificates provide an effective safeguard against MITM attacks, assuring both the confidentiality and integrity of communications. As a result, modern MITM attacks have focused on taking advantage of weaknesses in the cryptographic infrastructure (e.g., certificate authorities (CAs), web browser certificate stores) or the encryption algorithms and protocols themselves.

Ahora, es cierto que ciertas entidades tienen un alto interes de estar como certificados raiz.

Y si miran la lista de Mozilla, pueden deducir quienes estan involucrados en restringir o monitoriar estas conexiones. Es por eso que es mejor usar certificados que no hagan parte de ciertas organizaciones (osea, sean independientes)

Creo recordar que LessEncrypt tiene ese proposito.