Archivo de la etiqueta: SSL

Detectar y solucionar errores en la carga de contenido seguro SSL

Detectar y solucionar errores en la carga de contenido seguro SSLTal como hemos comentado en numerosas ocasiones, contratar un certificado SSL es ya casi un requisito esencial para nuestro sitio web, no solo para sitios web de comercio electrónico, sino para cualquier tipo de web. Tras su instalación y configuración, hay ocasiones en las que el sitio web no carga el certificado correctamente y por ello, en este artículo vamos a explicaros cómo detectar y solucionar errores en la carga de contenido seguro SSL. Sigue leyendo

Facebooktwittergoogle_plus

Que configurar después de contratar un certificado SSL

Que configurar después de contratar un certificado SSLEn Evidalia, disponemos de varios tipos de Certificados SSL para tu sitio web. En este artículo os mostramos como realizar el proceso de compra y os indicamos que una vez contratado, se debían realizar unos cambios en nuestro sitio web que cargara mediante https. En el artículo de hoy queremos mostraros que configurar después de contratar un certificado SSL, ya que dependiendo de si tenemos un CMS o una web creada a medida, el proceso difiere bastante. Sigue leyendo

Facebooktwittergoogle_plus

Contratar un certificado SSL

Contratar un certificado SSLEn alguna ocasión os hemos comentado la necesidad de disponer de un certificado SSL para el intercambio de información sensible entre nuestra web y los usuarios que acceden a ella. Pero ha sido en los últimos meses, cuando los certificados SSL están tomando especial importancia ya que éste aspecto es tomado en cuenta a la hora de que Google nos posicione nuestro sitio web.

Es por ello que en Evidalia Hosting ofrecemos desde hace tiempo varios certificados SSL para cubrir un amplio espectro en cuanto a necesidades de nuestro clientes, así que hoy os vamos a mostrar los pasos para contratar un certificado SSL. Sigue leyendo

Facebooktwittergoogle_plus

Forzar a usar una conexión segura

Forzar a usar una conexión seguraHace tiempo os comentamos los caracteres extraños que aparecían en la url de Google, y esto era simplemente porque el buscador forzaba a sus usuarios a utilizar una conexión segura o conexión SSL.

Si por la circunstancia que sea, necesitas que todas las visitas a tu sitio utilicen una conexión segura, puedes forzar su uso mediante el uso del fichero .htaccess , aunque lo primero que haremos será comprobar que podemos disponer del módulo mod_rewrite, ya que éste es necesario. Sigue leyendo

Facebooktwittergoogle_plus

Un certificado SSL te ayuda a posicionar tu web

certificado SSLRecientemente se ha dado a conocer que un nuevo parámetro que Google va a tener en cuenta a la hora de posicionar un sitio web es si dicho sitio posee un certificado SSL.

Como ya hemos comentado en mas de una ocasión, Google evoluciona su algoritmo constantemente, y lo que hace unos meses funcionaba, tal vez hoy ya no lo haga.

Es por ello que debemos estar atentos a las pocas filtraciones que se producen en cuanto a lo que Google tiene en cuenta para posicionar la web. En esta ocasión si se ha hecho pública dicha modificación y como ya os comentábamos, los sitios que posean un certificado SSL van a conseguir mejor puntuación que lo que no.

Los certificados SSL, van a permitir que los datos viajen encriptados, algo que es muy importante en sitios web que trabajen con información sensible y páginas de comercio electrónico.

Al parecer, Google ya ha incorporado a su algoritmo la opción para tener en cuenta si el sitio posee algún certificado, pero será en el próximo año 2015, cuando este aspecto va a ser verdaderamente relevante.

Si nuestra web maneja datos privados, deberemos tener en cuenta la adquisición de un certificado SSL. Ademas de mejorar nuestro posicionamiento, daremos una imagen de  seriedad y confianza de cara al usuario.

Si estás interesado en contratar uno de estos certificados, puedes acceder a nuestro página de certificados SSL, o si lo prefieres, puedes consultar la información sobre nuestros certificados es ésta entrada del blog.

Facebooktwittergoogle_plus

Ampliamos la oferta en certificados SSL

Ampliamos la oferta en certificados SSLDentro de nuestra política de mejora continua, en Evidalia Hosting, hemos decidido ampliar la oferta de certificados SSL, pasando de dos a cuatro opciones diferentes. Los nuevos certificados SSL ofrecen soluciones para entornos mas profesionales. Para decantarnos por una opción, lo mejor es conocer que nos ofrece cada uno de ellos. Os mostramos sus características:

Rapid SSL

Es nuestra opción más economica. Es un certificado expedido por la firma GeoTrust SSL. Como característica principal destacaremos su encriptación de 256 bits, su validación de dominio y su alta compatibilidad para los navegadores.

Quick SSL

Nuestra segunda opción, también de la firma GeoTrust SSL, posee unas características similares a la opción Rapid SSL, aunque amplia la gama compatibilidad con los navegadores, lo que repercute en un mayor grado de seguridad.

Essencial WildCard

Este certificado es uno de nuestras dos nuevas incorporaciones. Es ofrecido por la empresa Comodo SSL y su principal característica frente a las opciones anteriores es la posibilidad de ofrecer servicio tanto al dominio principal como para todos sus subdominios.

 True BusinessID EV

Las características de este certificado SSL son adecuadas para entornos mas profesionales. Su potente cifrado y su amplia compatibilidad con los navegadores hacen un producto muy sólido. Ademas, el certificado valida el dominio y a la organización/empresa.

La función EV (Extended Validation), permite añadir un icono de candado color verde a la url de la barra de navegación, lo cual es un signo claramente identificativo de que navegamos por un sitio seguro y profesional.

 

Facebooktwittergoogle_plus

¿Que son los certificados SSL?

sslSecure Socket Layer es un sistema de protocolos de caracter general diseñado en 1994 por la empresa Nestcape Communcations Corporation, y está basado en la aplicación conjunta de Criptografía Simétrica, Criptografía Asimétrica (de llave pública), certificados digitales y firmas digitales para conseguir un canal o medio seguro de comunicación a través de Internet. De los sistemas criptográficos simétricos, motor principal de la encriptación de datos transferidos en la comunicación, se aprovecha la rapidez de operación, mientras que los sistemas asimétricos se usan para el intercambio seguro de las claves simétricas, consiguiendo con ello resolver el problema de la Confidencialidad en la transmisión de datos.

SSL implementa un protocolo de negociación para establecer una comunicaión segura a nivel de socked (nombre de máquina más puerto), de forma transparente al usuario y a las aplicaciones que lo usan.

Actualmente es el estandar de comunicación segura en los navegadores web más importantes (protocolo HTTP), como Nestcape Navigator e Internet Explorer, y se espera que pronto se saquen versiones para otras otros protocolos de la capa de Aplicación (correo, FTP, etc.).

La identidad del servidor web seguro (y a veces también del usuario cliente) se consigue mediante el Certificado Digital correspondiente, del que se comprueba su validez antes de iniciar el intercambio de datos sensibles (Autenticación), mientras que de la seguridad de Integridad de los datos intercambiados se encarga la Firma Digital mediante funciones hash y la comprobación de resúmenes de todos los datos enviados y recibidos.

Desde el punto de vista de su implementación en los modelos de referencia OSI y TCP/IP, SSL se introduce como una especie de nivel o capa adicional, situada entre la capa de Aplicación y la capa de Transporte, sustituyendo los sockets del sistema operativo, lo que hace que sea independiente de la aplicación que lo utilice, y se implementa generalmente en el puerto 443. (NOTA: Los puertos son las intefaces que hay entre las aplicacoines y la pila de protocolos TCP/IP del sistema operativo).

SSL proporciona servicios de seguridad a la pila de protocolos, encriptando los datos salientes de la capa de Aplicación antes de que estos sean segmentados en la capa de Transporte y encapsulados y enviados por las capas inferiores. Es más, también puede aplicar algoritmos de compresión a los datos a enviar y fragmentar los bloques de tamaño mayor a 214 bytes, volviendolos a reensamblarlos en el receptor.

La versión más actual de SSL es la 3.0. que usa los algoritmos simétricos de encriptación DES, TRIPLE DES, RC2, RC4 e IDEA, el asimétrico RSA, la función hash MD5 y el algoritmo de firma SHA-1.

Los algoritmos, longitudes de clave y funciones hash de resumen usados en SSL dependen del nivel de seguridad que se busque o se permita, siendo los más habituales los siguientes:

* RSA + Triple DES de 168 bits + SHA-1: soportado por las versiones 2.0 y 3.0 de SSL, es uno de los conjuntos más fuertes en cuanto a seguridad, ya que son posibles 3.7 * 1050 claves simétricas diferentes, por lo que es muy dificil de romper. Por ahora sólo está permitido su uso en Estados Unidos, aplicándose sobre todo en transacciones bancarias.

* RSA + RC4 de 128 bits + MD5: soportado por las versiones 2.0 y 3.0 de SSL, permite 3.4 * 10 38 claves simétricas diferentes que, aunque es un número inferior que el del caso anterior, da la misma fortaleza al sistema. Análogamente, en teoría sólo se permite su uso comercial en Estados Unidos, aunque actualmente ya es posible su implementación en los navegadores más comunes, siendo usado por organismos gubernamentales, grandes empresas y entidades bancarias.

* RSA + RC2 de 128 bits + MD5: soportado sólo por SSL 2.0, permite 3.4 * 10 38 claves simétricas diferentes, y es de fortaleza similar a los anteriores, aunque es más lento a la hora de operar. Sólo se permite su uso comercial en Estados Unidos, aunque actualmente ya es posible su implementación en los navegadores más comunes.

* RSA + DES de 56 bits + SHA-1: soportado por las versiones 2.0 y 3.0 de SSL, aunque es el caso de la versión 2.0 se suele usar MD5 en vez de SHA-1. Es un sistema menos seguro que los anteriores, permitiendo 7.2 * 10 16 claves simétricas diferentes, y es el que suelen traer por defecto los navegadores web en la actualidad (en realidad son 48 bits para clave y 8 para comprobación de errores).

* RSA + RC4 de 40 bits + MD5: soportado por las versiones 2.0 y 3.0 de SSL, ha sido el sistema más común permitido para exportaciones fuera de Estados Unidos. Permite aproximadamente 1.1 * 10 12 claves simétricas diferentes, y una velocidad de proceso muy elevada, aunque su seguridad es ya cuestionable con las técnicas de Criptoanálisis actuales.

* RSA + RC2 de 40 bits + MD5: en todo análogo al sistema anterior, aunque de velocidad de proceso bastante inferior.

* Sólo MD5: usado sólamente para autentificar mensajes y descubrir ataques a la integridad de los mismos. Se usa cuando el navegador cliente y el servidor no tienen ningún sistema SSL común, lo que hace imposible el establecimiento de una comunicación cifrada. No es soportado por SSL 2.0, pero si por la versión 3.0.

La clave de encriptación simétrica es única y diferente para cada sesión, por lo que si la comunicación falla y se debe establecer una nueva sesión SSL, la contraseña simétrica se generará de nuevo.

SSL proporciona cifrado de alto nivel de los datos intecambiados (se cifran incluso las cabeceras HTTP), autenticación del servidor (y si es necesario también del cliente) e integridad de los datos recibidos.

Durante el proceso de comunicación segura SSL existen dos estados fundamentales, el estado de sesión y el estado de conexión. A cada sesión se le asigna un número identificador arbitrario, elegido por el servidor, un método de compresión de datos, una serie de algoritmos de encriptación y funciones hash, una clave secreta maestra de 48 bytes y un flag de nuevas conexiones, que indica si desde la sesión actual se pueden establecer nuevas conexiones. Cada conexión incluye un número secreto para el cliente y otro para el servidor, usados para calcular los MAC de sus mensajes, una clave secreta de encriptación particular para el cliente y otra para el servidor, unos vectores iniciales en el caso de cifrado de datos en bloque y unos números de secuencia asociados a cada mensaje.

¿Cómo podemos saber si una conexión se está realizando mediante SSL?. Generalmente los navegadores disponen de un icono que lo indica, generalmente un candado en la parte inferior de la ventana. Si el candado está abierto se trata de una conexión normal, y si está cerrado de una conexión segura. Si hacemos deble click sobre el candado cerrado nos aparecerá el Certificado Digital del servidor web seguro.

Además, las páginas que proceden de un servidor SSL vienen implementadas mediante protocolo HTTP seguro, por lo que su dirección, que veremos en la barra de direcciones del navegador, empezará siempre por https, como por ejemplo:

https://www.evidaliahost.com

Por último, cuando estamos en una conexión segura podemos ver el certificado del servidor acudiendo al menú “Archivo” del navegador y pinchando en “Propiedades”. En la parte inferior tenemos una opción “Certificados”, que nos mostrará el del servidor actual.

Facebooktwittergoogle_plus

Error al acceder al Panel Plesk por primera vez

Es muy frecuente que la primera vez que se accedes al panel Plesk de tu dominio, te encuentres con el mensaje:

  • Esta conexión no está verificada” , en el caso de utilizar el navegador Firefox
  • Probablemente no es el sitio que buscas” si utilizas Chrome
  • Existe un problema con el certificado de seguridad de este sitio web” si tu navegador es Internet Explorer.
conexion-no-verificada-firefox

Mensaje de Conexión no verificada en Firefox

Esto aparece porque estás accediendo a una página segura (https) y por lo tanto toda la información que circula está cifrada , y dicha página no posee ningún certificado SSL.

Deberemos adquirir un certificado SSL solo en el caso de tener un sitio web en el que se recojan datos personales, bancarios, etc, cuando lo utilicen terceras personas ajenas a nuestro sitio. Pero en este caso concreto que solo nosotros accederemos a la página del panel Plesk, no es necesario adquirir un certificado SSL. Al no poseer ningún certificado, el navegador nos informará mostrando el mensaje anteriormente descrito y dependiendo de cada navegador deberemos proceder:

Firefox:

Pulsaremos sobre Entiendo los riesgos y entre las nuevas opciones que nos aparecen seleccionaremos Añadir excepción y en la siguiente ventana pulsaremos sobre el botón Confirmar excepción de seguridad.

Chrome:

En Chrome únicamente deberemos de pulsar sobre el botón de Continuar de todos modos.

Explorer:

En Explorer, aunque nos parezca una contradicción, deberemos pulsar sobre Vaya a este sitio web (no recomendado).

 

Facebooktwittergoogle_plus