Let’s Encrypt, certificados SSL libres y gratis paraasegurar tu web con HTTPS

ayudawp.com /lets-encrypt-certificado-ssl-libre-y-gratuito-para-asegurar-tu-web-con-https/

Fernando

Facebook82

Twitter11

Google+10

Buffer21

La web está cambiando, y tengo que decir que a mejor. Uno de los síntomas de estos cambios es queya no vamos a tener que pagar por un certificado SSL para ofrecer nuestra web a través deHTTPS pues ha nacido una entidad certificadora gratuita, avalada por los grandes de la industria, paraque podamos ofrecer más seguridad en la navegación por nuestra web.

Hasta ahora, para instalar un certificado SSL había que pasar por caja, a unos precios anuales quevan desde 85 euros hasta 450 euros, dependiendo del tipo de certificado, pero esto se acabó, tepresento a Let’s Encrypt.

¿Qué es SSL y HTTPS?

SSL es un protocolo por el cual garantizas a tus visitantes que tu web es realmente la que deseanvisitar, y que todos los datos y transacciones realizadas en la misma viajan por la redencriptados.

Huelga decir que es imprescindible para una tienda online, pero también para cualquier web en laque quieras que tus visitantes se sientan seguros al compartir su información, contraseñas o lo quesea que interactúen en tu sitio.

Identificas fácilmente una web segura con SSL porque en la barra de direcciones del navegadorverás un icono de un candado al lado de la URL, y en navegadores como Chrome, haciendo clic enel susodicho candado, se mostrará el certificado, su nivel de seguridad y la certificación que loampara.

El protocolo HTTP se ha usado durante décadas, con relativo éxito, pero básicamente con HTTPestamos ofreciendo una navegación insegura, susceptible de inyecciones y robo deidentidades, datos de usuario, etc.

SSL es una pieza fundamental para ofrecer una web segura a tus visitantes/clientes Click ParaTwittear

El problema con la implantación masiva de HTTPS no ha sido por ninguna dificultad técnica sino,como suele pasar, por mera burocracia y los costes de los mismos certificados SSL.

A eso hay que sumarle que, hasta ahora, instalar un certificado SSL podría llevar a un desarrolladorentre 1 o 3 horas tenerlo activo. Con Let’s Encrypt, además de eliminar la burocracia y los costes,instalar y activar un certificado puede ser cosa de unos minutos, o incluso menos, lo veremos alfinal del artículo.

En definitiva, son una pieza esencial en la seguridad de una web, con la que garantizas a tusvisitantes/usuarios/clientes que sus datos estarán cifrados y, en consecuencia, mucho másseguros que sin SSL.

¿Qué es Let’s Encrypt?

Let’s Encrypt es un esfuerzo, impulsado por la Fundación Linux, para crear una entidad certificadoraque ofrezca certificados SSL abiertos, libres, gratuitos y automáticos.

Esto significa, para que nos entendamos, que ya no habrá que pasar por caja y pagar a unaempresa certificadora para tener un certificado SSL seguro, sino que podemos usar esta entidadde certificación, avalada por los grandes de Internet, que no cobra.

Let’s Encrypt ya ha emitido cerca de 500.000 certificados , y la cifra aumenta a diario.

Issued our 500,000th cert today.

— Let's Encrypt (@letsencrypt) February 4, 2016

Algunas características de Let’s Encrypt que te encantarán son las siguientes:

Totalmente gratuitos

Fácil instalación

No hace falta ningún email de confirmación

No hace falta tener IP dedicadas, que también supondrían un coste adicional

Todos los principales navegadores los reconocen

Se renuevan automáticamente, gratis, salvo que decidas revocarlos

En este vídeo hay una explicación muy sencilla (en inglés) de cómo funciona…

¿Quien está detrás de Let’s Encrypt?

Una enorme garantía de que esto no es flor de un día es que detrás de Let’s Encrypt están lamayoría de los grandes de Internet, y me refiero a Facebook, Google, Automattic, Cisco,Akamai, Sucuri, KeyCDN o SiteGround.

Cualquier empresa, o tu mismo, puede patrocinar el proyecto, ya sea pagando una suculenta sumapara garantizar la supervivencia de la entidad, como han hecho los grandes de la industria, omediante pequeñas donaciones por Paypal, en esta página.

En cualquier caso, vista la apuesta de las principales empresas, Let’s Encrypt tiene un gran futuro,ya presente.

¿Cómo se instala y activa Let’s Encrypt?

Hasta ahora el modo de instalar y activar un certificado SSL de Let’s Encrypt pasa/ba por el

siguiente procedimiento:

1. Si el sistema operativo de tu servidor ya incluye un paquete de letsencrypt simplementeinstálalo usando el comando letsencrypt. En caso contrario puedes usar el script letsencrypt-auto para obtener una copia desde el repositorio oficial en GitHub:

$ git clone https://github.com/letsencrypt/letsencrypt$ cd letsencrypt$ ./letsencrypt-auto --help

2. Si usas Apache y ya tienes el paquete puedes instalar el certificado con el siguiente comando:

./letsencrypt-auto --apache

El script te pedirá el email y, si no está especificado, también el dominio, como se ve en estascapturas de ejemplo:

1. Si no usas Apache , por ejemplo Nginx, primero hay que obtener elcertificado con el siguiente comando:

./letsencrypt-auto certonly --standalone

2. A continuación tendrás que introducir el email y dominio, y elproceso te informa de que se instalan 2 archivos de certificación,/etc/letsencrypt/live/tusitio.com/ denominados fullchain.pem yprivkey.pem.

3. El siguiente paso es cambiar la configuración de Nginx para queuse este certificado. Para ello edita tu archivo de configuración demisitio.com en /etc/nginx/sites-available/ (en algunas instalacionestambién podría estar en /etc/nginx/conf.d):

server { listen 443; server_name example.com; ssl on; ssl_certificate /var/www/example.com/cert/example.com.crt; ssl_certificate_key /var/www/example.com/cert/example.com.key; #... other stuff}

4. Y luego añadimos esto para forzar el uso de SSL:

server { listen 80; server_name example.com; return 301 https://misitio.com$request_uri;}

5. También tendremos que comprobar la configuración SSL en el archivo nginx.conf en

/etc/nginx/nginx.conf, insertando estas líneas:

http { ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; #... other stuff}

6. Finalmente reiniciamos el servidor Nginx: sudo service nginx restart

Lo siguiente, independientemente del servidor, es forzar a que WordPress use SSL en la pantallade acceso y en toda la administración, para lo que añadiremos las siguientes líneas al archivo wp-config.php:

define('FORCE_SSL_LOGIN', true);define('FORCE_SSL_ADMIN', true);

Y, para terminar, iremos a la pantalla de administración, a Ajustes -> Generales, y cambiaremos lasdirecciones URL del sitio y de WordPress, de http a https. WordPress fuerza la salida deadministración y ya podemos entrar de nuevo con nuestro sitio en HTTPS con nuestro flamantecertificado SSL gracias a Let’s Encrypt.

Aunque sea gratis y libre acojona un poco ¿no?…

Ahora en serio ¿cómo se instala y activa Let’s Encrypt pero de un modosencillo, para humanos?

Vale, se puede hacer mucho más fácil , pero aquí dependemos de que nuestro proveedor de hostingnos facilite la tarea. Si tienes esa suerte, el proceso sería mucho más sencillo

¿He dicho mucho más sencillo?, mentía, en realidad sería SUPER SENCILLO.

Que yo sepa, de momento solo SiteGround ha implementado un sistema de este tipo para quecualquier usuario sin conocimientos avanzados pueda instalar fácilmente Let’s Encrypt y creary activar certificados SSL gratuitos para sus web, a un clic (si hay alguno más me avisáis en loscomentarios y lo añado), al menos la parte que a tu servidor le compete, aunque hay una cosilla másque tendrías que hacer, te lo explico luego.

SiteGround ha creado una aplicación en su cPanel para que puedas instalar certificados SSLgratuitos con Let’s Encrypt.

La aplicación ya está totalmente operativa para todos los alojamientos compartidos en el cPanel,los que usamos el común de los mortales y quienes más agradeceremos esta facilidad, y si loquieres en dedicados o cloud solo tienes que pedirles que te lo instalen mandando un ticket a soporte.

En @SiteGround_ES puedes instalar gratis certificados SSL a un clic Click Para Twittear

Nota: veo que Dreamhost también ofrece Let’s Encrypt, hay que pedirlo a soporte pero te lo instalan yasesoran. Si alguien lo ha probado que lo cuente.

Cómo instalar y activar un certificado SSL Let’s Encrypt en SiteGround

Primero, por supuesto, vas a SiteGround, entras en el cPanel de tu cuenta y localizas el icono deLet’s Encrypt y haces clic para abrirla:

Una vez dentro solo tienes que elegir el dominio y email asociado y darle al botón “ Instalar“…

El proceso de instalación se inicia automáticamente y en menos de un minuto ya lo tienes ,

pudiendo acceder a la versión https de tu web.

¿Caducan los certificados SSL de Let’s Encrypt?

No te asustes si ves que al crear un certificado SSL de Let’s Encrypt poneque dura hasta dentro de 3 meses, es así por defecto pero se renuevanautomáticamente salvo que no decidas en algún momento revocarlos.Son para siempre.

Usar certificado SSL y HTTPS por defecto enWordPress

Aunque el certificado ya esté instalado, y puedes acceder a la versiónhttps de tu dominio aún falta un paso, para que forzar a que siempre sevisite tu web mediante HTTPS, de manera segura, da igual si has usadola instalación manual o la automática de SiteGround…

Los pasos, manuales, serían los siguientes:

1. Añadir estas líneas al archivo .htaccess:

RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://tusitio.com/$1 [R,L]

2. Añadir estas líneas al archivo wp-config.php:

define('FORCE_SSL_LOGIN', true);define('FORCE_SSL_ADMIN', true);

3. Cambiar en Ajustes -> Generales las URLs deWordPress y el sitio de http a https

Pero puedes hacer los 3 pasos de golpe y sintocar ni una línea de código ni cambiar ajustealguno, con un maravilloso plugin llamado ReallySimple SSL, que realiza los 3 pasos por ti solocon activarlo.

Solo un consejo personal, pásate por la páginade ajustes del plugin, en Ajustes -> SSL ->Settings y desactiva la casilla denominada Enablejavascript redirection to ssl, pues no es necesariasalvo que el plugin no haya podido añadir laslíneas de redirección a https en el archivo.htaccess.

Deja el resto sin tocar. Sé que es tentador activar eso llamado Turn HTTP Strict Transport Security on ,pero si luego decides echarte atrás tus visitantes seguirán siendo redirigidos a la versión HTTPS de tuweb durante un año aunque luego lo desactives de nuevo, ahí es nada. No hace falta en realidad asíque no lo actives, no marques la casilla.

SSL, HTTPS y el SEO

¿Hemos terminado? En realidad no, quedan un par de cosas que hacer antes de dar por terminada latarea de ofrecer navegación segura por nuestra web.

No sé si habrás caído pero resulta que Google tiene identificada nuestra web como http://loquesea.espero ahora se llega por https://loquesea.es, y es absolutamente imprescindible “decirle” lo que hapasado, que nuestra web ya es segura y se llega por HTTPS.

Para ello debemos ir a la Search Console de Google, antes conocida como Herramientas paraWebmasters, y añadir la propiedad, poniendo nuestro dominio como https.

Si ya teníamos configurado nuestro sitio con el código de verificación no hará falta hacerlo de nuevopues nos ofrece el mismo. Solo quedaría decirle dónde tenemos el sitemap , como con cualquierotro dominio, fin.

Tras instalar un certificado SSL debes modificar la URL a https en la Search Console #SEO Click ParaTwittear

También se podría hacer mediante la opción de la consola de cambio de dominio pero he comprobadoque el resultado es el mismo, lo que prefieras.

SSL y Google Analytics

Si, además, quieres seguir realizando seguimiento de tráfico y campañas mediante GoogleAnalytics tendrás que pasarte por la administración del servicio y cambiar la dirección de la“propiedad” a https, sencillo desde el desplegable donde está el dominio.

¡Ya está!

A partir de ahora, cuando visitemos tu web, tienda online o lo que sea, lo haremos de manera segura,con nuestros datos de usuario o cliente viajando cifrados por tu sitio.

Comprobación de la seguridad del certificado SSL de Let’s Encrypt

Si tienes alguna duda de la validez y seguridad de tu certificado SSL de Let’s Encrypt puedescomprobarlo en alguna de las siguientes webs:

https://www.wormly.com/test_ssl

https://sslcheck.globalsign.com/en_US/sslcheck

He probado todas las webs en las que ya he activado los certificados SSL de Let’s Encrypt y losresultados son 100% satisfactorios.

SSL y CloudFlare

Te sonará, y sino te lo digo yo, que a veces hay problemas cuando tienesactiva la CDN de CloudFlare e instalas un certificado SSL, y es cierto.

Lo normal es que veas este feo error:

Error: The server experienced a TLS error duringdomain verification

No hay problema, simplemente pausa tu servicio de CloudFlare einstala/activa de nuevo Let’s Encrypt.

HTTPS y HTTP/2

¿Te suena HTTP/2?

En breve te diré que es el nuevo protocolo que va a sustituir a HTTP/1.1 , que ya lleva con nosotrosdemasiado tiempo.

Es importante la relación con los certificados SSL para ofrecer HTTPS, pues HTTP/2 requiere de

HTTPS, necesita un certificado SSL, así que si instalas un certificado SSL ya estás preparadopara la siguiente generación de la web, de Internet, pero esto del HTTP/2 ya lo vemos otro día, quetambién es muy interesante.

¿Te quedan dudas? ¿Ya tienes SSL?

Si tienes alguna duda o quieres apuntar algo que se me haya pasado es tu turno, ahí tienes loscomentarios para aprender todos juntos y mejorar la web que conocemos.

Facebook82

Twitter11

Google+10

Buffer21

Valora este artículo para mejorar la calidad del blog ...

(13 votos, promedio: 5,00 de 5)Loading...

Puede que también te ayude …

Forzar HTTPS SSL en WordPress

Protege tu sesión de WordPress con SSL

¿Es SiteGround el mejor hosting WordPress?

Qué es Photon y cómo funciona

No se importan los adjuntos desde el importador de WordPress

Guía de Administración de WordPress

Heartbleed, el mayor fallo de seguridad de la historia de Internet:qué es y qué hacer para asegurar WordPress