¡Vamos a cifrar todo! ... o HTTPS venga a nosotros tu reino

Esta semana por fin se ha publicado la primera beta de Let's Encrypt, la CA gratuita que automatiza la configuración e instalación de certificados para habilitar fácilmente SSL. La idea es sencilla: descargamos un cliente de código abierto para nuestro servidor web y con un único comando solicitamos e instalamos el certificado y lo configuramos para su uso, todo automáticamente, like a boss!

Por ejemplo, vamos a probar a habilitar SSL en Apache. Primero clonamos con git el proyecto:
 
git clone https://github.com/letsencrypt/letsencrypt

y paramos el servidor (no es necesario si especificamos webroot letsencrypt-auto certonly -a webroot --webroot-path /var/www -d domain.tld):

sudo systemctl stop apache2

Luego usaremos letsencrypt-auto, un wrapper que instala algunas dependencias desde los repositorios oficiales del sistema operativo (por ejemplo usando apt-get o yum) y, para otras dependencias, instala un entorno virtualizado en Python con paquetes descargados desde PyPI. También proporciona actualizaciones automatizadas.

Especificamos el parámetro --apache para que utilice el plugin correspondiente:

cd ./letsencrypt
./letsencrypt-auto --apache

A continuación seguimos el GUI para activar el dominio que queremos:


Ahora decidimos si seguimos permitiendo el acceso HTTP o no:
 

Reiniciamos y ya tenemos SSL funcionando. ¡Así de sencillo! Ya tenemos un certificado TLS 1.2 de 2048-bit con una firma SHA-256 funcionando.

Eso sí, tener en cuenta que los certificados caducan a los 90 días, así que tendremos que automatizar su renovación automática. 

Tenéis toda la documentación aquí además de una guía rápida
También podéis ver aquí los certificados raíz e intermediarios (firmados por IdenTrust) de la plataforma.

En definitiva el proyecto es muy interesante y parece bastante robusto ya que cuenta con la colaboración de Mozilla, la Universidad de Michigan, Cisco, Akamai y otros patrocinadores. El objetivo: hacer que HTTPS se convierta en el protocolo por defecto para navegar por Internet, evitando que la gente siga usando HTTP plano y por lo tanto estando sometida a la vigilancia y a la inyección de anuncios no deseados, malware y cabeceras de seguimiento ilegal que muchos sitios web y organizaciones utilizan.

Así que si tienes tu propio sitio web ¿a qué esperas para utilizarlo?

pd. mientras... los blogs de Blogger como éste que utilizan dominios personalizados (ej. hackplayers.com) seguimos esperando que Google nos ofrezca alguna posibilidad para habilitar de una vez por todas HTTPS...

Fuentes:
- Let's Encrypt Enters Public Beta
- Free HTTPS certs for all – Let's Encrypt opens doors to world+dog
- Let's Encrypt - How its works

3 comentarios :

  1. Pueden utilizar Cloudflare que básicamente es un proxy inverso. Tiene la opcion de habilitar SSL (Flexible SSL) para las personas que no tengan un certificado instalado en su servidor.

    Claro que el tráfico cifrado sería unicamente del Visitante > Cloudflare.

    ResponderEliminar
    Respuestas
    1. entiendo que natearía las IPs entrantes a blogger, no? Si es así perdería analytics...

      Eliminar
    2. Pues Cloudflare tiene la opcion de habilitar Google Analytics.

      Eliminar