Como instalar correctamente un certificado SSL y sacarle el máximo partido

//Como instalar correctamente un certificado SSL y sacarle el máximo partido

Como instalar correctamente un certificado SSL y sacarle el máximo partido

Hay muchas tiendas online y webs que adquieren certificados de un coste anual muy elevado y que no les aporta nada positivo por el simple hecho de una incorrecta configuración de la web y del servidor https.

Los certificados digitales SSL sirven para autenticar a un usuario o sitio web en internet, pero este certificado no es visible en el navegador  por el usuario si tu sitio web no tiene activado correctamente el soporte para SSL, o lo que es lo mismo, la navegación segura https://

A continuación te listamos los problemas más frecuentes que nos encontramos en una mala configuración de la web con certificados SSL, que pueden invalidar, de forma parcial o total, el protocolo seguro SSL

  • Tener recursos de la web con protocolo no seguro es decir con http://
  • Tener recursos externos de la web con protocolo seguro pero sin un certificado SSL válido
  • Configuracion incorrecta del servidor Apache: sin soporte de PFS (perfect forward secrecy), sin soporte TLS moderno etc..
  • Módulos SSL no actualizados en el servidor y con bugs de seguridad, por ejemplo en linux el modulo open SSL
  • Sólo activar la navegación segura en alguna partes de la web. Como ya dijimos en otra entrada anterior, Google recomienda la navegación segura en toda la web.

¿Cómo solucionar estos problemas?

  • Cambiar todos los enlaces del código html de nuestra web, que apunten a algun recurso con http:// a https:// 
  • Si tu web utiliza recursos javascript, css o imagenes externas que no tienen un certificado SSL válido tienes que alojarlas dentro de tu dominio y hosting
  • Ejemplo para configurar en apache el módulo SSL:

    Agregar/modificar esto dentro del archivo ssl.conf (mod_ssl)

    SSLProtocol all -SSLv2 -SSLv3
    SSLHonorCipherOrder on
    SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
    EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
    EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
  • Actualizar los modulos SSl de nuestro servidor como puede ser Openssl.
    Por ejemplo: En CentOS, nos conectamos por ssh con usuario root y tecleamos yum update openssl
  • Activar la navegación segura en toda la web, realizar esto en la mayoria de las webs es simple pero dependerá de nuestro gestor web. Esto, además de una mejora en el posicionamiento (esto lo dice directamente Google), le da más confianza y seguridad al usuario cuando navega por nuestra web, ya que aparece el famoso candado y el https en verde

¿Como verificar que mi web tiene correctamente instalado el certificado SSL?

  1. Validar desde el navegador. Utilizamos Google chrome y entramos en la web con certificado seguro y pulsamos sobre el candado y despues en la pestaña conexion. El candado debe aparecer en color verde y la conexion debe estar cifrada a 256 bits. Muchas webs utilizan cifrado de 128bits, que es un cifrado bastante más vulnerable.
    ssl-correcto
  2. Validar servidor SSL. Para ello vamos a utilizar la web https://www.ssllabs.com/ssltest/ que nos realizará un testeo completo de nuestro servidor SSL y de posibles vulnerabilidades de nuestra configuracion del certificado seguro. Lo ideal es tener como resultado un A o un A+ como tenemos con nuestra web.
    ssllabs

Realizando todo lo explicado anteriormente, mejoramos la seguridad del usuario que navega en nuestra web, damos una imagen mas profesional, y aprovechamos correctamente el gasto que nos supone nuestro certificado SSL, año tras año.

 

Contratar certificado SSL

¿Aún no tienes un certificado SSL para tu web?

Puedes contratar hoy mismo tu certificado desde 29 €/año
Contratar certificado SSL
2016-12-14T13:22:49+00:00

2 Comentarios

  1. Rubén Sanz 24 abril, 2015 en 10:27 pm

    Parece que el certificado SSL puede ayudar en el posicionamiento de nuestros sitios, pero ¿tiene sentido tener este tipo de certificados en blogs donde no se solicita información a los usuarios?

    Un saludo.

    • SeoPosicion 24 abril, 2015 en 11:46 pm

      En cualquier página web con la que interactue el usuario tiene sentido. La navegación segura por ssl al ir encriptada impide puedan utilizar los paquetes capturados vía wifi o por otros sistemas a través de tu conexión y dispositivo conectados internet. Si bien es cierto que un blog no es una pasarela bancaria y no implica excesivo peligro para un visitante, existen otros datos de valor como pueden ser las estadísticas de visitas, páginas vistas, e interacciones con la web que sigue manteniéndose en total privacidad entre el emisor y el receptor al ir toda la información encriptada y de forma segura desde el emisor al receptor y viceversa.

No se permiten comentarios.