Hace algunos meses leí este post en Google Plus del maese Alfredo Amatriain donde daba un listado de tiendas de rol online españolas (a la que había que añadir Dracotienda, por cierto) que no tenían implementado el https. Prácticamente todas, por cierto. Y tiene toda la razón, resulta incompresible que una tienda online no tenga un elemento tan básico de protección, no sólo para ellos, sino para nosotros, sus clientes.

Desde entonces, de la lista del maese Amatriain sólo Tesoros de la Marca del Este y Callejón Dragón han añadido este elemento de seguridad online. El resto, a día de hoy, no.

En ese mismo post me enteré de que la nueva versión de Chrome iba a mostrar advertencias chungas de seguridad en las páginas que pidieran datos y no tuvieran el https. Pensé que eso no afectaría al blog, ya que no tengo tienda online y no hay más usuarios que yo mismo, así que no le di mayor importancia.

Pues bien, hace unos días recibí en el correo el siguiente mensaje de Google:

Las páginas no seguras que recopilen contraseñas generarán advertencias en Chrome 56 para http://erekibeon.com/

To: propietario de http://erekibeon.com/

A partir de enero de 2017 Chrome (versión 56 y posterior) marcará como no seguras aquellas páginas que recopilen contraseñas o información sobre tarjetas de crédito, a menos que se publiquen a través del protocolo HTTPS.

Las URL siguientes incluyen campos para introducir contraseñas o datos de tarjeta de crédito por los que se mostrará la nueva advertencia de Chrome. Repasa estos ejemplos para ver dónde aparecerán las notificaciones y puedas tomar las medidas necesarias para seguir protegiendo los datos de los usuarios. No es una lista completa; solo son ejemplos.

Esta nueva advertencia es la primera fase de un plan a largo plazo para marcar como no seguras todas aquellas páginas que no estén encriptadas con el protocolo HTTP.

Todo un detallazo, hay que reconocerlo. Ni se me había ocurrido que sí tengo campos con contraseñas: los comentarios. Así que no me quedaba otra que meterme en el jaleo de cambiar el blog a https. Menudo marrón.

Y ¿qué es eso del https?

Pues, como bien dice la wikipedia, se trata de hacer que el http de toda la vida encripte la transmisión de datos entre el servidor de la página y el navegador. De esa manera, alguien que intercepte esa transmisión sólo obtendrá un chorro de código cifrado en lugar de nuestras contraseñas, tarjetas bancarias, etc.

La movida está, según me ha parecido entender, en que esa encriptación se basa en un certificado SSL que debe expedir una “autoridad de internet” reconocida. Y aquí está la madre del cordero, porque esto es otra de las fuentes tradicionales de ingresos de la mayor parte de las empresas “gordas” de hosting. Por ejemplo, Godaddy te cobra por el certificado 84,69€ al año (61,70€ el primer año), mientras mi hosting actual, A Small Orange, cobra 39,95$.

Por supuesto, esto es además de lo que te cuesta habitualmente el alojamiento de tu web, por lo que estas empresas se deben estar frotando las manos ante el anuncio de Google.

Entonces ¿no queda otra que pasar por caja?

Pues no, gracias a Crom. Resulta que desde abril de 2016 existe una “autoridad certificadora reconocida” que está expidiendo gratuitamente estos certificados: Let’s Encrypt. Esta autoridad es una de las iniciativas de la Internet Security Research Group, una fundación benéfica cuyo objetivo es universalizar las comunicaciones seguras, y para ello ofrece herramientas gratuitas y fáciles de integrar.

Lo mejor es que no son cuatro hippies, no. En su junta directiva hay gente de Mozilla, de Cisco Systems, de Akamai… y encima están patrocinados por todas estas empresas:

patrocinadoras lets encrypt

Vamos, que en principio parecen gente seria. Es más, cada vez son más las empresas de hosting que están ofreciendo hacer el certificado SSL con ellos. Aquí hay una lista, entre las que destaca OVH. Si estás en una de ellas, esa suerte que tienes, amigo, porque seguramente te lo habrán puesto tan fácil como apretar un par de botones.

Guay, viva el gratis total. Ahora ¿qué tengo que hacer?

Si tienes un blog hospedado en Blogger o en WordPress.com, nada en absoluto. Ya lo tienes en https. ¿Qué haces leyendo esto? 😛

Lo que viene a continuación es para páginas hechas con wordpress, pero alojadas en una empresa de hosting… y que utiliza cPanel como panel de control. Seguro que para otros paneles habrá otras soluciones, pero eso ya lo dejo en manos de vuestro Google Fu.

El proceso es tan sencillo como instalar dos plugins, bajarnos tres ficheros desde tu espacio web y entrar en dos apartados de tu cPanel. Bueno, y arreglar una cosilla en Google Analytics, si lo utilizamos. Total de tiempo: escasamente media hora. Una hora si tenemos que preparar y servir un biberón entre medias. 😛

Pues venga, vamos allá.

  1. Instalar y poner en marcha el plugin Wp Encrypt

Una vez instalado y activado, vamos a la pantalla de settings, rellenamos los campos con nuestra información y ponemos dos checks:

Panel principal wp encrypt

En realidad bastaría con el de “Auto-generate Certificate”, pero no viene mal que nos avisen unos días antes y revisemos, vaya a ser que algo falle.

Una vez rellenado, pulsamos Guardar cambios y Register Account, y después…

generate certificate

Hacemos click en Generate Certificate y ¡ya tenemos certificado SSL válido!

Ahora hay que fijarse en esas cuatro líneas de abajo: Certificate, Certificate Chain, Certificate Full Chain y Private Key. Son cuatro archivos que el plugin ha creado en el directorio de tu página web, y en la línea completa aparece en qué carpeta están. Tendremos que acceder a nuestro cPanel y bajarnos cert.pem, chain.pem y private.pem a nuestro ordenador.

Una vez los tengamos descargados, hay que abrirlos con el Bloc de Notas. Y cuando tengamos abierto uno, vamos a…

2. Rellenar la sección “SSL/TLS” del cPanel

que está en el apartado “Seguridad”. Al entrar hay que seleccionar la última opción, bajo “Instalar y administrar SSL para el sitio (HTTPS)”. Después de seleccionar en el combo el dominio de nuestra página, nos encontramos tres grandes campos. En ellos hay que pegar el contenido de los siguientes archivos:

  • cert.pem en el campo Certificado (CRT)
  • private.pem en Clave Privada (KEY)
  • chain.pem en Paquete de entidad de certificación (CABUNDLE)

Le damos a Instalar certificado… y voilà, ya tenemos nuestro certificado SSL instalado para nuestro dominio. Y lo mejor es que se irá renovando solo cada vez que caduque gracias al WP Encrypt.

Sin embargo, ahora hay que decirle a nuestro blog de wordpress que utilice el certificado. Y claro, habrá que redirigir todas las URLs para que utilicen el Https, y que los enlaces que haya por ahí fuera a nuestro blog sigan funcionando correctamente. No problem, para eso tenemos que…

3. Instalar y poner en marcha el plugin Really Simple SSL

En cuanto lo hagamos aparecerá algo así:

reallysimplessl

Basta con darle a activate SSL y el plugin ya se encarga de hacer todas las redirecciones. Eso sí, cualquier contenido que tengas incrustado y que provenga de una dirección que no sea segura… pues te aparecerá de esta guisa:

cadenaser no https.
¿En serio? ¿La Cadena Ser no tiene https? O_o

 

Pero bueno, supongo que será cuestión de tiempo. Fijo que todo el mundo acabará pasándose a https…

Y en principio ya estaría todo hecho: nuestro blog con su certificado de seguridad (que podemos verificar aquí, por ejemplo) y funcionando con https. Y manteniendo su posicionamiento y todo.

Si utilizas Google Analytics, ya sólo nos quedaría un último paso:

4- Actualizar los ajustes en Google Analytics

Tan sencillo como entrar en tu panel, pestaña superior de “Administrador” y “Configuración de la propiedad”

analytics https

Y en el combo de URL predeterminada, seleccionamos “https”. Tu Google Analytics te seguirá midiendo correctamente. Y ahora sí que ya hemos terminado.

Concluyendo

Como veis, es posible tener el https gratis en vuestro blog de WordPress, y gracias a esos plugins no es muy complicado. Claro, el tema está en que hay que saber que se hace así 😛 . En mi caso, si no fuera por estos posts en inglés de wpexplorer y wpbeginner, aún estaría pegándome con ello.

Y como nota final, seguir tirando de las orejas a todas las tiendas online que aún no lo tienen implementado. Tal vez este artículo consiga que dejen a un lado el reparo número 1 en estos casos (la pasta) y hagan que sus webmasters lo incorporen cuanto antes.

Editado: Comentarios a la entrada en Google Plus

4 COMENTARIOS

  1. Gracias por tu trabajo, amigo. Aunque no soy nada mañoso voy a intentar trastear en las tripas de mi sitio para dejarlo seguro.
    Saludos.

  2. Muchas gracias!! Me voy a poner a probarlo a ver, pero hay algo raro: estoy en chrome y veo que tu página la marcan como segura, pero a la derecha de la barra de direcciones al lado de la estrella de favoritos aparece un escudo con una cruz roja. Pasando el ratón por encima dice que “esta página está intentando cargar secuencias de comandos de fuentes no autorizadas”. Al darle clic el escudo se quita y entonces tu página aparece marcada como no segura! :O

    • ¡Hola, Laura! Muchas gracias por el aviso. Al parecer Chrome considera en general el javascript como inseguro. Se supone que con el escudo está avisándote de que está bloqueando lo que haya de javascript en la página, y que te está “manteniendo a salvo” de lo que haya en la página. Vamos, que si no tocas el escudo, todo seguirá yendo bien.

      Eso sí, a ver si consigo localizar el dichoso javascript ese…

      ¡Gracias de nuevo por avisar!

Deja un comentario