Hace algunos meses leí este post en Google Plus del maese Alfredo Amatriain donde daba un listado de tiendas de rol online españolas (a la que había que añadir Dracotienda, por cierto) que no tenían implementado el https. Prácticamente todas, por cierto. Y tiene toda la razón, resulta incompresible que una tienda online no tenga un elemento tan básico de protección, no sólo para ellos, sino para nosotros, sus clientes.

Desde entonces, de la lista del maese Amatriain sólo Tesoros de la Marca del Este y Callejón Dragón han añadido este elemento de seguridad online. El resto, a día de hoy, no.

En ese mismo post me enteré de que la nueva versión de Chrome iba a mostrar advertencias chungas de seguridad en las páginas que pidieran datos y no tuvieran el https. Pensé que eso no afectaría al blog, ya que no tengo tienda online y no hay más usuarios que yo mismo, así que no le di mayor importancia.

Pues bien, hace unos días recibí en el correo el siguiente mensaje de Google:

Las páginas no seguras que recopilen contraseñas generarán advertencias en Chrome 56 para https://erekibeon.com/

To: propietario de https://erekibeon.com/

A partir de enero de 2017 Chrome (versión 56 y posterior) marcará como no seguras aquellas páginas que recopilen contraseñas o información sobre tarjetas de crédito, a menos que se publiquen a través del protocolo HTTPS.

Las URL siguientes incluyen campos para introducir contraseñas o datos de tarjeta de crédito por los que se mostrará la nueva advertencia de Chrome. Repasa estos ejemplos para ver dónde aparecerán las notificaciones y puedas tomar las medidas necesarias para seguir protegiendo los datos de los usuarios. No es una lista completa; solo son ejemplos.

https://www.erekibeon.com/blog/hercules-and-xena-roleplaying-game-el-contenido/

Esta nueva advertencia es la primera fase de un plan a largo plazo para marcar como no seguras todas aquellas páginas que no estén encriptadas con el protocolo HTTP.

Todo un detallazo, hay que reconocerlo. Ni se me había ocurrido que sí tengo campos con contraseñas: los comentarios. Así que no me quedaba otra que meterme en el jaleo de cambiar el blog a https. Menudo marrón.

Y ¿qué es eso del https?

Pues, como bien dice la wikipedia, se trata de hacer que el http de toda la vida encripte la transmisión de datos entre el servidor de la página y el navegador. De esa manera, alguien que intercepte esa transmisión sólo obtendrá un chorro de código cifrado en lugar de nuestras contraseñas, tarjetas bancarias, etc.

La movida está, según me ha parecido entender, en que esa encriptación se basa en un certificado SSL que debe expedir una «autoridad de internet» reconocida. Y aquí está la madre del cordero, porque esto es otra de las fuentes tradicionales de ingresos de la mayor parte de las empresas «gordas» de hosting. Por ejemplo, Godaddy te cobra por el certificado 84,69€ al año (61,70€ el primer año), mientras mi hosting actual, A Small Orange, cobra 39,95$.

Por supuesto, esto es además de lo que te cuesta habitualmente el alojamiento de tu web, por lo que estas empresas se deben estar frotando las manos ante el anuncio de Google.

Entonces ¿no queda otra que pasar por caja?

Pues no, gracias a Crom. Resulta que desde abril de 2016 existe una «autoridad certificadora reconocida» que está expidiendo gratuitamente estos certificados: Let’s Encrypt. Esta autoridad es una de las iniciativas de la Internet Security Research Group, una fundación benéfica cuyo objetivo es universalizar las comunicaciones seguras, y para ello ofrece herramientas gratuitas y fáciles de integrar.

Lo mejor es que no son cuatro hippies, no. En su junta directiva hay gente de Mozilla, de Cisco Systems, de Akamai… y encima están patrocinados por todas estas empresas:

Vamos, que en principio parecen gente seria. Es más, cada vez son más las empresas de hosting que están ofreciendo hacer el certificado SSL con ellos. Aquí hay una lista, entre las que destaca OVH. Si estás en una de ellas, esa suerte que tienes, amigo, porque seguramente te lo habrán puesto tan fácil como apretar un par de botones.

Guay, viva el gratis total. Ahora ¿qué tengo que hacer?

Si tienes un blog hospedado en Blogger o en WordPress.com, nada en absoluto. Ya lo tienes en https. ¿Qué haces leyendo esto? 😛

Lo que viene a continuación es para páginas hechas con wordpress, pero alojadas en una empresa de hosting… y que utiliza cPanel como panel de control. Seguro que para otros paneles habrá otras soluciones, pero eso ya lo dejo en manos de vuestro Google Fu.

El proceso es tan sencillo como instalar dos plugins, bajarnos tres ficheros desde tu espacio web y entrar en dos apartados de tu cPanel. Bueno, y arreglar una cosilla en Google Analytics, si lo utilizamos. Total de tiempo: escasamente media hora. Una hora si tenemos que preparar y servir un biberón entre medias. 😛

Pues venga, vamos allá.

1. Instalar y poner en marcha el plugin Wp Encrypt

Una vez instalado y activado, vamos a la pantalla de settings, rellenamos los campos con nuestra información y ponemos dos checks:

En realidad bastaría con el de «Auto-generate Certificate», pero no viene mal que nos avisen unos días antes y revisemos, vaya a ser que algo falle.

Una vez rellenado, pulsamos Guardar cambios y Register Account, y después…

Hacemos click en Generate Certificate y ¡ya tenemos certificado SSL válido!

Ahora hay que fijarse en esas cuatro líneas de abajo: Certificate, Certificate Chain, Certificate Full Chain y Private Key. Son cuatro archivos que el plugin ha creado en el directorio de tu página web, y en la línea completa aparece en qué carpeta están. Tendremos que acceder a nuestro cPanel y bajarnos cert.pem, chain.pem y private.pem a nuestro ordenador.

Una vez los tengamos descargados, hay que abrirlos con el Bloc de Notas. Y cuando tengamos abierto uno, vamos a…

2. Rellenar la sección «SSL/TLS» del cPanel

que está en el apartado «Seguridad». Al entrar hay que seleccionar la última opción, bajo «Instalar y administrar SSL para el sitio (HTTPS)». Después de seleccionar en el combo el dominio de nuestra página, nos encontramos tres grandes campos. En ellos hay que pegar el contenido de los siguientes archivos:

• cert.pem en el campo Certificado (CRT)
• private.pem en Clave Privada (KEY)
• chain.pem en Paquete de entidad de certificación (CABUNDLE)

Le damos a Instalar certificado… y voilà, ya tenemos nuestro certificado SSL instalado para nuestro dominio. Y lo mejor es que se irá renovando solo cada vez que caduque gracias al WP Encrypt.

Sin embargo, ahora hay que decirle a nuestro blog de wordpress que utilice el certificado. Y claro, habrá que redirigir todas las URLs para que utilicen el Https, y que los enlaces que haya por ahí fuera a nuestro blog sigan funcionando correctamente. No problem, para eso tenemos que…

3. Instalar y poner en marcha el plugin Really Simple SSL

En cuanto lo hagamos aparecerá algo así:

Basta con darle a activate SSL y el plugin ya se encarga de hacer todas las redirecciones. Eso sí, cualquier contenido que tengas incrustado y que provenga de una dirección que no sea segura… pues te aparecerá de esta guisa:

Pero bueno, supongo que será cuestión de tiempo. Fijo que todo el mundo acabará pasándose a https…

Y en principio ya estaría todo hecho: nuestro blog con su certificado de seguridad (que podemos verificar aquí, por ejemplo) y funcionando con https. Y manteniendo su posicionamiento y todo.

Si utilizas Google Analytics, ya sólo nos quedaría un último paso:

4- Actualizar los ajustes en Google Analytics

Tan sencillo como entrar en tu panel, pestaña superior de «Administrador» y «Configuración de la propiedad»

Y en el combo de URL predeterminada, seleccionamos «https». Tu Google Analytics te seguirá midiendo correctamente. Y ahora sí que ya hemos terminado.

Concluyendo

Como veis, es posible tener el https gratis en vuestro blog de WordPress, y gracias a esos plugins no es muy complicado. Claro, el tema está en que hay que saber que se hace así 😛 . En mi caso, si no fuera por estos posts en inglés de wpexplorer y wpbeginner, aún estaría pegándome con ello.

Y como nota final, seguir tirando de las orejas a todas las tiendas online que aún no lo tienen implementado. Tal vez este artículo consiga que dejen a un lado el reparo número 1 en estos casos (la pasta) y hagan que sus webmasters lo incorporen cuanto antes.

Editado: Comentarios a la entrada en Google Plus