Google, el certificado SSL e historias para no dormir
5 (100%) 1 vote

Pues buenas, amigos. Resulta que Google Chrome y FireFox, a partir de Junio de 2018 marcarán como “no seguras” y en un estupendo color rojo todas las webs que no sean HTTPS, es decir, cualquier web que no tenga un certificado SSL activo. Esto, aunque a todos nos está trayendo de cabeza, tiene bastante lógica y te explico porqué.

QUÉ ES Y PARA QUÉ SIRVE EL CERTIFICADO SSL

Esto lo voy a explicar para que todo el mundo lo entienda, así que si estáis buscando una tesis sobre encriptación, SSL y seguridad informática, solo tenéis que pedirlo más abajo en los comentarios y nos pondremos a ello (o no, eso ya….). Un ejemplo muy sencillo es el que me explicó mi profesor de Redes. Llega a tu casa una persona, y te dice que es de Repsol Butano, y que quiere entrar para revisar la instalación de tu casa. Tú, que no te fías “ni mijita” de nadie, le pides que se acredite, y él te enseña un carnet de Repsol con su nombre y su foto, y ademas te enseña su DNI, que coincide. Tú te fías, y le dejas pasar. En Internet debería ocurrir lo mismo, y para ello necesitamos una Autoridad fiable que emita un certificado que acredite que esa web en realidad es esa web, y no una web impostora, igual que ocurría con nuestro señor y sus carnets. Estas autoridades acreditadoras solo emiten el certificado si la persona que lo pide puede probar que es el propietario del dominio.

Una web sin certificado SSL, o sea las que empiezan por HTTP, no encriptan las transmisiones de datos, por lo que cualquier hacker podría capturarlos sin muchos problemas y usarlos en su beneficio. Sin embargo, las web con certificado SSL, o sea las que utilizan el protocolo HTTPS, encriptan los datos antes de enviarlos, por lo que los datos de los usuarios de esa web siempre estarán seguros. Esto hace una web más fiable, como es normal, y los usuarios de la misma no tendrán tantos reparos para comprar, introducir sus datos, etc…

Bueno, ya sabes lo que es, y a estas alturas también estarás de acuerdo en que quieres uno para tu web o negocio online, así que llamas a tu hosting, y éste te pide amablemente que pases por caja. PUES NO MARIA TERESA, empresas muy reputadas en el mundo de la seguridad han creado Let´s Encrypt, un certificado SSL totalmente gratuito y seguro, tanto como los de pago. Así que si tu hosting  se pone tontorrón porque lo que ellos quieren es cobrar, ahora te explico lo que debes hacer para el caso de WP, aunque es extrapolable a cualquier otra web.

CREAR CERTIFICADO SSL PARA WORDPRESS MEDIANTE WP Encrypt y Let´s Encrypt

Como hemos explicado anteriormente, mediante Let´s Encrypt podemos obtener certificados SSL gratuitos, con total garantía y que se renuevan automáticamente. Pero, ¿podríamos instalar este certificado SSL en nuestro WP sin tener que entrar para ello en nuestro C-Panel o Panel de Administración de nuestro hosting? Pues si primo !! Para ello Felix Arntz han creado el plugin WP Encrypt, que, recogiendo el guante de Let´s Encrypt y sus certificados SSL, van a echar una manita a aquellos que no se les da muy bien eso de trastear en la administración de un hosting.

WP encrypt

Vamos al lío bichos. Antes de nada, debemos estar seguros de que nuestro hosting tiene activadas los servicios cURL y OpenSSL.  Si no es así, tendremos de ponernos en contacto con ellos para que nos los activen. También debemos tener instalado el PHP 5.3 o posterior. Lo tenemos todo? Bien, seguimos. Como siempre buscamos el plugin, lo instalamos y lo activamos. Una vez hecho esto, el propio plugin se conectará a Let´s Encrypt y generará un certificado SSL para tu web. (Ver la cara de los del hosting que quieren cobrar por este servicio sí o sí. Para todo lo demás, MasterCard).

Bueno, seguimos. Una vez instalado el plugin, tendremos que completar una página de registro con los datos y código de tu país y el nombre de tu empresa, grupo u organización. Otros datos como el email, los tomará él mismo de los datos de administración de tu WordPress. Para que el certificado se renueve automáticamente (expira cada 90 días), debemos activar la casilla “Automatically regenerase the certificate prior the expiration”. Ahora Guardamos los cambios, y se nos habilitará un botón mas abajo donde vamos a registrar la cuenta en Let´s Encrypt. Hacemos clic en el botón “Register Acount”, y seguimos haciendo scroll hasta el siguiente botón que se nos habilita mas abajo: “Generate Certificate”. Hacemos clic en él, y ya sí, tenemos nuestro certificado SSL.

Si hemos realizado todos los pasos y nuestro hosting es compatible con Let´s Encrypt, solo nos quedaría activar HTTPS en nuestro WP. Para ello tendremos que tirar de otro plugin llamado Really Simple SSL de los amigos de Rogier Lankhorst.

really-simple-ssl

 PROCEDIMIENTO MANUAL PARA ACTIVAR EL HTTPS EN NUESTRO WP (SIN PLUGINS)

Si queremos hacerlo manualmente, tendremos que realizar tres pasos:

  • Configurar WordPress: Nos dirigiremos a Ajustes > Generales y modificaremos los campos “Dirección de WP” y “Dirección del Sitio” cambiando HTTP:// por HTTPS://
  • Editar el archivo wp-config.php, que es el que contiene la configuración básica de tu wordpress. Accede vía FTP y edítalo y añade este texto al final del archivo:
define ('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);
  • Editar el archivo .htaccess. Este archivo suele estar oculto en el hosting, por lo que tienes que decirle a tu programa FTP (Filezilla por poner un ejemplo), que te muestre los archivos ocultos. Una vez localizado, lo editamos con un programa de texto plano y añadimos estas líneas al final del mismo:
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://[esteesmidominio].com/$1 [R=301,L,NE]

NO ME SALE EL CANDADO VERDE Y TENGO EL CERTIFICADO SSL INSTALADO

Es que todo te tiene que pasar a tí, putha vida ésta. Espera, no saltes aún por la ventana, lo mismo es que te falta un último detallito: Posiblemente en tu web queden urls de tu domminio con HTTP que no has cambiado aún, y ahora dirás “si mi web es inmensa, ¿cómo voy a ver qué direcciones no se han cambiado?”. Pues para ello, está esta web: Why No Padlock, la cual primero nos dirá si el certificado está correctamente instalado y detectado. Si no lo está, repasa los pasos anteriores a ver si has hecho algo mal. Una vez revisado, mas abajo te aparecerá un listado con las url no seguras que tiene tu página, ahora te toca ir una por una añadiéndoles la “s” que falta.

Este proceso lo tendrás que repetir en todas las páginas de tu site, para tener tu precioso candado verde.

Ya lo tenemos todo, así que, Google, besitos desde Bichos Linterna.

¿Cerrar tu cuenta?

Se cerrará tu cuenta y todos los datos se borrarán de manera permanente y no se podrán recuperar ¿Estás seguro?