A partir del próximo 30 de abril del 2018, el navegador Google Chrome va a requerir que todos los nuevos y renovados certificados de confianza estén en al menos dos registros de Certificate Transparency. Esto significa que cualquier certificado digital emitido que no esté registrado en Certificate Transparency, nos generará un mensaje de aviso si utilizas el navegador Google Chrome.
|
etiquetas: https , aws , certificados , seguridad
letsencrypt.org
Entiendo que esta nueva medida no chocará con Letsencrypt, al ser un certificador ampliamente conocido, ¿cierto?
Otra cosa es cuando te generas tus propios certificados para tus propios dispositivos, que supongo que es lo que estarán persiguiendo.
Para servidores windows tendría que currarme yo un sistema.
Además, la carga del servidor aumenta exponencialmente al servir en https.
El https para sitios pequeños y que no lo necesitan solo vale para que los clouds tarifiquen más horas de cpu.
certbot.eff.org/
Parece que está hecho en python github.com/certbot/certbot
A) es un rollo si tienes un server complicado con cosas custom y subdominios por idioma
B) corres el riesgo de que no funcione, con HTTP no y mi web NO lo necesita porque NO tiene nada de información crítica.
Y google no tiene que decidir por todos. Estos quieren junto con los gobiernos que cada vez menos gente tenga sitios propios que escapen a su control. Todo wordpress y si puede ser en un servidor del propio wordpress mejor que mejor.
Internet NO es eso.
57€, una fortuna...
Si no puedes pagar 57€ tampoco puedes pagar una licencia de Windows, y si no puedes pagar nada vas a usar Linux y letsencrypt, que es todo gratis y fácilmente automatizable
Respecto a la carga que supone servir en HTTPS, o no tienes muy claro el verdadero coste del mismo, o no entiendes lo que significa "exponencialmente".
www.keycdn.com/blog/https-performance-overhead/
"[...]tests between encrypted and unencrypted connections show a difference of only 5ms, and a peak increase in CPU usage of only 2%. In January 2010, Gmail switched to using HTTPS for everything by default. They didn’t deploy any additional machines or special hardware and on their frontend machines, SSL/TLS accounted for less than 1% of the CPU load. [...]"
Un 1-2% de aumento de carga resulta más que asumible. Si a eso le añadimos que podemos habilitar HTTP2 resulta que la carga en los servidores decrece en lugar de incrementarse. Vamos, que lo de la carga del servidor no es una razón para no usar SSL.
En principio son todo ventajas, excepto un pequeño esfuerzo por parte de los administradores para poner todo a punto.
#12 Está previsto que letsencrypt ofrezca certificados wildcard este mismo año:
community.letsencrypt.org/t/acmev2-and-wildcard-launch-delay/53654
Por un lado hablas de webs sencillitas y por otro de servidores "complejos" con varios subdominios (wow) en Windows. Ya lo de mezclar wordpress con Google y los gobiernos es de traca. ¿Tú de dónde sales?
Luego hicimos lo que había que haber hecho desde el principio, mover la web a un servidor Linux.
chrome no cobra nada por esto. El codigo para montar un servidor de log es libre y gratis.
#10 no es una falsa seguridad. Es poder detectar *al momento* si una CA está emitiendo certificados ilegales o alguien le está suplantando su root, sin tener que esperar un dia a que la CA emita las listas y certs de revocacion. Un par de CA se fueron a la mierda por esto, porque el daño ya estaba hecho pasado unos dias de la detección
#12 ¿qué control? a que te refieres? los certificados con CT no tienen por qué ser mas caros. Las CA tendrán que crear sus sistemas de logs o usar los publicos. Esto es por si quieres tener el candadito de chrome que da un check más de seguridad, información util para el usuario.
1) "windows es fácil", así que...
2) si trabajas con servidores, harías bien en aprender a usar Linux.
3) si tienes aplicaciones web sólo para windows... fue una mala decisión y toca pagar las consecuencias.
Otra alternativa es poner un linux como proxy inverso. Dejas tus páginas en http pero el proxy inverso las sirve en https hacia internet.
2) Sé utilizar Linux pero para ciertos tipos de entornos (por no decir todos) IIS le da mil patadas a apache. La app que te digo precisamente es PHP, la podríamos migrar pero (comprobado) se gasta más en Linux que en Windows pagando licencia. Y funciona mejor Windows.
3) No fue una mala decisión, también las tenemos en Linux, la mala decisión es como dices en #22 por parte de Google obligar a la gente que no necesita cifrado a utilizar HTTPS por que sino se les penaliza cada día un poco más hasta exterminarnos.
Ahora entiendo por qué no has podido automatizar la renovación. Con eso ya lo has dicho todo.
Pero no quiero dedicar ni un minuto a algo que no necesito y que me es contraproducente y un sistema más a mantener que no aporta nada ni a mi ni a mis usuarios.
Y solo por que a Google le sale de los cojones.
Hasta que un día algo falla. Y ese día es cuando tienes que correr a reinstalar, o formatear y restaurar backup o lo que sea porque como los menús tan bonitos ocultan el funcionamiento interno del sistema, cuando algo no funciona no tienes la menor idea de qué puede provocar el problema.
Lo he vivido yo mismo hace muchos años y lo vi en administradores de windows cuando ya me había pasado a los servidores linux.
Mientras que en Linux lo único que pasaba a veces es que fallaba una fuente o un disco duro, el que se encargaba de los servidores windows se pasaba fines de semana enteros arreglando los problemas.
Ahora por suerte en la empresa en que trabajo sólo los escritorios están con windows y el único problema que solemos tener con los servidores es de disco lleno. No se como hacen los usuarios pero no importas cuantos terabytes les pongas ellos se las arreglan para llenarlos y decir que es todo importantísimo y no se pude borrar nada.
Yo no entiendo una mierda de programación, webs, certificados y tal. Usuario y normalito. Pero me suelo leer estos hilos (si no son muy largos) porque me encanta ver cómo os despellejáis los unos a los otros.
No os lo toméis a mal, perdonadme.
Por otro lado, como usuario, manejo por lo general firmas digitales en mi trabajo. Varias distintas, hasta 4 en ocasiones. Me sorprende que en un navegador una funcione, en otro me pida no sé que hostias y en otro ni patrás.
Si es un pequeño website, con usuarios más o menos fijos, no debería existir ningún problema.
En el buscador nos penalizan las posiciones por encima de otros que tienen HTTPS aún siendo ellos peor.
El usuario se siente más inseguro por que cada vez aparecen más avisos y tonterías y ni hablemos si quieres colocar una descarga.
No te obligan obviamente, pero a la práctica es casi peor. Es su puto monopolio y se lo follan como quieren.
Instala una tarea y hace la renovación automáticamente.
Por otra parte, en la actualidad la carga del servidor no aumenta mucho.
Por último, aunque tu sitio no tenga información crítica, utilizando HTTPS se evita que cualquier elemento intermedio cambie tu información, que algún valor tendrá, espero... En cualquier caso, incluso suponiendo que no valga nada, evita que puedan, por ejemplo, añadir auncios o un iframe con un cryptominer a todos los visitantes a tu sitio.
El futuro será cifrado: HTTP2 no lo exige en el estándar, pero actualmente no existe ninguna implementación para HTTP2 sin cifrado, con lo que ya puedes imaginar que funcionar sin cifrado no va a ser una opción muy atractiva.