A partir del próximo 30 de abril del 2018, el navegador Google Chrome va a requerir que todos los nuevos y renovados certificados de confianza estén en al menos dos registros de Certificate Transparency. Esto significa que cualquier certificado digital emitido que no esté registrado en Certificate Transparency, nos generará un mensaje de aviso si utilizas el navegador Google Chrome.
#8 pero aunque esté hecho en Python luego tienes que meterlo tu a manopla mes si mes también en el IIS, se puede hacer por línea de comandos el cambio y automatizarlo todo pero:
A) es un rollo si tienes un server complicado con cosas custom y subdominios por idioma
B) corres el riesgo de que no funcione, con HTTP no y mi web NO lo necesita porque NO tiene nada de información crítica.
#9 El certificado no es sólo para proteger la información que el usuario envía sino para garantizar que otra persona no está suplantando tu servidor. En cualquier caso, si ya estás pagando un certificado premium (probablemente con wildcard *.dominio.com), lo más probable es que tu autoridad certificadora se encargue de enviar los certificados generados a esta plataforma. Lo normal sería que no implicase ningún cambio en lo que ya tengas montado.
#11 el precio de un wildcard es simplemente prohibitivo. Y nadie suplantaría un website pequeño donde NO se introducen datos, que es de solo lectura. El HTTPS tiene su utilidad al igual que el HTTP tiene su lugar.
Y google no tiene que decidir por todos. Estos quieren junto con los gobiernos que cada vez menos gente tenga sitios propios que escapen a su control. Todo wordpress y si puede ser en un servidor del propio wordpress mejor que mejor.
Si no puedes pagar 57€ tampoco puedes pagar una licencia de Windows, y si no puedes pagar nada vas a usar Linux y letsencrypt, que es todo gratis y fácilmente automatizable
#7 Seguro que hay guías de como hacerlo en windows, pero bueno, ahí puedo entender el problema.
Respecto a la carga que supone servir en HTTPS, o no tienes muy claro el verdadero coste del mismo, o no entiendes lo que significa "exponencialmente".
"[...]tests between encrypted and unencrypted connections show a difference of only 5ms, and a peak increase in CPU usage of only 2%. In January 2010, Gmail switched to using HTTPS for everything by default. They didn’t deploy any additional machines or special hardware and on their frontend machines, SSL/TLS accounted for less than 1% of the CPU load. [...]"
Un 1-2% de aumento de carga resulta más que asumible. Si a eso le añadimos que podemos habilitar HTTP2 resulta que la carga en los servidores decrece en lugar de incrementarse. Vamos, que lo de la carga del servidor no es una razón para no usar SSL.
En principio son todo ventajas, excepto un pequeño esfuerzo por parte de los administradores para poner todo a punto.
Por un lado hablas de webs sencillitas y por otro de servidores "complejos" con varios subdominios (wow) en Windows. Ya lo de mezclar wordpress con Google y los gobiernos es de traca. ¿Tú de dónde sales?
#4> Puto chrome y su obsesión con hacernos pagar a los propietarios de webs por un certificado ssl
chrome no cobra nada por esto. El codigo para montar un servidor de log es libre y gratis.
#10 no es una falsa seguridad. Es poder detectar *al momento* si una CA está emitiendo certificados ilegales o alguien le está suplantando su root, sin tener que esperar un dia a que la CA emita las listas y certs de revocacion. Un par de CA se fueron a la mierda por esto, porque el daño ya estaba hecho pasado unos dias de la detección
#12 ¿qué control? a que te refieres? los certificados con CT no tienen por qué ser mas caros. Las CA tendrán que crear sus sistemas de logs o usar los publicos. Esto es por si quieres tener el candadito de chrome que da un check más de seguridad, información util para el usuario.
2) Sé utilizar Linux pero para ciertos tipos de entornos (por no decir todos) IIS le da mil patadas a apache. La app que te digo precisamente es PHP, la podríamos migrar pero (comprobado) se gasta más en Linux que en Windows pagando licencia. Y funciona mejor Windows.
3) No fue una mala decisión, también las tenemos en Linux, la mala decisión es como dices en #22 por parte de Google obligar a la gente que no necesita cifrado a utilizar HTTPS por que sino se les penaliza cada día un poco más hasta exterminarnos.
Pero no quiero dedicar ni un minuto a algo que no necesito y que me es contraproducente y un sistema más a mantener que no aporta nada ni a mi ni a mis usuarios.
#24 ah, y es una pena que siendo fan de Stargate (como yo) seas fanboy de linux, deberías probar la estabilidad de un iis y comparar, gustandote las cosas buenas seguro que también te gustará windows.
#26 En mi tiempo usé windows... y te puedo decir que tiene un problema grave: que parece que funciona bien. O sea, tu lo preparas todo, y queda funcionando de lujo, con sus menús tan bonitos y todo... entonces te relajas y pasa el tiempo...
Hasta que un día algo falla. Y ese día es cuando tienes que correr a reinstalar, o formatear y restaurar backup o lo que sea porque como los menús tan bonitos ocultan el funcionamiento interno del sistema, cuando algo no funciona no tienes la menor idea de qué puede provocar el problema.
Lo he vivido yo mismo hace muchos años y lo vi en administradores de windows cuando ya me había pasado a los servidores linux.
Mientras que en Linux lo único que pasaba a veces es que fallaba una fuente o un disco duro, el que se encargaba de los servidores windows se pasaba fines de semana enteros arreglando los problemas.
Ahora por suerte en la empresa en que trabajo sólo los escritorios están con windows y el único problema que solemos tener con los servidores es de disco lleno. No se como hacen los usuarios pero no importas cuantos terabytes les pongas ellos se las arreglan para llenarlos y decir que es todo importantísimo y no se pude borrar nada.
#30 No sé que menú tienes un servidor, dejando de lado todo lo demás, hablo objetivamente del rendimiento y la tasa de fallos de un 1vs la de un IIS. Un IIS es muchísimo más estable.
#12 Pese a que coincido, al final Google no está obligándote a nada, tu web seguirá funcionando por http, tan solo aparecerá el aviso de "no segura".
Si es un pequeño website, con usuarios más o menos fijos, no debería existir ningún problema.
#32 "SEGUIRA FUNCIONANDO" para móvil, los últimos SDK ya dan alert en un Chrome webview embedido pidiendo SSL si quieres continuar detectando la rotación.
En el buscador nos penalizan las posiciones por encima de otros que tienen HTTPS aún siendo ellos peor.
El usuario se siente más inseguro por que cada vez aparecen más avisos y tonterías y ni hablemos si quieres colocar una descarga.
No te obligan obviamente, pero a la práctica es casi peor. Es su puto monopolio y se lo follan como quieren.
#7 Yo monté un certificado de Let's Encrypt en un servidor Windows con autorenovación y demás historias en un día, y sin tener ni idea de administración de servidores Windows, así que no es nada difícil.
Luego hicimos lo que había que haber hecho desde el principio, mover la web a un servidor Linux.
#7Para servidores windows tendría que currarme yo un sistema.
1) "windows es fácil", así que...
2) si trabajas con servidores, harías bien en aprender a usar Linux.
3) si tienes aplicaciones web sólo para windows... fue una mala decisión y toca pagar las consecuencias.
Otra alternativa es poner un linux como proxy inverso. Dejas tus páginas en http pero el proxy inverso las sirve en https hacia internet.
Instala una tarea y hace la renovación automáticamente.
Por otra parte, en la actualidad la carga del servidor no aumenta mucho.
Por último, aunque tu sitio no tenga información crítica, utilizando HTTPS se evita que cualquier elemento intermedio cambie tu información, que algún valor tendrá, espero... En cualquier caso, incluso suponiendo que no valga nada, evita que puedan, por ejemplo, añadir auncios o un iframe con un cryptominer a todos los visitantes a tu sitio.
El futuro será cifrado: HTTP2 no lo exige en el estándar, pero actualmente no existe ninguna implementación para HTTP2 sin cifrado, con lo que ya puedes imaginar que funcionar sin cifrado no va a ser una opción muy atractiva.
#4#5 Yo pienso igual. Por una falsa seguridad (en la práctica las webs atacantes seguirán atacando), los administradores de webs no tenemos más que follones.
#4 A nosotros nos echó abajo una aplicación que llevaba años funcionando y con cientos de usuarios cuando se le antojó que ya no iba a soportar más los plugins NPAPI. Tuvimos que migrar a otro explorador que los siguiera soportando.
Yo no entiendo una mierda de programación, webs, certificados y tal. Usuario y normalito. Pero me suelo leer estos hilos (si no son muy largos) porque me encanta ver cómo os despellejáis los unos a los otros.
No os lo toméis a mal, perdonadme.
Por otro lado, como usuario, manejo por lo general firmas digitales en mi trabajo. Varias distintas, hasta 4 en ocasiones. Me sorprende que en un navegador una funcione, en otro me pida no sé que hostias y en otro ni patrás.
Comentarios
Puto chrome y su obsesión con hacernos pagar a los propietarios de webs por un certificado ssl
#4 es coña, no?
https://letsencrypt.org
#5 Justo en esto estaba pensando.
Entiendo que esta nueva medida no chocará con Letsencrypt, al ser un certificador ampliamente conocido, ¿cierto?
Otra cosa es cuando te generas tus propios certificados para tus propios dispositivos, que supongo que es lo que estarán persiguiendo.
#6 no le afecta porque ya enviaba los logs de los nuevos certificados desde el principio.
#5 si pero son certificados mensuales, y la autoactualizacion está muy bien si utilizas cosas standart y/o linux.
Para servidores windows tendría que currarme yo un sistema.
Además, la carga del servidor aumenta exponencialmente al servir en https.
El https para sitios pequeños y que no lo necesitan solo vale para que los clouds tarifiquen más horas de cpu.
#7 ¿Y usando certbot con el substistema de linux en windows 10?
https://certbot.eff.org/
Parece que está hecho en python https://github.com/certbot/certbot
#8 pero aunque esté hecho en Python luego tienes que meterlo tu a manopla mes si mes también en el IIS, se puede hacer por línea de comandos el cambio y automatizarlo todo pero:
A) es un rollo si tienes un server complicado con cosas custom y subdominios por idioma
B) corres el riesgo de que no funcione, con HTTP no y mi web NO lo necesita porque NO tiene nada de información crítica.
#9 El certificado no es sólo para proteger la información que el usuario envía sino para garantizar que otra persona no está suplantando tu servidor. En cualquier caso, si ya estás pagando un certificado premium (probablemente con wildcard *.dominio.com), lo más probable es que tu autoridad certificadora se encargue de enviar los certificados generados a esta plataforma. Lo normal sería que no implicase ningún cambio en lo que ya tengas montado.
#11 el precio de un wildcard es simplemente prohibitivo. Y nadie suplantaría un website pequeño donde NO se introducen datos, que es de solo lectura. El HTTPS tiene su utilidad al igual que el HTTP tiene su lugar.
Y google no tiene que decidir por todos. Estos quieren junto con los gobiernos que cada vez menos gente tenga sitios propios que escapen a su control. Todo wordpress y si puede ser en un servidor del propio wordpress mejor que mejor.
Internet NO es eso.
#12 www.namecheap.com/security/ssl-certificates.aspx
57€, una fortuna...
Si no puedes pagar 57€ tampoco puedes pagar una licencia de Windows, y si no puedes pagar nada vas a usar Linux y letsencrypt, que es todo gratis y fácilmente automatizable
#7 Seguro que hay guías de como hacerlo en windows, pero bueno, ahí puedo entender el problema.
Respecto a la carga que supone servir en HTTPS, o no tienes muy claro el verdadero coste del mismo, o no entiendes lo que significa "exponencialmente".
https://www.keycdn.com/blog/https-performance-overhead/
"[...]tests between encrypted and unencrypted connections show a difference of only 5ms, and a peak increase in CPU usage of only 2%. In January 2010, Gmail switched to using HTTPS for everything by default. They didn’t deploy any additional machines or special hardware and on their frontend machines, SSL/TLS accounted for less than 1% of the CPU load. [...]"
Un 1-2% de aumento de carga resulta más que asumible. Si a eso le añadimos que podemos habilitar HTTP2 resulta que la carga en los servidores decrece en lugar de incrementarse. Vamos, que lo de la carga del servidor no es una razón para no usar SSL.
En principio son todo ventajas, excepto un pequeño esfuerzo por parte de los administradores para poner todo a punto.
#12 Está previsto que letsencrypt ofrezca certificados wildcard este mismo año:
https://community.letsencrypt.org/t/acmev2-and-wildcard-launch-delay/53654
Por un lado hablas de webs sencillitas y por otro de servidores "complejos" con varios subdominios (wow) en Windows. Ya lo de mezclar wordpress con Google y los gobiernos es de traca. ¿Tú de dónde sales?
#4 > Puto chrome y su obsesión con hacernos pagar a los propietarios de webs por un certificado ssl
chrome no cobra nada por esto. El codigo para montar un servidor de log es libre y gratis.
#10 no es una falsa seguridad. Es poder detectar *al momento* si una CA está emitiendo certificados ilegales o alguien le está suplantando su root, sin tener que esperar un dia a que la CA emita las listas y certs de revocacion. Un par de CA se fueron a la mierda por esto, porque el daño ya estaba hecho pasado unos dias de la detección
#12 ¿qué control? a que te refieres? los certificados con CT no tienen por qué ser mas caros. Las CA tendrán que crear sus sistemas de logs o usar los publicos. Esto es por si quieres tener el candadito de chrome que da un check más de seguridad, información util para el usuario.
#12 Si no necesitas cifrado... no uses https...
#21
2) Sé utilizar Linux pero para ciertos tipos de entornos (por no decir todos) IIS le da mil patadas a apache. La app que te digo precisamente es PHP, la podríamos migrar pero (comprobado) se gasta más en Linux que en Windows pagando licencia. Y funciona mejor Windows.
3) No fue una mala decisión, también las tenemos en Linux, la mala decisión es como dices en #22 por parte de Google obligar a la gente que no necesita cifrado a utilizar HTTPS por que sino se les penaliza cada día un poco más hasta exterminarnos.
#23 Y funciona mejor Windows
Ahora entiendo por qué no has podido automatizar la renovación. Con eso ya lo has dicho todo.
#24 poder puedo.
Pero no quiero dedicar ni un minuto a algo que no necesito y que me es contraproducente y un sistema más a mantener que no aporta nada ni a mi ni a mis usuarios.
Y solo por que a Google le sale de los cojones.
#25 Mira... la verdad es que la opinión de alguien que dice que "funciona mucho mejor windows" no la va a tomar en serio mucha gente...
#24 ah, y es una pena que siendo fan de Stargate (como yo) seas fanboy de linux, deberías probar la estabilidad de un iis y comparar, gustandote las cosas buenas seguro que también te gustará windows.
#26 En mi tiempo usé windows... y te puedo decir que tiene un problema grave: que parece que funciona bien. O sea, tu lo preparas todo, y queda funcionando de lujo, con sus menús tan bonitos y todo... entonces te relajas y pasa el tiempo...
Hasta que un día algo falla. Y ese día es cuando tienes que correr a reinstalar, o formatear y restaurar backup o lo que sea porque como los menús tan bonitos ocultan el funcionamiento interno del sistema, cuando algo no funciona no tienes la menor idea de qué puede provocar el problema.
Lo he vivido yo mismo hace muchos años y lo vi en administradores de windows cuando ya me había pasado a los servidores linux.
Mientras que en Linux lo único que pasaba a veces es que fallaba una fuente o un disco duro, el que se encargaba de los servidores windows se pasaba fines de semana enteros arreglando los problemas.
Ahora por suerte en la empresa en que trabajo sólo los escritorios están con windows y el único problema que solemos tener con los servidores es de disco lleno. No se como hacen los usuarios pero no importas cuantos terabytes les pongas ellos se las arreglan para llenarlos y decir que es todo importantísimo y no se pude borrar nada.
#30 No sé que menú tienes un servidor, dejando de lado todo lo demás, hablo objetivamente del rendimiento y la tasa de fallos de un 1vs la de un IIS. Un IIS es muchísimo más estable.
#12 Si no lo entendí mal, la última actualización de certbot ya aceptaba wildcard.
#12 Pese a que coincido, al final Google no está obligándote a nada, tu web seguirá funcionando por http, tan solo aparecerá el aviso de "no segura".
Si es un pequeño website, con usuarios más o menos fijos, no debería existir ningún problema.
#32 "SEGUIRA FUNCIONANDO" para móvil, los últimos SDK ya dan alert en un Chrome webview embedido pidiendo SSL si quieres continuar detectando la rotación.
En el buscador nos penalizan las posiciones por encima de otros que tienen HTTPS aún siendo ellos peor.
El usuario se siente más inseguro por que cada vez aparecen más avisos y tonterías y ni hablemos si quieres colocar una descarga.
No te obligan obviamente, pero a la práctica es casi peor. Es su puto monopolio y se lo follan como quieren.
#7 Yo monté un certificado de Let's Encrypt en un servidor Windows con autorenovación y demás historias en un día, y sin tener ni idea de administración de servidores Windows, así que no es nada difícil.
Luego hicimos lo que había que haber hecho desde el principio, mover la web a un servidor Linux.
#7 Para servidores windows tendría que currarme yo un sistema.
1) "windows es fácil", así que...
2) si trabajas con servidores, harías bien en aprender a usar Linux.
3) si tienes aplicaciones web sólo para windows... fue una mala decisión y toca pagar las consecuencias.
Otra alternativa es poner un linux como proxy inverso. Dejas tus páginas en http pero el proxy inverso las sirve en https hacia internet.
#7 Yo en Windows utilicé esto y es muy sencillo: https://github.com/PKISharp/win-acme
Instala una tarea y hace la renovación automáticamente.
Por otra parte, en la actualidad la carga del servidor no aumenta mucho.
Por último, aunque tu sitio no tenga información crítica, utilizando HTTPS se evita que cualquier elemento intermedio cambie tu información, que algún valor tendrá, espero... En cualquier caso, incluso suponiendo que no valga nada, evita que puedan, por ejemplo, añadir auncios o un iframe con un cryptominer a todos los visitantes a tu sitio.
El futuro será cifrado: HTTP2 no lo exige en el estándar, pero actualmente no existe ninguna implementación para HTTP2 sin cifrado, con lo que ya puedes imaginar que funcionar sin cifrado no va a ser una opción muy atractiva.
#4 #5 Yo pienso igual. Por una falsa seguridad (en la práctica las webs atacantes seguirán atacando), los administradores de webs no tenemos más que follones.
#5 o cloudflare.com....
#4 No es excusa. Tienes Let's Encrypt.
#4 A nosotros nos echó abajo una aplicación que llevaba años funcionando y con cientos de usuarios cuando se le antojó que ya no iba a soportar más los plugins NPAPI. Tuvimos que migrar a otro explorador que los siguiera soportando.
A portada con 12 meneos. Que le pasa a meneame ultimamente? Acaso hay muy poca actividad en el sitio? Donde estan los meneos de 500-1200
#3 ¿Que el algoritmo es muy inteligente y lleva a portada las noticias importantes?
#3 Quizá que te fijes en la categoría del meneo, que influye bastante.
Buscador de certificados: https://crt.sh/
#2 ¿Esto busca cualquier certificado o es para verificar lo del certiricate transparency?
Lo que me sorprende es que hayan tardado tanto. Hasta en españa los emitíamos antes!
Yo no entiendo una mierda de programación, webs, certificados y tal. Usuario y normalito. Pero me suelo leer estos hilos (si no son muy largos) porque me encanta ver cómo os despellejáis los unos a los otros.
No os lo toméis a mal, perdonadme.
Por otro lado, como usuario, manejo por lo general firmas digitales en mi trabajo. Varias distintas, hasta 4 en ocasiones. Me sorprende que en un navegador una funcione, en otro me pida no sé que hostias y en otro ni patrás.