Inicio /Blogs /blog de Erick Castellanos /¿Cómo obtener un certificado de seguridad gratuito?

¿Cómo obtener un certificado de seguridad gratuito?

Enviado por Erick Castellanos el Sáb, 12/12/2015 - 10:00

Continuando con el tema de la seguridad informática, existe un tema que ya es viejo pero que, lamentablemente, la solución relacionada no se ha difundido como debería: estoy hablando del uso de cifrado en los servicios de Internet. Afortunadamente, hay un nuevo proyecto que tiene como objetivo dejar en el pasado esta situación. Este proyecto ha entrado en su fase de pruebas de manera pública. Me refiero a Let's Encrypt.

Para los que han administrado servidores públicos en Internet, o servidores web en particular, incluso para los que no conocen de tecnología pero están a cargo de algún servicio público y que están pagando servicios de consultoría o mantenimiento, todas estan personas sabrán que hay dos puntos clave, y a veces problemáticas, para mantener el uso de comunicaciones cifradas entre sus usuarios y los servidores: la complejidad del manejo de los certificados de seguridad, y el costo recurrente asociado a estos certificados.

El primer punto, la complejidad del manejo de los certificados, en realidad no es algo complejo, pero sí es algo laborioso: hay que crear certificados, hay que firmarlos, hay que crear solicitudes para enviar a un tercero, hay que demostrar tener el control sobre el dominio de Internet en cuestión, hay que esperar el certficado firmado por una autoridad bien conocida y, finalmente, hay que instalar los certificados firmados en el servidor indicado para que el programada adecuado pueda hacer usos de ellos. Como lo dije, pareciería complicado, pero en realidad no lo es (una vez que dominas el tema), pero definitivamente sí es algo laborioso, y existen muchos puntos en el proceso en el que se pudieran cometer errores fácilmente.

Entonces, ¿cuál es la solución al punto anterior? El proyecto Let's Encrypt propone automatizar estas tareas y, para ello, proporciona un cliente (unsoftware) además de un protocolo llamado ACME (Automated Certificate Management Environment ). Estos dos componentes implican una comunicación automática entre dos servidores: el servidor que controla un dominio en particular, y el servidor de una entidad certificadora. En dicha comunicación se comprueban las identidades, a través del uso de criptografía de llave pública-privada y, a través de ciertos "retos", se demuestra el control del dominio para el que se solicita el dominio. Después de un proceso exitoso, el resultado es un certificado de seguridad debidamente firmado por una entidad bien conocida y que, además, termina por estar bien configurado en el servidor final.

El otro punto mencionado era el costo recurrente asociado con el firmado de los certificados de seguridad. ¿Cómo solucionar esta cuestión? Aún más, ¿cómo resolverla cuando se desea utilizar un proceso automatizado? El proyecto Let's Encrypt propone una solución sencilla: ¡que los certificados sean gratuitos! Así es, este proyecto ha conseguido tener varios patrocinadores, y se ha logrado establecer como una Autoridad Certificadora por sí misma. Actualmente está en el proceso de posicionarse como una autoridad conocida por la mayoría de los navegadores web pero, mientras tanto, sus certificados están siendo firmados por otra autoridad ya conocida con anterioridad.

Entonces, ¿qué se pretende con esto? Sencillo: si se automatiza el proceso de establecer certificados de seguridad y, además, estos certificados son gratuitos, entonces se espera lograr que el uso de comunicaciones cifradas entre los servidores y los navegadores sea algo ubicuo. Ya no habrá pretextos para no utilizar el protocolo seguro HTTPS en lugar del protocolo de texto plano HTTP. Lo que nos queda por hacer es apoyar este proyecto para que logre su objetivo.

Por mi parte, me encuentro en el proceso de evaluar este proyecto, pero tomando un camino ligeramente diferente. En lugar de utilizar el cliente completamente automizado, he decidido utilizar un cliente más simple y manual: Let's Encrypt Without Sudo. ¿Por qué? Por paranoia, y para evitar ejecutar un programa con privilegios de administrador, por lo menos en esta etapa de pruebas. Lo más probable es que en el mediano plazo haga el cambio hacia el cliente oficial.

En conclusión, ya lo saben, ya no existen pretextos para seguir brindando servicios vía Internet sin tener una comunicación cifrada y, con esto, darle un nivel superior de seguridad a sus usuarios. Para saber más, consulten el sitio oficial de esta nueva organización certificadora: Let's Encrypt.

Etiquetas: 
seguridad

Añadir nuevo comentario

Más información sobre los formatos de texto

Plain text

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.
CAPTCHA
Esta pregunta es para asegurarnos que eres una persona y prevenir mensajes automáticos.
Image CAPTCHA
Enter the characters shown in the image.