Hay muchas tiendas online y webs que adquieren certificados de un coste anual muy elevado y que no les aporta nada positivo por el simple hecho de una incorrecta configuración de la web y del servidor https.

Los certificados digitales SSL sirven para autenticar a un usuario o sitio web en internet, pero este certificado no es visible en el navegador  por el usuario si tu sitio web no tiene activado correctamente el soporte para SSL, o lo que es lo mismo, la navegación segura https://

A continuación te listamos los problemas más frecuentes que nos encontramos en una mala configuración de la web con certificados SSL, que pueden invalidar, de forma parcial o total, el protocolo seguro SSL

  • Tener recursos de la web con protocolo no seguro es decir con http://
  • Tener recursos externos de la web con protocolo seguro pero sin un certificado SSL válido
  • Configuracion incorrecta del servidor Apache: sin soporte de PFS (perfect forward secrecy), sin soporte TLS moderno etc..
  • Módulos SSL no actualizados en el servidor y con bugs de seguridad, por ejemplo en linux el modulo open SSL
  • Sólo activar la navegación segura en alguna partes de la web. Como ya dijimos en otra entrada anterior, Google recomienda la navegación segura en toda la web.

¿Cómo solucionar estos problemas?

  • Cambiar todos los enlaces del código html de nuestra web, que apunten a algun recurso con http:// a https:// 
  • Si tu web utiliza recursos javascript, css o imagenes externas que no tienen un certificado SSL válido tienes que alojarlas dentro de tu dominio y hosting
  • Ejemplo para configurar en apache el módulo SSL:

    Agregar/modificar esto dentro del archivo ssl.conf (mod_ssl)

    SSLProtocol all -SSLv2 -SSLv3
    SSLHonorCipherOrder on
    SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 
    EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 
    EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
  • Actualizar los modulos SSl de nuestro servidor como puede ser Openssl.
    Por ejemplo: En CentOS, nos conectamos por ssh con usuario root y tecleamos yum update openssl
  • Activar la navegación segura en toda la web, realizar esto en la mayoria de las webs es simple pero dependerá de nuestro gestor web. Esto, además de una mejora en el posicionamiento (esto lo dice directamente Google), le da más confianza y seguridad al usuario cuando navega por nuestra web, ya que aparece el famoso candado y el https en verde

¿Como verificar que mi web tiene correctamente instalado el certificado SSL?

  1. Validar desde el navegador. Utilizamos Google chrome y entramos en la web con certificado seguro y pulsamos sobre el candado y despues en la pestaña conexion. El candado debe aparecer en color verde y la conexion debe estar cifrada a 256 bits. Muchas webs utilizan cifrado de 128bits, que es un cifrado bastante más vulnerable.
    ssl-correcto

  • Validar servidor SSL. Para ello vamos a utilizar la web https://www.ssllabs.com/ssltest/ que nos realizará un testeo completo de nuestro servidor SSL y de posibles vulnerabilidades de nuestra configuracion del certificado seguro. Lo ideal es tener como resultado un A o un A+ como tenemos con nuestra web.
  • ssllabs

    Realizando todo lo explicado anteriormente, mejoramos la seguridad del usuario que navega en nuestra web, damos una imagen mas profesional, y aprovechamos correctamente el gasto que nos supone nuestro certificado SSL, año tras año.

     

    Contratar certificado SSL

    ¿Aún no tienes un certificado SSL para tu web?

    Puedes contratar hoy mismo tu certificado desde 29 €/año
    Contratar certificado SSL