Blog

Archive for SSL/TLS

Let’s Encrypt: la revolución silenciosa

Let’s encrypt: la revolución silenciosa de los certificados SSL

Let's encrypt logoSi ha tenido que comprar un certificado digital SSL —terminología antigua, ya que en realidad ahora todo es TLS [2] — sabrá que tienen un coste y que ese coste lo pagamos debido a que una entidad “confiable” pone su “firma digital” en nuestro certificado para que los navegadores, a su vez, y por esta cadena de “confianza”, acepte nuestro certificado.

Y de eso va la tecnología SSL/TLS: de confianza.

Criptografía asimétrica: el resumen más corto de la historia

Para poder entender porqué SSL/TLS es tan importante para la seguridad del Internet de hoy en día y ese “verde” característico que aparece cuando escribimos https:// en nuestro sitio favorito, tenemos que entender qué es la Critografía Asimétrica [1] y qué relación guarda con eso que hemos dicho antes: “la confianza”.

Brevemente, la critografía asimétrica permite generar una llave pública y una privada de tal modo que todo lo que sea cifrado con el certificado público, sólo podrá ser descifrado por la llave privada (que es la que queda instalada en el servidor y que nunca saldrá de allí: salvo fallo de seguridad).

Sobre este pilar de criptografía matemática se fundamenta todo el protocolo TLS [2] (versión evolucionada del SSL), el cual proporciona una serie de intercambios para que el cliente que conecta con el servidor, pueda recibir y aceptar una serie de indicaciones que permite intercambiar mensajes de manera segura.

Sin embargo, aquí hay un “pero” y radica en esa parte “de intercambiar de manera segura” información.

La pata que le falta para completar SSL/TLS: la confianza

Lo único que asegura SSL/TLS es que el emisor y el receptor, una vez completada la negociación, podrán intercambiar mensajes con la seguridad de que sólo el emisor y el receptor son partícipes de la conversación: nadie podrá espiar mientras los mensajes están en tránsito.

Sin embargo, el gran problema a solucionar es el siguiente: ¿cómo asegurar que estamos hablando con el servidor que queremos y no otro que está interceptando la comunicación?

Ahí es donde entra la cadena de confianza y las certificadoras digitales que todos conocemos, como, por nombrar algunas: GeoTrust, Thawte, Verisign, Comodo…

¿Qué milla extra venían aportando las certificadoras?

Con todas las piezas técnicas sobre el tablero, la pieza que nos falta para completar el puzle son las compañias que tienen reputación, que
son conocidas previamente, y que debido a acuerdos previos, han consegido que sus certificados de firma –simplificando algo el proceso– estén reconocidos por la mayoría de navegadores.

Debido a que los navegadores aceptan y confian en estos certificados, todo lo que sea firmado por ellos, será también reconocido y aceptado
sin error.

¿Qué aporta Let’s encrypt?

La base fundacional del proyecto es: certificados gratis para todos. ¿Y sin tener que pagar a las autoridades de certificación legacy?

Sí. Entonces ¿cuál es el truco? No hay truco.

Sin embargo, hay que entender su origen para saber cuál es su objetivo.

Let’s encrypt es una iniciativa apoyada por grandes de la industria y que necesitan que sus dispositivos, intranets y portales de gestión, etc, puedan tener un certificado reconocido por todos los navegadores.

Después de todo, ¿qué impide a estas compañías llegar a los mismos acuerdos con los navegadores para que sus certificados sean reconocidos?

Combinando esta inclusión con un protocolo de validación y despliegue, let’s encrypt no sólo proporciona certificados que son totalmente reconocidos y sin costes: sino que automatiza la solicitud y configuración del certificado quitando al administrador la molesta tarea de solicitar y configurar un certificado.

Entonces, ¿desaparecerán las entidades de certificación?

En nuestra opinión, no. Se tendrán que especializar en emitir certificados que requieran una nueva milla adicional. También seguirán conservando la certificación de certificados para empresas y organismos. Ahí es donde let’s encrypt “no quiere llegar” (aunque podría).

[1] https://es.wikipedia.org/wiki/Criptograf%C3%ADa_asim%C3%A9trica
[2] https://es.wikipedia.org/wiki/Transport_Layer_Security

Posted in: Let's Encrypt, Seguridad, SSL/TLS

Leave a Comment (0) →

Configurando Let’s encrypt para el certificado del panel Core-Admin

Configurando Let’s encrypt para el certificado del panel Core-Admin

La siguiente guía rápida le proporcionará claves sobre cómo configurar el certificado Let’s encrypt para su panel de administración web de Core-Admin. Es decir, el certificado usado por el panel para proteger las comunicaciones entre su navegador y el servidor de Core-Admin.

Estas indicaciones dependerán del estado actual de su instalación de Core-Admin y de sus preferencias de cómo configurarlo: si desde la consola o desde el propio panel.

Con un servidor de Core-Admin funcionando: actualizar el certificado a Let’s encrypt

Si tiene un Core-Admin funcionando, con acceso web, puede instalar la herramienta de gestión Let’s encrypt y luego usar la opción específica para configurar el certificado let’s encrypt para su servidor local. Esto sería del del siguiente modo:

Después de que haya instalado la herramienta (o ya la tenga instalada), ábrala y siga los siguientes pasos:

Gestión Let's encrypt -> Acciones -> Certificado para el servidor Core-Admin  (y siga las instrucciones)

Con un servidor de Core-Admin funcionando con la herramienta let’s encrypt desplegada: comando de consola

En el caso de que ya tenga Core-Admin con el Let’s encrypt desplegado, puede usar el siguiente comando para solicitar, instalar y configurar el certificado Let’s encrypt para su servidor de Core-Admin:

>> crad-lets-encrypt.pyc -s <su-direccion-de-contacto>

Configurando el certificado Let’s encrypt justo al terminar la instalación de Core-Admin, usando el core-admin-installer.py

Justo después de instalar core-admin, puede usar el siguiente comando para dejarlo todo configurando con let’s encrypt::

>> cd /root
>> wget http://www.core-admin.com/downloads/core-admin-installer.py
>> chmod +x core-admin-installer.py
>> ./core-admin-installer.py --core-admin-le-cert=<su-direccion-de-contacto>

La diferencia entre este comando y crad-lets-encrypt.pyc es que el último sólo está disponible cuando ya tiene instalado la herramienta de gestión Let’s encrypt para core-admin. En caso contrario, crad-lets-encrypt.pyc no estará disponible.

Posted in: Administration, Certificados, Core-Admin, Let's Encrypt, Seguridad, SSL/TLS

Leave a Comment (0) →