Si tu sitio web tiene cualquier tipo de intercambio de datos (como pueden ser usuarios, contraseñas, datos personales o de pago) con sus usuarios, se recomienda que éstos viajen siempre de forma segura por la red. La forma de lograr que esta comunicación se realice de forma segura es configurar tu sitio para que utilice el protocolo seguro HTTPS.
¿Qué diferencia hay entre HTTP y HTTPS?
El protocolo HTTPS utiliza un canal cifrado entre el servidor y el cliente de forma que la comunicación entre estos sea segura. Cuando estás conectado desde una red pública, por ejemplo trabajando desde la red de tu cafetería favorita, una persona mal intencionada con conocimientos técnicos medios y unas cuantas aplicaciones puede “escuchar” o tener acceso a toda la información de todos los usuarios que usan la misma red, si la información está viajando por HTTP es completamente legible y esta a disposición de quien sepa acceder a ella, sin embargo si ésta viaja por HTTPS entonces viaja de forma cifrada y es prácticamente imposible que sea interpretada o utilizada por terceros.
¿Qué se necesita entonces para que un sitio use el protocolo HTTPS?
Fácil, necesitamos que el servidor genere unos certificados con los que se cifra la información intercambiada entre el servidor y el cliente y se necesita una autoridad certificadora (AC) que verifique y asegure al navegador que el sitio es quien dice ser y el certificado es válido.
¿Cuánto cuesta este proceso?
Gracias a autoridades certificadoras como Let’s Encrypt (https://letsencrypt.org/), ahora podemos obtener dichos certificados y su validación sin costo alguno, Let’s Encrypt es una AC sin fines de lucro que al 27 de Febrero del 2020 ha emitido 1 billón de certificados gratuitos, ayudando así a que la internet sea un lugar un poco más seguro.
Veamos ahora cómo configurar HTTPS en tu sitio:
Antes de empezar, sabemos que hay un sin número de casos específicos para un sitio web y sería imposible hacer una guia para todos, pero, usaremos un ejemplo genérico esperando que sirva al menos para dar una idea de como hacerlo, la mayoría de hospedajes compartidos brindan una opción sencilla desde sus interfaces para hacer este proceso, así que si usas un hospedaje compartido lo mejor es que visites la documentación de tu proveedor.
Basándonos en la popularidad de las tecnologías, vamos a suponer un sitio web en un servidor Ubuntu 18.04 (LTS) corriendo Nginx.
1.Necesitas tener acceso SSH a tu servidor con un usuario con capacidad sudo. Como se comentó anteriormente, si no lo tienes es muy probable que entonces tengas un panel de control donde será más fácil este proceso y entonces este tutorial no te sirve.
2.Tu sitio ya debe estar bien configurado y corriendo sin problema en Nginx.
3.Let’s Encrypt tiene una herramienta que facilita enormemente el proceso llamada certbot, vamos a instalar el repositorio donde se encuentra ejecutando los siguientes comandos en el shell:
sudo apt-get update
sudo apt-get install software-properties-common
sudo add-apt-repository universe
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
4.Ahora que tenemos configurado el repositorio vamos a instalar certbot y su dependencia para Nginx
sudo apt-get install certbot python3-certbot-nginx
5.Vamos ahora a ejecutar certbot con su configuración automática para Nginx
sudo certbot –nginx
6.El proceso preguntará a cuáles de los sitios que encuentre configurados en Nginx debe configurar el acceso seguro, generará e instalará los certificados y modificará la configuración de Nginx automaticamente, ademas instala en el sistema un proceso que actualiza automáticamente los certificados cada 60 días (los certificados gratuitos deben ser renovados cada 90 días máximo que es su periodo de validez).
……..
Listo, no hay más que hacer, al terminar este proceso deberás poder acceder a tu sitio usando el protocolo https sin problema. Te invito a visitar la documentación de certbot para otros casos de uso, como servidores Windows / IIS, diferentes distros de Linux y otros servidores web como Apache o Pleks entre otros.
En vista que te preocupa la seguridad de tu sitio te recomiendo el árticulo sobre la Pandemia de ciberataques en medio de Covid-19
