¡Este sitio web ya es seguro! (o cómo obtener HTTPS para tu sitio web)

HTTPS

HTTPS ha sido estándar desde el 2000, pero al día de hoy muchos sitios web siguen sin utilizarlo principalmente por tres razones:

  • Costo: Las empresas que emiten los certificados cobran por éstos al rededor de $250 USD anuales.
  • Carga en el servidor: Con HTTPS, la información transferida tiene que ser encriptada y desencriptada para poder ser leída, lo cual puee resultar en más trabajo para el servidor (aunque, seamos sinceros, es 2016... computar ya no es un problema).
  • Renovaciones: Renovar el certificado puede llegar a tomar mucho tiempo, debido a las verificaciones que se deben llevar a cabo.

Pero ya no más. Desde abril de 2016, Let's Encrypt ha estado ofreciendo certificados que son gratis, automatizados y abiertos.

El proceso es extremadamente sencillo, no me tomó más de 10 minutos generar el certificado y configurar la renovación automática. En el sitio web de Certbot, la herramienta que crearon con este propósito, puedes encontrar tutoriales para el sistema operativo y el webserver que estés utilizando.

Así que ya no hay excusa. Es 2016 y necesitamos proteger nuestra privacidad.


Seguridad esencial para servidores Linux

Seguridad

Me da mucho miedo el tema de la seguridad. Todo está roto y no importa que tanto te esfuerces, que tanto encriptes tus datos, siempre vas a cometer un descuido (especialmente si eres tan distraído como yo) y algún vivo se va a aprovechar de él.

Por eso no me atrevo a escribir una sola línea de código que tenga que manejar datos sensibles, y cada vez son menos los valientes: hoy en día, muchos sitios no te piden que crees una cuenta, sino que hagas login con tu cuenta de Facebook, Twitter o Gmail, porque ¿para qué guardar tus datos si Facebook ya lo hace y mejor de lo que yo podría llegar hacerlo?

Pero aunque mis necesidades de seguridad no son tan grandes, aún así mantengo un servidor (donde está alojado este blog), y es necesario implementarle, cuando menos, la seguridad más básica.

Por eso fue un alivio encontrar en HackerNews el siguiente artículo:

My First 10 Minutes On a Server - Primer for Securing Ubuntu,

que muestra como en 10 minutos puedes pasar de un servidor recién formateado, a un servidor seguro. Supongo que aquí también aplica el principio de Pareto: con el 20% del esfuerzo, puedes lograr el 80% de seguridad.

Los pasos ahí mostrados son para un servidor de Ubuntu, pero para cualquier otra distro es casi lo mismo.

Claro que esto no va a protejer, para nada, las aplicaciones hosteadas en este servidor, como dice el artículo, "ese es otro animal completamente", pero por lo menos nadie va a hacer login ni va a ejecutar programas si no se lo permites.