Uno de los principios fundamentales de la seguridad online es asegurar que las comunicaciones entre nosotros y nuestros clientes sean lo más seguras posibles. El primer paso – y el más sencillo – para conseguir esto es asegurar que dichas comunicaciones están encriptadas, de forma que los datos que enviemos a nuestros clientes y los que recibimos a su vez de ellos sean complicados de interceptar. Por ello, es habitual que hoy en día todas las webs sean publicadas sólo a través de HTTPS (HTTP sobre SSL/TLS). Por si esto fuera poco, hace cosa de dos años Google anunciaba su intención de ‘premiar’ aquellas webs que usaran este protocolo. En resumen, si sois responsables de algún tipo de proyecto web en el que no estáis utilizando SSL, terminad de leer rápido y poneos manos a la obra cuanto antes.
Usar HTTPS en nuestra web es tan sencillo como seguir las instrucciones apropiadas para el servidor web que utilicemos. Aquí las de Apache y Nginx, los dos mas populares a día de hoy.
Además de esto, necesitaremos un certificado, emitido por una entidad de confianza, que será el elemento que usemos en nuestros cifrados y que identificará nuestro servidor de manera única, asegurando a nuestros clientes que el cifrado utilizado es de confianza. Según qué proveedores, conseguir estos certificados puede ser caro, pero he aquí un proyecto que plantea acabar con esto. Bienvenidos a Let’s Encrypt! la primera Certificate Authority gratuita, automatizada y abierta.
Este proyecto está liderado por el Internet Security Research Group (ISRG) y apoyado por diversas entidades de peso en Internet como puedan ser Mozilla, Cisco, Google o Facebook
Aunque están actualmente en beta abierta, en eHidra estamos deseando poder empezar a renovar nuestros certificados con ellos. No solo porque sean gratuitos, que evidentemente resulta atractivo, sino porque además introducen un concepto que nos resulta tan interesante como novedoso, la expiración de certificados en 90 días (en lugar de períodos de años a los que estamos acostumbrados). ¿Qué significa esto? Que nuestras claves de cifrado se actualizan cada poco y que tendremos que implementar sistemas de renovación automática para ello, que aunque puede ser un engorro al principio, nos hará la vida mucho más sencilla a la larga y, lo que es más importante, nuestras comunicaciones serán mucho más seguras.
