El año pasado, hicimos una asociación con la iniciativa LetsEncrypt. Hoy, tenemos el placer de anunciar nuestra integración con LetsEncrypt. Hemos activado Certificados SSL Gratuitos para todos los clientes que usan el Firewall de Sucuri.
Estamos contentos con esta integración y la activamos a todos nuestros clientes. Si su sitio web está utilizando el Firewall de Sucuri, sus clientes van a visitar su sitio web a través de HTTPS por defecto. Es así de simple.
Clientes de los planos Profesional, Business o Enterprise siguen usando su certificado personalizado.
Activando HTTP/2 para Todos
Además de activar HHTPS para todos los sitios web, también activamos HTTP/2 por defecto. Por lo tanto, nuestros clientes pueden tomar ventaja de una mejora de rendimiento que es el resultado de este nuevo protocolo. Hemos añadido HTTP/2 para todos nuestros clientes. Empezamos a dar soporte a HTTP/2 en noviembre y creemos que la mejor opción es activar este protocolo para todos nuestros clientes.
Para aquellos que no lo saben todavía, HTTP/2 es un nuevo protocolo que se está desarrollando en los últimos años. HTTP/2 mejoró significativamente el rendimiento de la mayoría de los sitios web. Es el futuro de la web y con nuestra red su sitio puede aprovechar sus beneficios. Ya no tendrá que esperar a que sus servidores se actualicen por su host y mucho menos hacerlo solo.
Notificaciones de Contenido Mixto y Falta de Soporte HTTPS
Hay dos posibles problemas que pueden ocurrir con la adopción de los medios de HTTPS: Mixed content Warnings (Notificaciones de Contenido Mixto) y falta de soporte HTTPS en el nivel del host (origen).
Si su anfitrión no soporta HTTPS, proporcionaremos soporte parcial SSL (sólo para clientes), lo que nos permite cifrar la comunicación entre el visitante en nuestros servidores, pero no entre nosotros y el servidor de host. Esta configuración no es lo ideal, pero es un buen primer paso para mejorar los datos de la cadena de seguridad de datos.
Al hacer esto , su sitio web puede hacer las referencias de recursos vía HTTP, lo que rompe algunos CSS o imágenes. Preparamos un artigo en nuestra Base de Datos (Knowledge Base – KB) que explica cómo arreglar notificaciones de contenido mixto.
Si necesita ayuda, abra un ticket y nuestro equipo de soporte le ayudará.
Opciones de Configuración
Habrá tres opciones de configuración que se puede elegir en el panel de control:
SSL Parcial: Se o backend do seu website não fornece HTTPS, vamos fazer a proxy HTTPs->HTTP para você. Esse não é o ideal, mas estamos trazendo segurança a grande parte da cadeia de comunicação entre seus clientes e sua rede. Essa é a comunicação inicial com a sua audiência e a parte mais suscetível a ataques Man in the Middle(MiTM).
SSL Completo: Este es el método ideal y el más seguro. Haremos proxy vía HTTPS de nuestro lado para el hosting, también se ejecutará a través de HTTPS. Esta configuración garantiza que la conexión siempre esté cifrada.
SSL Customizado: En los planes Profesional o otros más completo, se puede usar su Extended Validation (EV), wildcard o cualquier otro certificado.
Sin HTTPS: Se puede desactivar el HTTPS, obligando a todo el tráfico HTTPS redirigirse a la HTTP. La opción esté en: Settings->SSL haga clic en el soporto del sitio web HTTP-only.
Ejemplos del Certificado LetsEncrypt
Con SSL activado, su público verá un candado de seguridad en su sitio web. Además, podrán ver todos los detalles de su Certificate Authority (CA). Se puede ver ejemplos de esta configuración en mi sitio web personal:
Cambiando para HTTPS – Mejorando Posturas de Seguridad
Estamos proporcionando certificados SSL para todos nuestros clientes, pero no creemos en la idea de que cada sitio web necesita tener activado el HTTPS. La idea de que esto hace que la web sea más segura no es real.
El uso de HTTPS es un paso importante para que la información de tráfico sea más segura, pero esto es sólo una fase de la cadena de seguridad del sitio web. Es por eso que sólo se recomienda el uso de HTTPS para los webmasters que están tomando en serio la seguridad y como último paso para ayudar a proteger la información en tránsito. No se deje engañar, el candado, el S del HTTPS no son signos de un sitio web seguro.
También creo que el viejo proceso de la generación de los certificados SSL era una manera de complicar el proceso. La seguridad debe ser simple y accesible. Este principio es la base por la que he creado Sucuri y otros proyectos como OSSEC. Desarrollamos nuestra WAF y todos nuestros productos para proporcionar seguridad a nivel de empresa para todos los webmasters. La seguridad no debe ser determinada por el tamaño de su organización, pr su equipo o por su presupuesto.
Es por eso que hemos decidido colaborar con la iniciativa de LetsEncrypt, con el fin de simplificar la creación del proceso de certificación. La complejidad no debe ser la razón por la cual alguien deje de utilizar SSL.
Source:https://blog.sucuri.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
