Desde los inicios de Internet, todas las conexiones, salvo las más críticas, se han realizado a través del protocolo inseguro HTTP, sin embargo, con los avances de la tecnología y, sobre todo, la cantidad de información que viaja por la red, cada vez son más las páginas web que ofrecen a sus usuarios conexiones seguras HTTPS utilizando para ello distintos certificados SSL emitidos, generalmente, por sus proveedores de hosting o dominio. Podéis leer nuestro tutorial sobre funcionamiento de Plesk.
GoDaddy es uno de los vendedores de dominios y proveedores de hosting más conocido y escogido por los administradores web que necesitan abrirse un sitio en la red. Igual que sus rivales, este proveedor ofrece, por el módico precio de 85 euros al año, un certificado con el que permitir a sus clientes implementar el uso de conexiones HTTPS en sus páginas web, sin embargo, el pasado martes, esta compañía se ha visto obligada a revocar cerca de 9000 certificados SSL utilizados por más de 6100 clientes debido a que habían sido validados con un software mal programado, lo que abre la puerta a que estos certificados puedan ser vulnerables.
Tal como afirma la compañía, auditando la herramienta encargada de validar los certificados HTTPS generados han encontrado un fallo en la misma que puede haber dado lugar a que algunos certificados validados no sean del todo seguros. Por ello, tal como mandan los estándares de las Certificate Authority, todos aquellos que hayan sido validados con dicha herramienta deben ser revocados y considerados como inseguros.
Por ello, desde el pasado 10 de enero de 2017, todos estos certificados emitidos en los últimos 6 meses por la compañía, concretamente desde el pasado 29 de julio de 2016, han dejado de ser válidos y, aunque las páginas web que los utilizaban seguirán funcionando sin problemas, es muy probable que en los próximos días los navegadores empiecen a mostrar errores a la hora de intentar acceder a dichas páginas hasta que los administradores instalen en sus webs un certificado nuevo.
GoDaddy, por su parte, al ser el responsable de este fallo, está ofreciendo a los afectados certificados renovados y seguros de forma totalmente gratuita. En otro artículo hablamos de los certificados wildcard.
Let’s Encrypt sigue siendo una de las mejores opciones a la hora de implementar conexiones HTTPS a nuestras páginas web
Hasta hace pocos años, conseguir e implementar un certificado SSL para permitir conexiones a través del protocolo HTTPS era un proceso muy complicado y, sobre todo caro. Sin embargo, en 2014, con la llegada de Let’s Encrypt, este concepto llegó a su fin. Esta plataforma permite a todos los usuarios conseguir certificados verificados de forma totalmente gratuita de manera que, con unos pocos conocimientos de administración web, cualquier administrador pueda añadir conexiones seguras a su página web.
El único «inconveniente» de Let’s Encrypt es que el proceso de generación e implementación del certificado es manual, y los certificados suelen tener una validez de 90 días, lo que obliga a los administradores a estar pendientes de estos certificados, mientras que los emitidos por los proveedores de hosting suelen estar totalmente automatizados, por lo que es pagar y olvidarse de todo.
¿Crees que merece la pena comprar los certificados de los proveedores de hosting o debemos empezar a utilizar más las alternativas como Let’s Encrypt?