Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
25/07/2018
Chrome diu que el meu lloc no és segur Què faig?
Hui Google Chrome comença a marcar els llocs que no posseïsquen un certificat com a "No segur"
Així que toca estendre un certificat i configurar adequadament el xifratge del servidor perquè aquest missatge desaparega quan els nostres visitants entren als nostres dominis. Però no volem que aquesta siga la motivació principal. N’hi ha una altra i moltes més importants, per les quals ja hauries d'estar oferint el xifratge incondicional en tots i cadascun dels teus llocs. Des d’Hispasec ens derroquen uns quants mites sobre els costos i complexitats inherents al desenvolupament.
1. Respecta la privacitat dels teus clients o visitants
Les connexions xifrades no són un adorn ni estan ací perquè "isca el cadenat". Estan perquè uns altres no capturen i lligen el trànsit que es produeix entre client i servidor. És possible que cregues que aquest trànsit "no és important", però en molts contextos sí que ho és i importa molt. Fins i tot si el teu lloc és presencial i no hi ha formularis o camps de cerca, la mateixa traça de visites d’ URL del lloc ja permet crear-se un perfil de la persona afectada per no xifrar les comunicacions.
2. Dona autenticitat al teu domini
Sense un certificat degudament estés, un visitant no sabria diferenciar-ho d'un lloc falsificat. Visitar un domini no implica que siga el lloc correcte. Tant amb un atac d'enverinament de la memòria cau DNS com amb un atac sobre rutes BGP, ens permet falsificar un lloc si aquest no posseeix un certificat adequat.
3. És gratis
Moltes persones i organitzacions pensen que estendre un certificat és car i que és una despesa innecessària (o, simplement, no li donen importància als motius del punt 1). No solament no és car, és gratis. Iniciatives com Let's Encrypts ens permeten posseir un certificat lliure de costos directes. No hi ha excuses si havies mirat la inversió en certificats com una despesa inútil. És gratis. Zero euros. Res.
4. És senzill
No tinc/No dedicaré personal/temps per a una tasca així. A vegades no és qüestió de diners sinó de temps o no tindre el personal adequat per a estendre i instal·lar un certificat. En realitat és una tasca senzilla, no és complexa. Tria el certificat adequat (recorda, Let's Encrypts... és gratis!), ho obtens, segueixes els passos indicats per l'emissor (tots tenen una guia, per exemple), reinicies el servidor i estarà preparat per a funcionar.
5. Millora la teua imatge
A veure. Com serà el mateix una connexió plana, ací, sense cadenat ni verd i amb un missatge de "No segur" que una connexió xifrada amb un bon cadenat TLS 1.3? Això diu molt. Dóna força, vigor i senta principis: "Això és segur, bo (toc, toc) i de confiança". Encara que no ho faces per la privacitat, t'isca gratis i t'ho instal·le un amic amb coneixements informàtics al que convidaràs a una paella a canvi, almenys pensa que reforçarà la teua imatge.
Continua llegint aquest article en la seua font original.