SSL para el LOGIN en Feedback › Cuestiones técnicas

Moriarthy 29 ago 2016 15:13

Adicto

358 mensajes
desde ago 2015
en Al lado de mi iPad.

Página web de Moriarthy Twitter de Moriarthy

Hola, ¿qué tal veis poner un certificado SSL para el login? No soy ningún experto pero, ¿no sería más seguro así?

melado adm 29 ago 2016 18:05 *

Staff
Administrador

13.666 mensajes
desde ago 2001

Editado 1 vez. Última: 29/08/2016 - 18:09:21 por melado.

Si buscas en este mismo foro verás que es algo que queremos hacer pero ahora mismo por falta de tiempo no está en lo alto de nuestra lista de prioridades. De todas formas sería HTTPS en toda la web o en ninguna parte. Hacer que esté solo en el login o que la web sea también accesible por HTTP sería poco útil para la seguridad.

JohnH 29 ago 2016 21:21

☣ ⚠ ☣

2.886 mensajes
desde may 2005
en tu pantalla

Si forocoches ha dado el paso nada es imposible [fiu]

.

No me he leído sus términos, pero, por parte de la EFF, certificados gratuitos:
https://letsencrypt.org/

melado adm 29 ago 2016 21:46 *

Staff
Administrador

13.666 mensajes
desde ago 2001

Editado 1 vez. Última: 29/08/2016 - 21:49:56 por melado.

No es una comparación muy justa. Y tampoco es un problema de comprar un certificado.

JohnH 29 ago 2016 22:05

☣ ⚠ ☣

2.886 mensajes
desde may 2005
en tu pantalla

En realidad lo he escrito con una intencionalidad de tono bastante jocoso.

Perdón por no haberlo dejado claro ;-)

Moriarthy 30 ago 2016 15:41

Adicto

358 mensajes
desde ago 2015
en Al lado de mi iPad.

Página web de Moriarthy Twitter de Moriarthy

melado escribió:Si buscas en este mismo foro verás que es algo que queremos hacer pero ahora mismo por falta de tiempo no está en lo alto de nuestra lista de prioridades. De todas formas sería HTTPS en toda la web o en ninguna parte. Hacer que esté solo en el login o que la web sea también accesible por HTTP sería poco útil para la seguridad.

Cierto. Lo decía más que nada porque pensaba que así sería mejor, pero es verdad que debe de consumir tiempo.

d4rkb1t 18 oct 2016 09:58 *

MegaAdicto!!!

4.805 mensajes
desde jul 2004

Editado 2 veces. Última: 18/10/2016 - 09:59:35 por d4rkb1t.

Hace semanas que pienso sobre esto.

Actualmente, no es nada complicado/time consuming poner un certificado, y de hecho diría que es hasta sencillo, tengáis proxy delante de los servicios backend, o sea toda una stack funcionando en el mismo server.

Como ya os han apuntado, actualmente con dos lineas de comando, y siempre que se cumpla un estándar de configuración del Apache que tengáis, simplemente instalando LetsEncrypt y ejecutando esto en consola:

certbot --apache -d elotrolado.net -d www.elotrolado.net

os cogerá la configuración del VirtualHost del puerto 80 y os lo pasará automáticamente a 443 preguntando si queréis que la web siga funcionando en 80 y en 443 a la vez, o tan solo en 443.

No hace falta decir, que el certificado es totalmente funcional y de confianza en todos los dispositivos actuales.

Un saludo.

melado adm 18 oct 2016 10:04 *

Staff
Administrador

13.666 mensajes
desde ago 2001

Editado 1 vez. Última: 18/10/2016 - 11:28:15 por melado.

Tenemos varios impedimentos que tenemos que solucionar antes, pero es algo que definitivamente vamos a hacer, no hace falta convencernos de nada

Como ya he dicho no es un problema de comprar el certificado, y mucho menos de añadir la línea correspondiente al Apache.

Edit: igualmente gracias por la ayuda, @d4rkb1t