Products

Solutions

Resources

Partners

Community

About

New Community Website

Ordinarily, you'd be at the right spot, but we've recently launched a brand new community website... For the community, by the community.

Yay... Take Me to the Community!

The Community Blog is a personal opinion of community members and by no means the official standpoint of DNN Corp or DNN Platform. This is a place to express personal thoughts about DNNPlatform, the community and its ecosystem. Do you have useful information that you would like to share with the DNN Community in a featured article or blog? If so, please contact .

The use of the Community Blog is covered by our Community Blog Guidelines - please read before commenting or posting.


¿Cómo asegurar un web DNN con un certificado SSL?

¿Por qué tener certificado SSL?

Solo por aclarar un pequeño problema de semántica técnica, SSL (Secure Socket Layer) es el antiguo estándar de transmisión de datos seguros y está en desuso, sustituido por el TLS (Transport Layer Security). Básicamente, el cifrado en el nuevo estándar está en otra capa del modelo OSI, pero esto no nos importa demasiado ahora para el objetivo de este texto. Seguiremos viendo y escuchando el término SSL para representar ambos, por lo que en este texto SSL significa tal el uno como el otro.

También es importante entender que SSL sólo es efectivo para asegurar el transporte de datos, no hace nada para proteger el sitio web. Si tienes otros problemas de seguridad, SSL no los resolverá por arte de magia. Es crucial no tener una falsa sensación de seguridad simplemente instalando SSL en un sitio web.

Cada vez más sitios usan SSL, y no sólo en algunas páginas, sino en todo el sitio web. El uso de SSL se ha más que duplicado en los últimos 4 años, como se muestra en este cuadro de los ratios de Mozilla Telemetry SSL:
Uso de SSL

¿Por qué todos los sitios web deberían usar SSL en 2018?

  • Necesitarás SSL si aceptas tarjetas de crédito en línea y debes cumplir con el estándar PCI; si realizas cobros en línea, ni siquiera es opcional.
  • Proporciona una sensación de confianza a tus visitantes porque verán un candado verde al lado de la dirección de tu sitio web.
  • Elimina la sensación de peligro, pues los navegadores modernos como Chrome agregarán un icono "No seguro" a la izquierda de la dirección del sitio web en cuanto entre en un formulario. Esto puede ocurrir con cualquier formulario, incluso sólo con un campo de búsqueda. Puede asustar a tus usuarios y alejarlos de tu sitio web.
  • Puede ser beneficioso para SEO. Aunque los algoritmos de búsqueda son secretos muy bien guardados, muchos expertos de SEO han notado una pequeña preferencia para los sitios que usan SSL, por lo que puede ser parte de la fórmula que usan los motores de búsqueda para clasificar los sitios web.
  • La razón principal: ¡ahora es gratuito! Así que, ¿por qué no?

Tipos de certificados SSL

En el aspecto técnico de asegurar la transmisión de datos, la única especificación técnica es la longitud de la clave, cuanto más larga es la clave, más tiempo se necesita para descifrarla (recuerda que todo se puede descifrar, solo lleva mucho tiempo). A medida que aumenta la potencia de cálculo, necesitaremos claves más largas porque pueden romperse más rápidamente. Una clave de 2048 bits es bastante estándar actualmente y se tardaría al menos 1200 años en descifrar una determinada clave. Claro que esto puede cambiar rápidamente con los ordenadores Quantum. El caso es que cualquiera de estos tipos hará el mismo trabajo desde el punto de vista estrictamente técnico, lo que cambia es la forma en que los usuarios ven el certificado.

  • Los certificados DV (Verificación del Dominio) solo verifican que la persona que solicitó el certificado tenga control sobre el nombre de dominio del sitio web. Estos certificados están disponibles de forma gratuita o con una tarifa muy pequeña. Por lo general, se obtienen en minutos u horas y solo requieren que demuestres (al subir un archivo pequeño, modificando el registro DNS o utilizando herramientas automatizadas) que puedes controlar el nombre de dominio. En la mayoría de los navegadores, esto mostrará un candado verde al lado de la url del sitio web.
  • Los certificados OV (Verificación de la Organización) también verifican la organización (empresa) detrás del sitio web. La verificación se realiza mediante la verificación de registros gubernamentales públicos para la dirección de la empresa y la información de contacto. Estos certificados cuestan algo de dinero. Por lo general, se obtienen en unos días y su empresa debe estar registrada para que el emisor del certificado pueda verificarlo. En la mayoría de los navegadores, se mostrará un candado verde y en los detalles del certificado se mostrará la dirección de la organización y la información de contacto.
  • Los certificados EV (Verificación Extendida) van un paso más allá y el emisor realizará una pequeña auditoría de la empresa y sus propietarios. Son los más caros, lógicamente. En la mayoría de los navegadores, se mostrará una barra de dirección verde o una insignia de bloqueo más grande con el nombre de la compañía al lado del candado.

¿Cómo conseguir un certificado SSL?

La obtención e instalación de un certificado SSL variará dependiendo de si tiene acceso de administrador al servidor Windows que aloja tu sitio web o si usas una cuenta de alojamiento compartido. Si alojas tu sitio web con recursos de terceros,  simplemente sigue sus instrucciones. Si lo alojas tú mismo, o tienes acceso de escritorio directo o remoto al servidor, entonces recomendamos usar https://certifytheweb.com/: su software es gratuito para pequeña escala, y muy barato para quien necesite administrar muchos sitios. Esto está muy bien para obtener uno o más certificados  https://letsencrypt.org/. Esos son certificados DV (Dominio Validado) gratuitos que son perfectos para sitios web públicos que no tienen comercio electrónico o estándares de seguridad muy altos para mantener. Visite su sitio web para obtener más detalles, pero básicamente selecciona el sitio, solicita un certificado y el software se encarga de configurar todo para usted en IIS. Si necesita un certificado OV o EV, el emisor le proporcionará instrucciones para instalarlo en IIS.

Activando SSL en DNN

Una vez que tienes tu certificado, debes hacer que DNN lo use, en Configuración -> Seguridad -> Más y activar SSL
Configuración de seguridad DNN
Activar SSL en DNN

A menos que tengas diferentes URL para http y https, o necesidades especiales, todo lo demás puede dejarse en blanco. Ahora puedes acceder a tu sitio web con http: // o https: //. En cada página, podrás habilitar la opción Seguro y la página siempre se mostrará con https; pero esto llevaría mucho tiempo si debes editar las páginas una por una. Para evitarte este trabajo, que sería enorme en webs grandes, puedes marchar la opción "Forzar SSL (SSL Enforced)" y obligarás a que todas las páginas del web deban servirse mediante tráfico seguro.

Otra posibilidad es que IIS se encargue de esto por nosotros:

Forzando SSL para todo el sitio web

Esta técnica utiliza las reglas de reescritura de IIS para crear un redireccionamiento 301 para cualquier recurso al que acceda mediante http para ser servido por https. Una redirección 301 notificará a los indexadores de los motores de búsqueda que el recurso se ha movido permanentemente a https, lo que ayudará con sus esfuerzos de SEO. Aquí van las instrucciones paso a paso:

  1. Abrir IIS, navegar hasta tu sitio web y doble-click en URL Rewrite

    IIS URl Rewrite
  2. Pulsa en Add Rule(s)... y, en la nueva ventana, elije blank rule, y acepta.
    Añadir regla en blanco
  3. En la ventana de nueva regla, escribe lo siguiente en la sección Match URL:
    1. Name: lo que quieras, sugiero https-redirect
    2. Requested URL: Matches the Pattern
    3. Using: Regular Expression
    4. Pattern: (.*)
    5. Ignore case: marcado
  4. En la sección Conditions, pulsa añadir y escribe lo siguiente:
    1. Condition input: {HTTPS}
    2. Check if input string: Matches the Pattern
    3. Pattern: off
    4. Ignore case: checked
  5. En la sección action escribe lo siguiente:
    1. Action type: Redirect
    2. Redirect URL: https://{HTTP_HOST}/{R:1}
    3. Append query string: checked
    4. Redirect type: Permanent (301)
  6. Así debería quedar todo:
    Https redirect settings
  7. Pulsa aplicar, a la derecha, y habrás terminado; navega a tu web usando http y deberías ser automáticamente redirigido a la versión https version de cualquier página o recurso.

Este artículo es una versión traducida y corregida del original de Daniel Valadas.

Comments

Daniel Valadas
Hola Francisco, ¿mencionaste la traducción y la corrección, cualquier corrección que deba hacer en la versión en inglés?
Daniel Valadas Friday, May 11, 2018 7:57 PM (link)
Francisco Perez Andres
Hola Daniel. Sí, he añadido la posibilidad que tiene DNN, nativamente, de forzar SSL en un web. Yo lo uso en todos los que monto, en vez de el método IIS. Ambos son válidos.
Francisco Perez Andres Friday, May 11, 2018 8:04 PM (link)
Daniel Valadas
Oh, can you explain it to me in english, I only replied in spannish because I am portugese and it is similar, and google translate helped me a bit :)
Daniel Valadas Friday, May 11, 2018 9:10 PM (link)
Francisco Perez Andres
Sorry, Daniel ;-) I added another way of making all your website traffic SSL-only, using the DNN native tools. Just check the "SSL enforced" option.
Francisco Perez Andres Saturday, May 12, 2018 12:15 PM (link)
Daniel Valadas
But this is on a page by page level, not on the whole site at once though?
Daniel Valadas Sunday, May 13, 2018 3:26 AM (link)
Francisco Perez Andres
Good point, I'm actually not sure about that, as I automatically mark (it's a very simple SQL sentence) all pages as "secure". Let me check it on a non-critical website and I'll tell you.
Francisco Perez Andres Sunday, May 13, 2018 4:14 PM (link)
Francisco Perez Andres
Checked! You're right, if you use the "DNN included" approach, only the pages marked as secure will be served as https. As Will Strohl told me yesterday, both ways are correct, each of them with its pros and cons.
Francisco Perez Andres Sunday, May 13, 2018 4:23 PM (link)
Daniel Valadas
Cool, that is what I tought too, would be nice to have that option in the server settings though to have all new pages default to secure or something along those lines.
Daniel Valadas Sunday, May 13, 2018 9:33 PM (link)

Comment Form

Only registered users may post comments.

NewsArchives


Aderson Oliveira (22)
Alec Whittington (11)
Alessandra Daniels (3)
Alex Shirley (10)
Andrew Hoefling (3)
Andrew Nurse (30)
Andy Tryba (1)
Anthony Glenwright (5)
Antonio Chagoury (28)
Ash Prasad (37)
Ben Schmidt (1)
Benjamin Hermann (25)
Benoit Sarton (9)
Beth Firebaugh (12)
Bill Walker (36)
Bob Kruger (5)
Bogdan Litescu (1)
Brian Dukes (2)
Brice Snow (1)
Bruce Chapman (20)
Bryan Andrews (1)
cathal connolly (55)
Charles Nurse (163)
Chris Hammond (213)
Chris Paterra (55)
Clint Patterson (108)
Cuong Dang (21)
Daniel Bartholomew (2)
Daniel Mettler (181)
Daniel Valadas (48)
Dave Buckner (2)
David Poindexter (12)
David Rodriguez (3)
Dennis Shiao (1)
Doug Howell (11)
Erik van Ballegoij (30)
Ernst Peter Tamminga (80)
Francisco Perez Andres (17)
Geoff Barlow (12)
George Alatrash (12)
Gifford Watkins (3)
Gilles Le Pigocher (3)
Ian Robinson (7)
Israel Martinez (17)
Jan Blomquist (2)
Jan Jonas (3)
Jaspreet Bhatia (1)
Jenni Merrifield (6)
Joe Brinkman (274)
John Mitchell (1)
Jon Henning (14)
Jonathan Sheely (4)
Jordan Coopersmith (1)
Joseph Craig (2)
Kan Ma (1)
Keivan Beigi (3)
Kelly Ford (4)
Ken Grierson (10)
Kevin Schreiner (6)
Leigh Pointer (31)
Lorraine Young (60)
Malik Khan (1)
Matt Rutledge (2)
Matthias Schlomann (16)
Mauricio Márquez (5)
Michael Doxsey (7)
Michael Tobisch (3)
Michael Washington (202)
Miguel Gatmaytan (3)
Mike Horton (19)
Mitchel Sellers (40)
Nathan Rover (3)
Navin V Nagiah (14)
Néstor Sánchez (31)
Nik Kalyani (14)
Oliver Hine (1)
Patricio F. Salinas (1)
Patrick Ryan (1)
Peter Donker (54)
Philip Beadle (135)
Philipp Becker (4)
Richard Dumas (22)
Robert J Collins (5)
Roger Selwyn (8)
Ruben Lopez (1)
Ryan Martinez (1)
Sacha Trauwaen (1)
Salar Golestanian (4)
Sanjay Mehrotra (9)
Scott McCulloch (1)
Scott Schlesier (11)
Scott Wilkinson (3)
Scott Willhite (97)
Sebastian Leupold (80)
Shaun Walker (237)
Shawn Mehaffie (17)
Stefan Cullmann (12)
Stefan Kamphuis (12)
Steve Fabian (31)
Steven Fisher (1)
Tony Henrich (3)
Torsten Weggen (3)
Tycho de Waard (4)
Vicenç Masanas (27)
Vincent Nguyen (3)
Vitaly Kozadayev (6)
Will Morgenweck (40)
Will Strohl (180)
William Severance (5)
What is Liquid Content?
Find Out
What is Liquid Content?
Find Out
What is Liquid Content?
Find Out