Nuestro servidor ahora usa Let's Encrypt

Hasta ahora nuestro servidor inno.criptica.org usaba un certificado SSL emitido por StartSSL, una empresa privada que ofrece certificaciones SSL en varias modalidades, una de ellas gratuitas. La modalidad gratuita tiene unas cuantas restricciones, como la necesidad de renovación cada año de forma manual mediante el formulario web; o la imposibilitad de usar wildcards por lo que requiere registrar manualmente un certificado para cada subdominio.

En noviembre de 2014 fue anunciado un proyecto llamado Let’s Encrypt fundado por Electronic Frontier Foundation, Mozilla Foundation y University of Michigan con la finalidad de hacer llegar el cifrado para webs a todo el mundo, eliminando las barreras económicas, las dificultades de configuración y las validaciones manuales por e-mail.

El 3 de diciembre de 2015 (después de que la Autoridad Certificadora de Let’s Encrypt fuera firmada por una Autoridad Certificadora ya existente en los navegadores web) el servicio entró en beta para que todo el mundo pueda usarlo.

Así pues hemos configurado nuestro servidor para que haga uso de los certificados de Let’s Encrypt como podréis comprobar: https://inno.criptica.org/.

Además tenemos el servidor web configurado con unos cuantos cambios para mejorar su seguridad: redirección de http a https, uso del HSTS, soporte de solo TLSv1 TLSv1.1 y TLSv2 (adiós SSLv3), bloqueo de algoritmos no seguros (DES, MD5, RC4), uso de parámetros personalizados para Diffie Hellman de 2048 bits (adiós Logjam). Podéis ver un análisis completo en el servicio SSL Server Test de Qualys SSL Labs. Desafortunadamente el protocolo TLS es muy complejo y requiere varios cambios de configuración en los servidores web para hacerlo más robusto.

Con la actual configuración usamos certificados que caducan a los 3 meses y se renuevan automáticamente cada 2 meses. La configuración del sistema ha sido muy fácil: nosotros hemos usado un tutorial de Vincent Composieux: Install, configure and automatically renew Let’s Encrypt SSL certificate (English).

Animamos a todos aquellos que administráis algún servidor web a que le pongáis un certificado de Let’s Encrypt! Ahora ya no hay excusa para no ofrecer páginas cifradas.