Donaciones

videoedicion.org es una web sin ánimo de lucro que se mantiene gracias a las donaciones de sus usuarios. Todas las donaciones, desde 1 €, son extremadamente valiosas.
[ PINCHA AQUÍ
PARA MÁS INFORMACIÓN
]

Haz una donación para ocultar este bloque
Welcome to videoedicion.org (v9). Please login or sign up.

05 de Octubre de 2024, 00:02:37

Login with username, password and session length

Temas Recientes

550 Visitantes, 0 Usuarios

Colaboraciones

Estas empresas colaboran con videoedicion.org, bien ofreciendo algún descuento a los  usuarios que se registren usando estos banners o bien ofreciéndonos una pequeña comisión que nos ayudará con los gastos de la web.


 


videoedicion.org es una web segura https con certificado SSL

Iniciado por Ramón Cutanda, 13 de Enero de 2017, 21:18:53

Tema anterior - Siguiente tema

Ramón Cutanda

videoedicion.or_SSL-candado.png

¿Qué significa que videoedicion.org es una web segura?

Desde enero de 2017 todos los datos que se transmiten entre tu navegador web (Chrome, Firefox, Internet Explorer, etc.) y el servidor de videoedicion.org viajan cifrados o encriptados, de tal modo que aún en el caso de que alguien interceptara tus comunicaciones, no se podrá saber absolutamente nada sobre los contenidos que envías o recibes hacia o desde videoedicion.org.

Pongamos un ejemplo visual. Imagina que te acaban de dar la nómina en la oficina y la llevas en la mano hasta tu casa. Lo normal es que a nadie le importe lo que llevas en la mano, pero podría darse el caso de que alguien le hiciera una foto a la nómina y accediera así a muchos datos personales tuyos; incluida tu cuenta bancaria.

El nuevo certificado SSL es el equivalente a meter en un sobre tu nómina. Un observador podría saber que llevas algo desde la oficina hasta tu casa; pero no tendría ni idea de qué.

¿Qué contenidos es necesario proteger en videoedicion.org?

La práctica totalidad de los contenidos de videoedicion.org son públicos y, por tanto, contar con una conexión cifrada nunca ha sido una prioridad. Sin embargo, sí que hay dos datos sensibles que conviene proteger. A saber:
  • Contraseñas
  • Cookies de sesión

Hay dos situaciones en las que una tercera persona podría tener acceso a esos dos datos:

  • Si alguien se conecta a tu red, ya sea por cable o Wifi, y filtra los datos que transmites. Es sorprendentemente lo fácil que resulta que cualquier vecino que tenga un mínimo de interés se pueda conectar a tu Wifi si usas el router por defecto de tu ISP (Movistar, Vodafone, Jaztel, Ono, etc) y no le cambias el nombre de la red ni la contraseña Wifi que viene de serie; esa tan larga y difícil, imposible de recordar, y que crees que nadie nunca podrá adivinar.
  • Cuando eres tú el que se conecta a una red pública. Es decir, cada vez que te conectas a la Wifi de un hotel, restaurante, oficina. Cualquier dato al que accedas mediante una red pública puede ser interceptado por algún usuario malicioso con unos conocimientos mínimos. De nuevo, es increíblemente fácil montar un punto de acceso falso "imitando" al que querías o creías conectarte.

Si tu contraseña de videoedicion.org es la misma que usas para tu correo, banco, redes sociales etc, alguien que tuviera acceso a las comunicaciones entre tu ordenador y videoedicion.org podía tener acceso también a tu contraseña y, por consiguiente, a todos los servicios que uses con esa misma contraseña.

Este problema no era exclusivo de videoedicion.org, sino que te puede suceder lo mismo con cualquier web "no segura" a la que accedas mediante nombre de usuario y contraseña, es decir, cuando introduces tu contraseña en una web que empiece por http en lugar de https.

Hasta hace relativamente poco, ninguna web usaba protocolo seguro https, salvo las que gestionan datos más delicados como bancos, cuentas de correo electrónico, administraciones públicas, etc.

Por otra parte, seguro que estás hasta las narices del famoso aviso de las "Cookies" que desde hace unos años salta en todas las webs, la nuestra incluida. Una de las funciones de las cookies es identificarte como usuario de videoedicion.org sin tener que introducir tu usuario y contraseña cada vez que accedes. El funcionamiento es el siguiente:

  • La primera vez que te identificas en videoedicion.org introduciendo tu nombre de usuario y contraseña se guarda en tu navegador un archivo llamado "cookie" (siempre que le hayas dado permiso, claro). Es como la pulserita de los complejos turísticos "todo incluido".
  • A partir de ese momento, cada vez que tu navegador carga videoedicion.org le enseña al servidor la cookie (pulserita) y videoedicion.org te reconoce sin que tengas que volver a identificarte con tu usuario y contraseña. Pero ¿qué pasaría si una tercera persona se apodera de tu pulsera? Pues que automáticamente quedaría identificado como si fueras tú. Si alguien intercepta los datos que se transmiten entre videoedicion.org y tu navegador podría apoderarse del archivo con la cookie que te identifica y, por tanto, si la instala en su navegador podría identificarse en videoedicion.org como si fueras tú, suplantando así tu identidad.

Encriptando/cifrando las comunicaciones entre tu navegador y videoedicion.org se garantiza que todos los contenidos, incluyendo claro está tus contraseñas y cookies, permanezcan a salvo aún en el caso de que alguien accediera sin tu permiso/conocimiento a tu red o te conectes a redes públicas.

¿Por qué no se ha instalado el certificado SSL antes?

Motivo 1: Es bastante complicado ver el  "candado verde" en una web dónde cualquier usuario puede publicar contenidos, como en un foro

Para explicar antes el funcionamiento del cifrado pusimos el ejemplo de meter la nómina en un sobre. Si en nuestra oficina nos cierran y sellan el sobre podemos tener la tranquilidad de que cuando lo abramos en casa el contenido no ha sido modificado y, además, proviene realmente de la oficina. Sin embargo, ¿qué sucedería si nos dejan la nómina "doblada" y sin sobre en el buzón de casa. Pues no podemos estar seguro de que la nómina nos la envía realmente nuestra oficina, de que los datos sean correctos y no hayan sido modificados ni de que terceras personas hayan tenido acceso a nuestros datos.

El certificado SSL garantiza todo eso: que los contenidos que ves provienen realmente del servidor de videoedicion.org y no de ningún otro lugar, que nadie los ha modificado por el camino y que nadie más tenga acceso a la información intercambiada entre tu navegador y el servidor de videoedicion.org.

Sin embargo, si se incluyen en videoedicion.org contenidos alojados en otros servidores el certificado no puede garantizar todo eso. Salvo, claro está, si los contenidos externos a videoedicion.org también están alojados en servidores seguros HTTPS con certificado SSL.

Cuando en una página de videoedicion.org haya algún contenido alojado en algún servidor externo a videoedicion.org y que no sea el seguro (el caso más típico es una imagen cargada desde otra web) vemos que nuestro navegador nos muestra un mensaje de aviso indicando que no todo el contenido de la web es seguro.

xvideoedicion.or_SSL-ContenidoMixto.png.pagespeed.ic.Yt48-qVrzC.png

Algo tan sencillo y tan habitual como usar un avatar o publicar un mensaje en el foro en el que se incluya una imagen alojada en un servidor diferente al de videoedicion.org implica "meter en el sobre" contenidos externos y "romper" la seguridad del certificado, que ya no puede garantizar que todos los contenidos del sobre, es decir, todo lo que ves en el navegador, sea seguro.

Entonces aparece el famoso mensaje, odiado por los administradores web como yo, avisando de que en la web hay "contenidos mixtos". Es decir, contenidos seguros y no seguros. Y este problema solo se puede solucionar de dos maneras:

  • Cargando absolutamente todos los contenidos desde videoedicion.org, impidiendo la carga de cualquier contenido externo, ajeno a videoedicion.org.
  • Limitando la inserción a contenidos que estén alojados en servidores que usen protocolo seguro HTTPS. Es decir, el certificado tampoco se "rompe" si el contenido insertado en videoedicion.org está alojado en un servidor con  protocolo seguro HTTP. Por poner un ejemplo, cualquier vídeo de Youtube o cualquier  imagen alojada en un servidor seguro como https://imgsafe.org

Siguiendo con nuestro ejemplo de antes es como si recibiéramos en nuestra oficina un sobre cerrado y sellado de Youtube y lo metiéramos en el mismo sobre de nuestra nómina. Todo sigue cerrado y sellado garantizando así la procedencia, contenido y privacidad.

En la práctica, es muy difícil forzar a todos los usuarios a limitarse a insertar contenidos que provengan de webs con protocolo seguro HTTPS y poco menos que imposible revisar todos los contenidos ya publicados para trasladarlos a videoedicion.org o a otra web segura.

Sin estas dos medidas aparecerá de forma inevitable el aviso de "Contenidos mixtos" alertando de que no todos los contenidos de la web son seguros.

Desde el 9 de octubre de 2017 el foro cuenta con una nueva función que soluciona el problema de contenidos mixtos cuando un usuario inserta una imagen no segura desde un servidor externo. Lo que hace el foro es descargar las imágenes externas a un directorio temporal dentro de videoedicion.org y luego las muestra cargándolas desde ese directorio temporal alojado dentro de nuestro servidor. De ese modo, aún usando imágenes externas, todo el contenido es seguro porque se carga íntegramente desde nuestro servidor.

xvideoedicion.or_SSL-ContenidoMixtoChrome.png.pagespeed.ic.RlxzJtzKth.png

Motivo 2: La conexión es más lenta

Por dos motivos:

  • Cuando una transmisión se cifra/encripta hay más datos a transmitir. Más datos, más tiempo de transferencia. Así de simple.
  • El servidor tiene que cifrar/encriptar todas y cada una de las comunicaciones con los navegadores de los usuarios. Esa tarea supone una carga adicional de trabajo al procesador y, por tanto, siempre que hay que hacer más cálculos se necesita algo más de tiempo de carga.

Lo cierto es que la ralentización en la velocidad de carga cuando se usa el cifrado SSL no debería ser muy notable. Pero, aunque sea poco, el cifrado siempre impacta negativamente en el rendimiento de una web. En diciembre de 2016 estábamos llegando casi al 100% de uso de la CPU en el servidor anterior. Por ese motivo hasta el cambio al nuevo servidor era preferible evitar cualquier carga adicional, por pequeña que fuera.


Motivo 3: Precio

Los certificados SSL son como el "Pasaporte" de las webs y, para que sean válidos, deben ser emitidos por una Autoridad de Certificación, es decir, alguien de confianza. El Pasaporte vale para identificarnos en la vida real porque son documentos expedidos por las Policías Nacionales de cada país, y (casi) todo el mundo acepta esas policías como una autoridad de confianza. En España, por ejemplo, la Dirección General de Tráfico también es una Autoridad de Certificación (aunque no digital en este caso) de tal modo que con nuestro carné de conducir también podemos identificarnos legalmente en cualquier lugar de España porque también se considera a la DGT como alguien de confianza.

Como es fácil de entender, cualquiera no puede ser una Autoridad de Certificación. Estas autoridades deben cumplir unos requisitos muy estrictos para que sean reconocidas a nivel mundial como alguien de confianza. Y eso, claro está, tiene un precio. El certificado que usa videoedicion.org, a fecha enero de 2017, tiene un coste anual de unos 60 euros.

En septiembre de 2017 se probó satisfactoriamente a usar los certificados SSL gratuitos de Let's Encrypt, de modo que una vez que caduque nuestro certificado actual, en diciembre de 2018, pasaremos a hacer uso de estos certificados gratuitos.  Eso sí... haciendo alguna donación :-)


¿Por qué se ha instalado finalmente el certificado SSL?

Google lleva tiempo intentando fozar a las webs a instalar un certificado seguro. Por una parte, desde el 2016 le está dando un "pequeño empujoncito" a las webs con certificado seguro SSL subiendo algunos puestos en los resultados de búsquedas en Google. Pero, más importante, anunció que a partir de enero de 2017 los usuarios de Chrome verán un aviso de "Web no segura" para todas las webs que no dispongan de dicho certificado
los usuarios de Chrome verán un aviso de "Web no segura" para todas las webs que no dispongan de dicho certificado
y que gestionen contraseñas o números de tarjeta de crédito. Y a nadie le gusta entrar en una web y ver un cartelito diciéndote que estás en un lugar inseguro ¿verdad?. La mayoría de nosotros reaccionaríamos cerrando la web y no volviendo nunca más. Y no queremos que eso pase en videoedicion.org.

Por otra parte, Apple también anunció que a partir de 2017 iba a obligar a todas las aplicaciones que se distribuyen en su App Store a usar protocolo seguro. Y si el servidor "al otro lado" no usa protocolo seguro, entonces esas aplicaciones no funcionan. Como mucho sabéis, en videoedicion.org es posible usar la aplicación Tapatalk para hacer un uso del foro más cómodo en dispositivos móviles y tabletas. Sin el certificado SSL Tapatalk dejaría de funcionar en iPhones y iPads. Y, en vista del paso dado por Google con Chrome, es también de esperar que pronto haga lo propio en su tienda de aplicaciones Google Play y, por tanto, que también haga falta el certificado SSL para usar la aplicación en Android.

Así que resulta evidente que cada vez habrá más aplicaciones y sistemas que requerirán SSL, de modo que en lugar de resistir al invasor cuál galo de Asterix, pues se ha optado finalmente por instalarlo y cumplir con este requisito.

¿Tienes alguna duda?
Si después de leer este documento sigues teniendo alguna duda, por favor, plantea tu consulta en este tema del foro:

https://www.videoedicion.org/foro/index.php?topic=92154

El spam de este foro está controlado por CleanTalk