¿Quién no se ha encontrado con un mensaje semejante? Este articulo trata de contar la experiencia vivida al publicar online mi proyecto web creyendo que al tener un certificado gratuito seria suficiente para sólo dando las instrucciones pertinentes a las posibles visitas se diese solución permanente y fuera admitida como seguro el acceso a mi web por tales visitas. Pero me temo que sólo causarle a una visita esta impresión de inseguridad les ahuyentaría, además las aplicaciones web modernas han de cumplir unos requisitos para operar correctamente y esto sólo podría ser el causante de que no lo hiciese.
Para que nadie más tropiece con tal inconveniente cuento la que creo es la única solución viable para dejar un acceso seguro sin causar el más mínimo inconveniente a las visitas. Además como es un requisito el proceso descrito para lograr publicar una web moderna constituye la primera parte del articulo Guia para acceso a cualquier web moderna de forma seguro y correcta.
Contamos su origen , a que se debió pensar en escribir este articulo, y fue porque se convirtió en un calvario ver el mensaje de web insegura nadamas publicarla en septiembre y que al comenzar a tomar medidas cambiando el certificado gratuito por algún otro que fuese mas reconocido por los navegadores web y de coste cero, encontré algo que en unos dispositivos se reconocía la web como segura pero en muchos otros seguía apareciendo como no segura. Al final descubrimos que la única solución era lanzar una web públicamente con un certificado de pago como ejemplo el «Comodo». Por suerte de tan sólo 8e al año. Y lo logramos con uno bastante seguro, barato y estable, como compatible, reconocido por la mayoría de los navegadores como chrome que lo pone en verde en cualquier dispositivo en lugar de decirte que es inseguro como si sucede con los gratuitos. Aunque yo ya tenía la seguridad de que con los gratuitos garantizabas encriptar las comunicaciones con tus visitas, terminaba con el desagradable mensaje de que era inseguro en una primera visita, aunque hubiesen instrucciones al visitante para hacer permanente la seguridad sin mostrar tal mensaje en el resto de visitas a mi portal, insisto esto es un mala planificación pensar en instruir a una visita aunque sean con tan sólo unos cuantos clicks y no me convenció pero fue asi demasiado tarde tras ya haberlo publicado.
¿como llegué a localizarlo tal certificado? es la historia aquí contada pero el articulo fue creado inicialmente sobre todo para el interés de quienes quieran usar uno libre a pesar de que mostrará en las primeras visitas tal mensajito desagradable, que es como empecé al lanzar mi web en septiembre, pero vista la experiencia ya no lo recomiendo para casos de producción ni intentar seguir con uno libre gratis sobre todo por lo que supone la compatibilidad que uno desea tener alcanzando el mayor número de navegadores que lo soporten en los equipos. Si es de pago ya confirme está garantizada, pero dudo encontréis la forma barata que yo conseguí de instalarlo, sin duda se requiere de la amplia experiencia técnica que he tenido tiempo atrás ya casi para el olvido. Luego sin esta opción, probablemente te costará de 30e o más en tu hosting y vivir ademas con la posibilidad de tropezar con un mal servicio o ignorancia del soporte en tu hosting por como en mi caso te confunden y no saben asesorarte correctamente durante el proceso, si algo lo estas haciendo mal no te persuaden, es un proceso automático solicitar www para el dominio de tu web n-dimensiones.es, te dicen que si y luego te lo dan de alta sin las www, te llegan mensajes para que confirmes el proceso sin mencionar para nada las www. Por eso si chateas con quienes lo desarrollan o emiten y te saltas a intermediarios como el hosting en cada momento tendrás el control del proceso y sabes que indicastes las www o que si viene incluido a pesar de que te lleguen a ti luego mensajes sin mencionar las www. Osea en mi hosting tuvieron que tranquilizarme y persuadirme de que era un puro trámite pero algun tecnico metió la gamba y me dijo que lo solicite mal sin las www., causándome una confusión por la que tuvieron que disculparse y darme de baja la petición.
Por ello si queréis de mi ayuda tengo el apartado de soporte técnico dónde podéis solicitar mis servicios para cualquier tema informático, técnico, desarrollo o diseño 3d. Para saber que disponibilidad o alcance tengo recomiendo leer mis artículos dónde cuento muchas técnicas aprovechadas de mi amplia experiencia técnica como de web developer.
Cuando tenía instalado en mi portal, como a cualquiera que lo tenga, un certificado gratis SSL, nos muestra un mensaje de sitio no seguro y probablemente ello te obliga a diferencia de los de pago a que tus visitantes deban instalar los certificados raíz de las entidades emisoras de los mismos para verlo como sitio seguro.(la primera captura en este articulo muestra como descargarlo desde mi sitio, pasando la url con la ruta al mismo, al tiempo la visita sigue viendo el mensaje de sito inseguro)
Enumeraré algunos de los certificados gratis que he probado desde hace ya tiempo atrás como del portal o emisora «cacert.org» de 4meses que has de renovar como los de pago pero con mucha menos frecuencia, estos últimos suelen ser anuales según lo que pages.
Otros de zeroSSl.com de 3 meses y cualquier trial de 30 o 90 días que parecen no necesitan ya que el visitante instale raíz alguno.
Consultando al hosting en hostalia, localizo la opción instalar Certificado CA , lo que se supone evitaría instalar a los visitantes nada pero aún dudo de la efectividad de tal opción tras lo que os voy a contar. Yo ya disponía operativos el certificado servidor y clave privada, dos ficheros descargados al generar el certificado gratis, el tercer fichero necesario con esta opción gratis debería instalarse por el visitante en su android donde suelen almacenar estos certificados raíz de forma manual.
Tras haber probado en mi portal el cacert certificado, me entero que el certificado de zeroSSL.com podría llegar a mas dispositivos como sitio seguro, pero al probarlo me dí cuenta que había algo no muy claro que es que en el momento de expedirlo viene repetido el copy paste del certificado de domino , el último que mandan generar junto al de clave private , un fallo que había justo en el momento de expedirlo, así que debí intentar reportarlo al soporte que haya para estos casos y que lo reajustasen, es lo que os puedo recomendar hacer si os ocurre lo mismo, molestias no ya para los visitantes sino ya para quienes en su portal insistan en querer mantener un ssl gratis.
Pero volvemos a llevarnos disgusto al ver que no en todos los dispositivos se reconoce y sigue como inseguro, y desesperado por la demora decido invertir 30€ en mi actual hosting hostalia.com comprando un certificado SSL, un rapidssl.
Insisto en producción lo gratis da por culo, no existe soporte alguno, llevo años solo teniendo para testing estos portales de hospedaje web como de host virtual porque al mínimo error te dejan tirados. Eso a pesar de que un host virtual te deja tener acceso ssh para total control de servicios ej apache(servidor web), instalar cualquier paquete, etc lo que en un proveedor de pago son mensualmente de un coste insostenible estos accesos tan completos para controlar hasta los servicios apache, php, mysql, etc lo que es sin duda imprescindible asumir para empezar como profesional independiente, mi caso.
Además uno desea llegue a todos los dispositivos posible mi obra 3d, al menos los artículos que os ayudarán a muchos.
Otra consecuencia que arrastra todo este tema del mensajito de sitio inseguro como consecuencia de usar certificado gratis es que aunque lo compres como en mi caso con posterioridad a la publicación del sitio web, muchos visitantes ya habían almacenado por ello en la cache de sus navegadores y sin liberarlo de forma manual al no poder esperar a que expire dentro de un mes cuando esta establecido renovarse o liberarse, no iban a poder visualizar cualquier actualización, como en este caso la del nuevo certificado, por eso es esencial no solo entrar a jugar a mi portal sino consultar cualquier noticia en el blog, redes sociales o twitter sobre actualizaciones que irán acompañadas de capturas mostrando lo que sino visualizan es porque han de liberar de forma manual la cache de sólo mi sitio web. Para ello ya dispongo de una completa guía para salir del paso si es tu caso y liberar la cache o datos desactualizados.
Quienes estéis por internet visitando sitios no seguros estareis seguramente aceptando la excepción y te olvidaras rápidamente que entrastes a tal sitio de forma insegura. Este tema de vital importancia que afecta y afectara a multitud portales web debería tomarse mas en serio y atenerse a las consecuencias, ejemplo google los penaliza pudiendo no aparecer en las busquedas, ver mi propuesta de articulo sobre «Son accesibles y seguros los servicios de la administración pública»
Continuando con el tema, antes de adquirir el de pago para mi sitio web probé a solicitar esta vez un trial que dure 30 días , finalmente parece eran 90 días ej un comodo SSL en lugar del rapidSSL. Así ya veo antes de efectuar la compra, si mis dispositivos algunos de hace ya mas de 4 años de antigüedad aún son capaces de verlo como sitio seguro desde sus navegadores ya sin soporte para disponer de la última versión del navegador , e intentarlo valió la pena al dejar de ver tal mensaje de sitio inseguro.
Al solicitar antes un rapidSSL trial , ya descubrí al ser tú mismo quien hacia los pasos de generarlo, que si en la solicitud pasabas el parámetro -ds3 no iba a ser aceptado en tu hosting el fichero generado con el private key, y sólo por volver a solicitar ya la pifiaste y te lo deniegan, ya quedo solicitada tu trial version aunque fuese malament y a nivel global ya has solicitado tu sitio www.n-dimensiones.es para cualquier proveedor que ofrezca un rapidSSL certificate trial. Así que solo quedaba cambiar a otro como es «comodo SSL» que encima su coste resulta ser ni mas ni menos que de tan sólo unos 8e al año, nada que ver con los 30€ que iba a pagar en hostalia. Claro que os querrán justificar cualquier incremento como que asegura mas las transacciones monetarias en tu negocio o cruce de datos, etc pero para salir del paso no esta mal que existan opciones baratas como la que os comento si mi deseo de que alcance de forma segura el máximo de equipos se ha cumplido.
Si a pesar de mi recomendación en vuestro caso aún deseáis tener o proseguir con un certificado gratis como el de cacert, os recomiendo seguir el siguiente proceso descrito para que vuestras visitas lo vean como sitio seguro: Lamentablemente para zeroSSL no encontré el raiz pero si lo veían sin necesidad del mismo algunos de mis dispositivos como seguro, de ahí mi recomendación si buscas que llegue a más equipos.
Descargas directamente de la entidad emisora del certificado gratis su certificado raíz, veras en su portada el enlace sin dificultad ejemplo cacert.org
o descargas el mio como muestra la captura
http://www.n-dimensiones.es/cert/cacert_root.crt
Anécdota: esta descarga del certificado raíz como el contenido de este mismo articulo, estuvo inicialmente solo accesible a los visitantes justamente bajo el mismo mensaje "de sitio inseguro" del que trata de advertirlos. Uno puede buscar alternativas como colgar sus artículos en sitios seguros ejemplo google drive pero ¿existen ssl gratis en los hostings gratuitos? cuando lo intente no los había pero si terminan habiendolos ya os advierto la palabra producción, soporte y gratis terminan chocando y sólo os daréis un batacazo perdiendo todas las visitas que pude tener y no tuve como consecuencia en septiembre si separas de producción la palabra gratis. Mejor pensarlo y tomar una decisión a tiempo gracias a la orientación que os doy com mi guia.
Y ya como resumen para terminar ¿Que necesidad de certificado tiene mi pagina? por si no quedo claro unas lineas antes, google penaliza la aparición en las búsquedas en internet por no tenerlo, luego que seguramente por ignorar su importancia si estas mostrarlo a las visitas a tu portal, conexión insegura se pierdan no pocas sino muchas visitas.
Esto ya hace que quienes los emiten se forren y mucho mas los intermediarios, un puesto odioso que todos podríamos saltarnos si tuviésemos la opción, pero la realidad es que mi portal transmite y transmitirá que existe tal opción, cualquiera que conozca su implementación de SSL , https, será capaz de asegurar extremo a extremo de la comunicación de forma segura sin que nadie pueda interferir en tu comunicación, sólo esto ya es suficiente excusa para no dudar en implementarlo, si lo ve complicado y no dispone del tiempo para dedicarle se supone recurrirá a intermediarios que se aprovechen de cobrar elevadísimos costes por tramitarte algo tan imprescindible que todos debiamos ya tener implementado en nuestros sitios, disponer de guías como la mía aunque ahora no da paso a paso el proceso que sin duda es muy técnico, si orienta para saber por donde buscar y hacer bien las cosas, he dado nombres y orienta hasta el punto de si hasta ahora lo hiciste malamente, no por ello debas desistir, en mi caso terminas lográndolo y haciéndolo público reduciendo la complejidad y problemas a las visitas.
Proceso al visitar una web no segura con certificado gratis.
Si nos calmamos y no dudamos al visitar un sitio no seguro, desplegamos la opción mostrar , entiendo los riesgos, vemos visitar el sitio y aceptar excepción permanente, la primera opción visitar sitio es mi recomendación porque a continuación descarga el certificado, lo instalas y ya te repones del susto al poder navegar como cualquier sitio seguro.
las opciones en otros navegadores pueden variar, ej que te pregunte que nombre le das al certificado es habitual y escribes ej cacert y aceptas, también recuerdo ver errores aunque lo deje en descargas, luego vas a las mismas e instalas con darle doble click, incluso hay casos que si no dispones de pin o clave al bloquearse la pantalla es imposible proseguir, sino lo haces, te lo recomiendo, lo necesitarás para continuar e instalarlo, los certificados son muy necesarios para ejemplo hacer operaciones financieras(compras online) o trámites online con entidades públicas y quienes estén familiarizados con ello si tendran clave, eso si para volverla a quitar tendrás que borrar me temo todas las credenciales(opción disponible creo recordar en ajustes- seguridad de cualquier android), ya os confirmaré esto si alguien lo solicita, pero es un proceso que no recomiendo, ya lo añadiré igualmente en una próxima revisión si algo cambia mucho de la guía.
Luego ajustas la url anterior y dejas solo la del sitio web n-dimensiones.es
Y el resultado es ver en verde como en cualquier otro sitio web seguro con certificado de pago y a ver si es capaz cualquier otro de mostrar los contenidos 3d y css , html como javascript que os ofrezco al completo para su acceso y análisis .