Algunas veces tenemos proyectos que por lógica deberían usar SSL para el cifrado de las comunicaciones, usar un certificado auto-firmado no es una opción viable ya que se busca una url que no arroje problemas a legos.
Comprar un certificado sería la opción natural, Google dice que lo haga en:
- Geotrust · Desde 149$
- OVH en alojamiento compartido · 61€
- Red Coruna · Desde 25€
- Symantec · Desde 399$
- Thawte · Desde 149$
La diferencia de costes implica los diferentes niveles de validación al momento de obtener el certificado y el tipo de seguro que ofrece la compañía que lo emite.
Como digo, hay varios tipos :
- Nivel 1, Domain Validation (DV) : El más barato, la única verificación es via mail al asignado como administrador del dominio del whois.
- Nivel 2, Organization Validation (OV) : La empresa solicita datos reales como fotocopias de documentos de identificación. A partir de este nivel empiezan a asegurar las transacciones.
En el navegador se ve igual que las de nivel 1.
Tipo de SSL para niveles 1 y 2. En chrome, el https aparece en verde. - Nivel 3, Extended Validation (EV) : La empresa exige más datos como pueden ser fiscales o registro de marca. Los costes tan elevados son por los seguros añadidos.
En nuestra vida profesional tenemos una empresa detrás que paga los costes del certificado pero en nuestra vida personal, o en algunos proyectos, el coste de ese certificado debe ser lo mínimo posible sino nada.
¿Hay alguna solución gratuíta?
Sí, StartSSL.
StartSSL es otra empresa como las listadas anteriormente, vende sus OV a partir de 60$ y es la única que mantiene una DV gratuíta sin límites de uso. Copia/pega:
The StartCom Certification Authority, provides the StartSSL™ Free certificates instantly, without limitations and free of charge under the condition, that the subscriber provides his/her complete, correct personal details and accepts the Subscriber Obligations of the StartCom CA Policy.
El único requisito es ofrecer los datos «reales», tienen que ser iguales que los incluídos en el whois del dominio.
Al final de un sencillo siguiente siguiente te ofrecen los archivos necesarios para configurar tu apache o nginx con un https verde.
ca.pem
ssl.crt
ssl.key
sub.class1.server.ca.pem¿Peros?
Los test que puedas hacer sobre el certificado dan resultados más que aceptables.
El nivel de fortaleza de cifrado es bajo porque las claves de las CA’s intermedias que StartSSL te facilita usan cifrados (RSA 2048 bits / SHA1withRSA) tildados como débiles por SSLlabs.
En cuanto a protocolo, soporta TLS 1.0, lo que le hace perder puntos pero ganar clientes compatibles (todo android anterior a 4.4.2 no podría establecer una conexión).
No encuentro más peros, sencilla de obtener y de manera gratuíta.
Sabiendo esto, todo lo que montes a partir de ahora debería usar SSL sí o sí. Al menos mientras no se vuelva a romper.
Enjoy!
·n·