¿Es segura mi web?

Averigua si tu web es segura para tu negocio y también si es segura para tus clientes

Como hemos visto en clase no es imposible crear una web con más seguridad que la media, pero tienes que tener en cuenta una serie de aspectos sobre los que no se incide normalmente.


HTTPS ¿Realmente lo necesito?

La respuesta es un rotundo SI. Da igual si tu web es una tienda online (en ese caso será obligatorio), o simplemente un escaparate a tu negocio, pero durante el viaje de tu servidor a tu cliente, tu web puede sufrir muchas modificaciones que dañen tu imagen o causen que la información personal de tus clientes se vea comprometida. No solo eso, sino que toda la actividad de tus clientes estará completamente expuesta y con suma facilidad se puede revisar su actividad: que páginas busca, que hace dentro de las páginas, que contraseñas utiliza...

No es muy alentador, así que tanto por proteger tu negocio, como para defender a tus visitantes, tu web debería tener HTTPS.

Recuerda que hoy en día es muy fácil y barato obtener certificados SSL gratuitos con Lets Encrypt, ¡así que ya no hay excusas!

Y si aún no te hemos convencido, seguro que Google si que lo consigue: Si tu web no es segura (emplea HTTPS)  está siendo penalizada en los resultados de búsqueda haciendo que tu web aparezca por debajo de las que si tengan https, y si además solicita información personal (como un usuario y contraseña) tu web pasará a ser marcada como no segura, como las páginas con certificados inválidos.

Ya tengo HTTPS, ¿Ahora qué?

La web, al ser la tecnología de internet más utilizada, es también una de las más estudiadas, e ilustra perfectamente el juego del gato y el ratón que hay entre los "tios malos" de internet, y los "buenos".

Al principio cuando nació la web, solo existía HTTP. Conforme pasó el tiempo y la web empezó a crecer y cada vez más y más personas la utilizaban, también creció el interés de los malos en la web, para llevar a cabo sus cosas de malo.

Como respuesta a esto, se creó HTTPS, la versión cifrada de HTTP y en un principio impedía a los malos hacer cosas perversas, pues se establecía un tunel entre tu ordenador y el servidor el cual es opaco y inviolable para cualquiera que se encuentre en el exterior.

Como HTTPS funcionaba bastante bien y no dejaba a los malos hacer su trabajo (se han descubierto vulnerabilidades de HTTPS, pero se han ido resolviendo conforme se descubrían, por lo que en la actualidad, un tunel HTTPS es prácticamente inviolable), los malos decidieron eliminar HTTPS totalmente. ¿Como? Engañando a tu navegador, interceptando la comunicación en la que el servidor le dice a tu navegador que "mejor hablamos por https" haciendo que tu navegador se comunique mediante HTTP sin cifrar. Este invento que fue creado por un investigador de seguridad (en realidad es uno de los buenos) se llama SslStrip.

Como no, algo teníamos que hacer, y la solución ha sido bautizada como HSTS (siglas que corresponden a Http Strict Transport Security). Es una extensión que cuando la habilitas el servidor anuncia a todos los visitante que no vuelvan a contactar nunca más mediante medios inseguros (bueno, en realidad por 2 años). Además, para evitar que alguien pueda atacar a tus visitantes la primerísima vez que se conectan (por que una vez se hayan conectado no volverán a conectar por HTTP a menos que pasen más de 2 años sin visitar tu web), puedes pedir a google que incluya tu web en una lista de sitios que tienen todos los navegadores que hace que esas webs nunca sean accedidas mediante HTTP (ni siquiera la primera vez)

Y a ver como adivináis que han respondido los malos. Aquí ya lo tienen bien difícil, pero lo que hacen es emplear una versión modificada de la herramienta SSL strip, la cual intenta cazar las comunicaciones inseguras, interceptar la redirección HTTPS para mantenerla en HTTP, y además cambiar el nombre de la web para que el navegador no aplique la política de "solo https" (por ejemplo, añade una w más a www, o cambia la dirección de mail.google.com a gmail.google.com). Ya lo tienen muy difícil, pero como ves lo siguen intentando. Y como no, los buenos han respondido. ¿Como? permitiendo que TODO un dominio completo publique que todos los integrantes del dominio solo pueden ser contactados mediante HTTPS.

¿Cual será el próximo movimiento de los malos? El tiempo lo dirá...

- "Pero yo uso wordpress y eso de tocar el servidor no lo he hecho nunca".

No te preocupes, puedes emplear un plugin de wordpress para enviar esta cabecera a todos tus visitantes. Simplemente busca wordpress HSTS.

¿Muy complicado?

Crazy Projects te lo simplifica: déjanos a nosotros la tecnología, para que puedas dedicarte en exclusividad a lo que mejor se te da: Tu negocio.

 

¿Como se si mi web hace todo eso?

No te preocupes que puedes comprobarlo de forma muy sencilla y sin necesidad de grandes conocimientos.

Lo primero, entra a tu web de forma normal. ¿Aparece el candado al lado de su nombre? Si no es así, ¡Ya tienes trabajo!

Si el candado no aparece pueden ser varias cosas:

  • Que tu web tenga HTTPS, pero no te redireccione ahí. Para comprobarlo, añade una S a HTTP. Si tu web carga y se ve bien y puedes navegar con ella sin que deje de aparecer el candado ¡Genial! solo tienes que hablar con tu hosting y decirles que quieres redireccionar a tus visitantes de HTTP a HTTPS

  • Si te sale una advertencia de seguridad, muy probablemente tengas que contratar el certificado SSL. Contacta con tu hosting para más información.

  • Si no te sale ningún mensaje de advertencia, pero tu web se ve rara, es muy probable que solo tengas que configurar tu web para que funcione HTTPS

y ahora que ya te funciona HTTPS (y si no es el caso, ¡a que esperas!) comprueba que le dices a tus visitantes que no te vuelvan a hablar sin cifrar. para ello, visita esta página:

https://securityheaders.io/

Introduce la dirección de tu web. En unos segundos tendrás los resultados. Asegurate de que Strict-Transport-Security aparece en verde. Es más, comprueba que el resto de cabeceras (excepto public key pins, que es muy dificil de usar) aparecen también en verde y tu puntuación es de A, después de todo, ¡nos comprometemos con la seguridad!