Si dic http gairebé tothom li vindrà al cap l’inici de les adreces que fan referència a un web, perquè encara que no ho escrivim nosaltres, el nostre navegador ho afegeix si no ho fem, així que per anar a Vilaweb l’adreça completa que envia el nostre navegador al servidor és http://vilaweb.cat
Fixeu-vos que no he escrit www, als inicis es feia servir www per deixar clar que volíem veure una adreça web, els més vells recordaran que hi havia llocs gophers i ftps, aquests encara resisteixen. Un web ben programat respondrà tan si poseu com si no poseu les tres www al davant.
Tot això era per parlar d’un protocol d’internet tan vell com l’http i que cada vegada és més important, l’https, que és el protocol de comunicació entre el nostre navegador i el servidor per veure i enviar dades de forma segura, d’aquí la ‘s’ final.
Però no només encripta les comunicacions, també us assegura que us esteu connectant al lloc que us voleu connectar, no a un lloc fals o fake. Això ho aconseguiu perquè per fer servir el protocol segur al servidor li cal un certificat que indica qui és el propietari del lloc web, així que a més d’assegurar la comunicació bidireccional, el protocol us informa de qui és el propietari del lloc web.
I perquè en parlem avui?
Perquè Google ha decidit que marcarà negativament els llocs webs amb problemes de seguretat o amb problemes amb els certificats de seguretat, o amb altres paraules, que marcarà negativament tots els webs que no tinguin comunicació xifrada segura perquè vol que els webs, tots els webs, siguin xifrats, i no us penseu que això és nou, Google ja ho va dir el 2014.
Encrypt All The Things és una campanya que vol promoure que els webs abandonin el sistema http i que facin servir el sistema segur de l’https.
Aquesta campanya té aliats molts potents, no només Google que ja ho és prou de potent, sinó també Appe, Mozilla, Twitter, Dropbox, Facebook, Microsoft, i Yahoo o el govern dels Estats Units que obliga que tots els llocs webs del govern (els que acaben .gov) siguin https abans que acabi el 2016.
Els de Mozilla, que també estan molt actius, han publicat una sèrie de reportatges sobre la necessitat d’encriptació pels periodistes perquè, diuen, que “ l’encriptació no tan sols protegeix la vostra privacitat, sinó que també permet la lliure expressió”.
Com funciona?
Per anar a un lloc web https expressament haurem d’escriure https:// o bé, si el lloc està ben programat, escriurem simplement l’adreça i el servidor s’encarregarà de redirigir-nos al lloc https.
Feu la prova amb Google, poseu a la barra d’adreces del vostre navegador google.com, sense res més, i veureu com acabeu a https://www.google.es
En el moment de fer la connexió entre el nostre navegador i el servidor, el certificat SSL crea una connexió xifrada. A continuació apareix un cadenat a la barra d’adreces del navegador i apareix https:// perquè nosaltres veiem que tot està funcionant de forma segura. Si el servidor té un certificat EV (Extended Validation o Validació Ampliada) la barra i el cadenat seran de color verd.
El nostre navegador verifica que el certificat sigui correcte, és a dir que estigui emès pel lloc web que estem veient, que no estigui caducat i que hagi estat emès per una empresa de confiança.
Si voleu comprovar que el vostre lloc web està ben configurat, podeu passar la prova de Qualys SSL Labs que us dirà si compliu tots els requeriments, o si un lloc web que esteu visitant els compleix. Si sou curiosos, molt curiosos, poseu l’adreça de l’AEPD (Agencia Española de Protección de Datos) la que, teòricament, ha de vetllar per la seguretat de les nostres dades i veureu que tenen una qualificació ‘F’, la pitjor que es pot tenir …
Identitat del lloc web
Un certificat el podem fer nosaltres mateixos, és el que s’anomena certificat autofirmat, aquest certificat ja compleix la primera funció, encriptar les dades, però el nostre navegador ens avisarà que el servidor no és reconegut per ningú excepte nosaltres i, normalment, ens dirà que no ens en refiem si nosaltres no som importants, els de Google certifiquen ells mateixos que són Google i tothom s’ho creu.
Si volem un certificat reconegut, haurem d’anar a alguna entitat certificadora, similars a les entitats certificadores que reconeixen la nostra identitat a internet: les entitats certificadores de llocs webs o empreses que certifiquen qui és i qui hi ha al darrere d’aquell web.
Els més barats emetent certificats són els de Let’s Encrypt, insuperables si feu servir Linux, són gratuïts i amb un sistema de certificació i posada en marxa molt senzilla. A continuació els de Comodo que podeu comprar a Don Dominio, que us ofereixen els primers 90 dies gratuïts i, una vegada provat i demostrat que funciona, pagant 5,95 € l’any tindreu el certificat Comodo Postiive SSL.
Si aneu a la pàgina de certificats de Don Dominio veureu que des de 5,95 € a 279,95 € / any teniu molt a on escollir, i són només els que venen ells!. Els més cars són els emesos per entitats certificadores reconegudes directament pel vostre navegador i que també són reconeguts pels usuaris.
Ara, si voleu el famós cadenat verd que surt a la barra de navegació, el que garanteix no només que la comunicació és xifrada sinó que l’entitat emissora ha comprovat qui sou i certifica que sou qui sou, el que s’anomena validació ampliada, us costarà, com a mínim 126,95 €. Com podeu imaginar, els venedors de certificats diuen que la barra verda fa augmentar la confiança dels clients.
Altres costos
Un cost addicional que heu de tenir en compte quan penseu que voleu tenir un certificat SSL per identificar el vostre web, és el que us costarà una adreça IP específica, perquè així com el protocol http permet tenir molts webs a una mateixa adreça IP i repartir els costos entre tots els usuaris, el protocol https exigeix que només hi hagi un web i només un a la mateixa adreça IP.
No n’he parlat, però els qui han hagut de configurar un servidor amb un certificat SSL saben que no és una feina fàcil, vosaltres, com a usuaris, penseu que la vida a Internet us serà molt més fàcil i segura.
