¡Hola!
He instalado Discourse Ready VPS en DigitalOcean. Mi sitio web funciona en HTTPS. Supongo que es Let’s Encrypt gratuito. ¿Es realmente seguro? También compré ComodoSSL. Cuando quiero crear un certificado en el panel de Comodo, me pide mi código CSR. ¿Cómo puedo crear un CSR? ¿O estoy haciendo algo mal? Es la primera vez que lo hago. Por favor, guíame.
El certificado SSL generado por Discourse es emitido por Let’s Encrypt y es bastante seguro.
Sin embargo, si deseas configurar tu propio certificado SSL, sigue estas instrucciones:
No hay diferencia desde el punto de vista de la seguridad entre Let’s Encrypt y Comodo. El cifrado compatible es el mismo. La única diferencia es que uno es gratuito y automático, mientras que el otro tiene un costo y debe renovarse manualmente. A menos que tengas una razón realmente, realmente buena para necesitar un certificado de pago, quédate con Let’s Encrypt y ahorra dolores de cabeza (y dinero).
¿Let’s Encrypt para siempre? ¿O se necesita hacer algo anual, como una renovación?
Se renueva automáticamente cada tres meses. Es gratis y funciona.
No hay razón para comprar certificados para tu instalación de Discourse.
Un certificado es un certificado*, y Comodo ha estado bastante bien establecido como un actor negativo en este campo debido a su FUD constante contra Let’s Encrypt (hasta el punto de usar su propio navegador web para marcar sitios que usan certificados de Let’s Encrypt como “no seguros”, o intentar registrar la marca Let’s Encrypt ellos mismos). El certificado no dicta el tipo o la fuerza del cifrado utilizado. En resumen, usa el certificado de Let’s Encrypt; simplemente no hay necesidad de nada más.
*Bueno, mayormente. Los certificados pueden ser DV (validación de dominio), OV (validación de organización) o EV (validación extendida), diferenciándose en lo que validan (y, naturalmente, en el costo). Un certificado DV valida que efectivamente pertenece al dominio que nombra. Un certificado OV valida que pertenece a la organización que nombra (aunque nada te muestra esto en un navegador a menos que profundices en los detalles del certificado). Un certificado EV hace lo mismo que un certificado OV, pero con mayor intensidad; históricamente ha mostrado la “barra verde” en el navegador, aunque eso desaparecerá pronto. Ninguna variedad de certificado valida que su propietario sea una “buena persona”, y no hay absolutamente ninguna diferencia en los niveles de cifrado entre ellos.
Let’s Encrypt logra esto efectivamente, validando el nombre DNS durante el registro.
Chrome 77 eliminó la barra verde; como referencia, actualmente estamos en la versión 78.x de lanzamiento y en la 79.x de beta.
De ahí que dijera “históricamente”. Ha desaparecido en Chrome, pero todavía está presente en Firefox e IE (los únicos en los que puedo probar fácilmente en este momento).
También ha desaparecido de la barra de direcciones en Firefox 70, lanzado el mes pasado. También ha desaparecido de Safari.
No estoy seguro de que IE siga contando como un navegador, con una cuota de mercado del 1,98 % a octubre de 2019.
Creo que podemos confirmar que EV está definitivamente muerto en este punto.
¿Qué hay de Microsoft Edge?
2,05 %, por lo tanto menos que el navegador preinstalado que Samsung incluye en sus teléfonos Galaxy (3,29 %).
¿Su cuota de mercado está a la par con Internet Explorer? ¿Eso significaría que ya no cuenta realmente como un navegador tampoco?
De ahí que Microsoft trasladara Edge a Chromium el 15 de enero de 2020.
Ah, sí. Habrá que ver cómo va.
De acuerdo. Será interesante (y alternativamente divertido y frustrante, sin duda) ver qué otros argumentos de venta se les ocurrirán a los CAs para intentar venderlos, aunque sea.
EV llegó en un momento en el que la PKI no se entendía bien, SSL se consideraba «solo para comercio electrónico» y el phishing experimentaba un aumento pronunciado.
Aprecié la idea de añadir confianza; en realidad, fueron las AC quienes lo arruinaron.
Let’s Encrypt es una gran amenaza para estos tipos, por todas las razones correctas.