Esta guía trata sobre el soporte de funciones de hash seguras (incluyendo SHA-256) por los servidores de Infomaniak, así como el énfasis en la seguridad de los certificados SSL/TLS utilizando CSR generados con SHA-256.

Algoritmo de hash SHA-256

La función de hash criptográfico SHA-1 es compatible y los servidores de Infomaniak también soportan la función SHA-256, útil especialmente para Paypal y SaferPay (SIX).

Los CSR (certificate signing requests) son en SHA-256 y no en SHA-1.

Esta guía explica cómo…

1. … generar una CSR y clave privada para solicitar un certificado de una entidad de certificación (CA),
2. … importar este certificado para su sitio Infomaniak, gracias al CRT obtenido de la CA.

Prólogo

• Aunque Infomaniak ofrece todos los certificados SSL que pueda necesitar…
  • certificados gratuitos Let's Encrypt para los sitios personales (solo posible con los sitios alojados en Infomaniak),
  • certificados DV de Sectigo para los sitios profesionales/particulares que no están inscritos en el registro mercantil,
  • certificados EV de Sectigo para las empresas inscritas en el registro mercantil,
• … también es posible instalar un certificado SSL obtenido en otro lugar (certificado intermedio de una entidad de certificación de su elección), certificados personalizados o auto-firmados.

1. Generar una CSR (Certificate Signing Request)

Una CSR (Certificate Signing Request o Solicitud de Firma de Certificado) es un archivo codificado que contiene la información necesaria para solicitar un certificado SSL/TLS.

Debe ser generada por su parte, para garantizar que la clave privada permanezca bajo su control, utilizando por ejemplo OpenSSL.

Adapte y ejecute el siguiente comando desde una aplicación de tipo Terminal (interfaz de línea de comandos, CLI /Command Line Interface) en su dispositivo:

openssl req -utf8 -nodes -sha256 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.csr -addext "subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz"

Explicaciones

• newkey rsa:2048: Genera una nueva clave RSA de 2048 bits.
• keyout domain.xyz.key: Especifica el archivo donde se guardará la clave privada.
• out domain.xyz.csr: Especifica el archivo donde se guardará la CSR.
• addext “subjectAltName = ...”: Añade dominios adicionales a través de la extensión SAN (Subject Alternative Name), necesaria para incluir todos los dominios deseados en el certificado (el dominio principal domain.xyz + cualquier otro dominio o subdominio asociado, como www.domain.xyz).

Después de la generación, puede verificar el contenido de la CSR con el siguiente comando:

openssl req -in domain.xyz.csr -noout -text

Esto permite verificar que todos los dominios listados en subjectAltName están correctamente incluidos.

Una vez generada la CSR, puede enviarla a la entidad de certificación (CA) para obtener su certificado SSL/TLS.

2. Importar el certificado externo

Una vez validada, la CA le entrega un certificado (domain.xyz.crt) y a veces un certificado intermedio (ca_bundle.crt).

Para acceder a la gestión de los certificados SSL:

1. Haga clic aquí para acceder a la gestión de su sitio en el Gestor Infomaniak (¿necesita ayuda?).
2. Haga clic directamente en el nombre asignado al sitio correspondiente:
   
3. Haga clic en Certificados SSL en el menú lateral izquierdo.
4. Haga clic en el botón azul Instalar un certificado:
   
5. Elija el certificado personalizado.
6. Haga clic en el botón Siguiente:
   
7. Importe su certificado y clave privada, ya sea importando los archivos .crt y .key o copiando y pegando.
8. Haga clic en Completar:
   

Comando alternativo para generar un certificado auto-firmado (opcional)

Si desea un certificado local solo para pruebas o sin pasar por una CA (no recomendado para producción), puede usar este comando:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.crt -addext “subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz”

Esto genera tanto un certificado auto-firmado (domain.xyz.crt) como una clave privada (domain.xyz.key). Sin embargo, los certificados auto-firmados no son reconocidos como válidos por los navegadores o sistemas públicos. Solo son adecuados para entornos internos o de desarrollo.

Importar un certificado intermedio

Al agregar un certificado SSL personalizado, es posible importar el certificado intermedio (importando el archivo .crt o copiando y pegando los datos proporcionados por la entidad de certificación):

Esta guía explica cómo descargar o exportar un certificado SSL desde el Gestor de Infomaniak.

Prólogo

• La descarga del certificado produce un archivo en formato .zip.
• El archivo contiene los archivos .key y .crt (así como _windows.pfx & .protected.key según el tipo de certificado):
  
• Se recomienda almacenar este certificado y su clave privada en un lugar seguro, ya que esta última podría permitir el acceso a sus datos cifrados.

Exportar o descargar un certificado SSL

Para acceder a la gestión de sus certificados:

1. Haga clic aquí para acceder a la gestión de su producto en el Gestor de Infomaniak (¿necesita ayuda?):
   
2. Filtre si es necesario sus tipos de certificados haciendo clic en el icono dedicado a este efecto.
3. Muestra los diferentes tipos de certificados como Let's Encrypt, Sectigo DV & EV...
4. Agregue los certificados que deben ser mostrados.
5. Aplique los filtros:
   
6. La tabla solo muestra los tipos de certificados que ha seleccionado.

Exportar un certificado Let's Encrypt

1. Haga clic directamente en el nombre asignado al certificado Let's Encrypt en la lista:
   
2. Haga clic en el menú de acción ⋮ a la derecha del objeto correspondiente en la tabla que se muestra.
3. Seleccione Exportar el certificado y siga las instrucciones para descargar el archivo en su dispositivo:
   

Exportar un certificado Sectigo

1. Haga clic directamente en el nombre asignado al certificado en la lista de certificados.
2. Haga clic en el botón Gestionar.
3. Haga clic en Descargar el certificado y siga las instrucciones para descargar el archivo en su dispositivo:
   

Esta guía explica cómo desinstalar un Certificado SSL independientemente de su tipo, inicialmente instalado desde el Manager Infomaniak. Si su certificado es de tipo de pago y desea cancelar la oferta en curso, consulte esta otra guía.

Eliminar un certificado SSL

Para desinstalar un certificado Infomaniak:

1. Haga clic aquí para acceder a la gestión de su certificado SSL en el Manager Infomaniak (¿necesita ayuda?).
2. Haga clic directamente en el nombre asignado al producto concernido:
   
3. Haga clic en el menú de acción ⋮ situado a la derecha del elemento concernido.
4. Haga clic en Desinstalar:
   
5. Confirme la desinstalación del certificado.

Esta guía explica cómo obtener un certificado SSL personalizado que podrá utilizar con Jelastic Cloud a través de Infomaniak.

Documentación para el SSL

Consulte estas guías:

• Es completamente posible comprar un certificado SSL a través de Infomaniak para instalarlo en Jelastic Cloud a continuación.
• De manera integrada a Jelastic Cloud, también encontrará un certificado válido solo para dominios xxx.jcloud.ik-server.com.
• Los certificados Let's Encrypt también pueden ser obtenidos gratuitamente y para cualquier dominio.
• Es posible obtener un certificado de pago, para cualquier dominio.
• Con el fin de realizar pruebas, también puede configurar un certificado auto-firmado.
   

Esta guía explica cómo generar una solicitud de certificado (CSR) para un nombre de dominio y todos sus subdominios con un Hosting Web (excluyendo el hosting gratuito de tipo Starter).

Configurar un certificado Wildcard

1. Agregar un dominio alias con asterisco *

Para agregar un alias de tipo * a su sitio web:

1. Haga clic aquí para acceder a la gestión de su sitio en el Gestor Infomaniak (¿Necesita ayuda?).
2. Haga clic directamente en el nombre asignado al sitio correspondiente:
   
3. Luego, haga clic en la flecha ‍ para expandir la sección Dominios de este sitio.
4. Haga clic en el botón Agregar un dominio:
   
5. Ingrese el nombre de dominio a agregar en este formato:
   • *.domain.xyz (el asterisco es obligatorio, seguido de un punto y luego el nombre de dominio del sitio web, que en este ejemplo es domain.xyz)
6. Haga clic en el botón Confirmar para completar el procedimiento:
   

2. Instalar un certificado SSL o actualizarlo

Ejemplo de actualización del certificado existente para incluir el subdominio * wildcard:

1. Haga clic aquí para acceder a la gestión de su sitio en el Gestor Infomaniak (¿Necesita ayuda?).
2. Haga clic directamente en el nombre asignado al sitio correspondiente.
3. Haga clic en Certificado SSL en el menú lateral izquierdo.
4. Haga clic en el menú de acción ⋮ ubicado a la derecha.
5. Haga clic en Actualizar el certificado:
   
6. Asegúrese de que el subdominio recién agregado esté seleccionado.
7. Haga clic en el botón Instalar abajo:
   
8. Espere mientras se crea o se actualiza.

Esta guía explica cómo actualizar un certificado SSL Let's Encrypt para un sitio web alojado por Infomaniak.

Prólogo

• Puede ser necesario después de la adición o eliminación de alias a un sitio web regenerar un certificado para incluir los nuevos nombres de dominio relacionados con el sitio web.
• El panel de control le indicará claramente que uno de los dominios relacionados con el sitio no está incluido en el certificado SSL en vigor:
  

Actualizar un certificado Let's Encrypt

Para acceder a la gestión de los certificados:

1. Haga clic aquí para acceder a la gestión de su producto en el Manager Infomaniak (¿Necesita ayuda?).
2. Haga clic directamente en el nombre asignado al producto correspondiente:
   
3. Haga clic en el menú de acción ⋮.
4. Haga clic en Actualizar el certificado:
   
5. Verifique o seleccione los dominios afectados.
6. Haga clic en el botón Instalar:
    

Esta guía detalla las condiciones y el procedimiento para obtener un certificado SSL EV de Sectigo a través de Infomaniak.

Prólogo

• Los certificados SSL con validación extendida (EV) están exclusivamente reservados para organizaciones, empresas y entidades legalmente registradas ante una autoridad gubernamental reconocida (como un registro mercantil).
  • Los certificados DV de Sectigo y Let's Encrypt no están sujetos a esta restricción.
  • Comparar los certificados SSL disponibles
• En caso de dificultad durante la validación de un certificado DV o EV, consulte esta otra guía.

Procedimiento de validación de los certificados EV

La obtención de un certificado SSL EV puede tardar hasta 24 horas y depende de la exactitud de la información proporcionada por el cliente.

Este procedimiento se renueva a intervalos regulares (consulte esta otra guía para más detalles), independientemente de la duración de la suscripción elegida para el certificado.

1. Verificación de los datos de la empresa

Los datos integrados en el certificado deben ser verificados previamente con una fuente independiente:

• Razón social (nombre legal) o nombre comercial
• Forma jurídica
• Dirección física de la sede
• Código postal
• Región / Cantón / Departamento
• País / Código de país

Puntos de atención:

• La razón social debe coincidir exactamente con la registrada en el registro mercantil; la solicitud solo podrá ser procesada si el nombre está oficialmente registrado.
• Solo se permite el nombre legal o el nombre de marca seguido del nombre legal entre paréntesis [ej: Nombre comercial (Nombre legal)]. Para las entidades sin una razón social distinta, se puede utilizar el nombre comercial.
• El uso de un simple apartado de correos (BP) está prohibido; se requiere una dirección física.

Dado estos requisitos, a veces es necesario realizar una nueva solicitud con datos corregidos en el CSR. Infomaniak también puede solicitar su aprobación para modificar la información proporcionada durante el pedido.

2. Verificación de los datos en el directorio WHOIS

El directorio WHOIS registra las informaciones del propietario de un nombre de dominio. Estos datos deben coincidir obligatoriamente con las informaciones proporcionadas durante el pedido del certificado SSL EV.

Para actualizar las informaciones WHOIS de un dominio:

• Si su dominio está gestionado por Infomaniak, consulte esta otra guía.
• Si su dominio está gestionado por otro proveedor, contacte a su registrador actual.

3. Firma del contrato y validación final

Una vez finalizado el pedido del certificado EV, la persona de contacto designada recibirá un correo electrónico de la autoridad de certificación Sectigo que contendrá los siguientes documentos:

• El formulario de solicitud de certificado
• El contrato de suscripción

Estos documentos están prellenados. La validación se realiza en línea a través de un código de verificación transmitido oralmente por un sistema de llamada automatizado de Sectigo (generalmente desde el número neerlandés +31 88 775 77 77).

La llamada se realiza al número de teléfono oficialmente registrado en el registro de comercio.

Cada solicitud de certificado está sujeta a una validación telefónica, incluso para los renovamientos y las reemisiones de certificados multidominio.

4. Verificación del dominio (sitios externos únicamente)

Este paso confirma su control sobre el dominio en cuestión (si este no está alojado en Infomaniak — los dominios que apuntan a sitios alojados en Infomaniak se benefician de una validación automática).

Cada dominio o subdominio debe ser aprobado individualmente según uno de los métodos descritos en esta otra guía.

Esta guía explica las principales diferencias entre un certificado EV y DV.

Certificados SSL EV: para empresas

El certificado SSL EV de Sectigo solo puede ser emitido a empresas registradas en un registro oficial.

Asegura el más alto nivel de confianza entre sus clientes y ofrece ventajas únicas además de incluir los beneficios de un certificado DV:

• nombre de su empresa en la barra de navegación
• candado en la barra de navegación
• sello de sitio seguro dinámico
• validación de su nombre de dominio
• autenticación manual de las coordenadas y la identidad de su empresa
• garantía de hasta $1.750.000 para los usuarios finales
• soporte 7/7

La activación de un certificado SSL EV puede tardar hasta 24 horas y requerirá acciones de su parte.

Certificados SSL DV: para empresas y particulares

El certificado DV de Sectigo está abierto a particulares y empresas. No incluye ciertos beneficios mencionados anteriormente, pero ofrece beneficios adicionales en comparación con los certificados SSL gratuitos de Let's Encrypt:

• sello de sitio seguro dinámico
• validación de su nombre de dominio
• garantía de hasta $10.000 para los usuarios finales
• soporte 7/7

La activación de un certificado SSL DV es inmediata.

¿Y los certificados de Let's Encrypt?

Un certificado gratuito de Let's Encrypt garantiza el mismo nivel de cifrado que un certificado EV o DV. Sin embargo, los certificados de Let's Encrypt no ofrecen los siguientes beneficios:

• validación manual de las coordenadas y la autenticidad de su empresa (EV)
• garantía para los usuarios finales en caso de fraude (EV/DV)
• soporte en caso de preguntas

En resumen, los certificados de Let's Encrypt aseguran el cifrado de las comunicaciones entre sus usuarios y su sitio, pero no garantizan a los internautas que se encuentran en un sitio legítimo cuya identidad ha sido autenticada por una autoridad de certificación.

La garantía de Sectigo es un compromiso financiero de Sectigo, la Autoridad de Certificación (AC), que tiene como objetivo proteger al usuario final.

Se aplica únicamente si el usuario sufre una pérdida financiera debido a un error de validación de Sectigo durante la emisión del certificado.

No cubre las vulnerabilidades de seguridad de su servidor ni las configuraciones incorrectas por su parte.

Cuanto mayor sea el nivel de validación (DV < OV < EV), mayor será generalmente el monto de la garantía de Sectigo.