Esta guía trata sobre el soporte de funciones de hash seguro (incluyendo SHA-256) por los servidores Infomaniak, así como el énfasis en la seguridad de los certificados SSL/TLS utilizando CSR generados con SHA-256.

Algoritmo de hash SHA-256

La función de hash criptográfico SHA-1 es compatible y los servidores Infomaniak también soportan la función SHA-256, útil especialmente para Paypal y SaferPay (SIX).

Las CSR (certificate signing requests) son en SHA-256 y no en SHA-1.

Esta guía explica cómo…

1. … generar una CSR y clave privada para solicitar un certificado de un tercero a una autoridad de certificación (CA),
2. … importar este certificado para tu sitio Infomaniak, gracias al CRT obtenido de la CA.

Prólogo

• Aunque Infomaniak ofrece todos los certificados SSL que podrías necesitar…
  • certificados gratuitos Let's Encrypt para los sitios personales (solo posible con los sitios alojados en Infomaniak),
  • certificados DV de Sectigo para los sitios profesionales/particulares que no están inscritos en el registro mercantil,
  • certificados EV de Sectigo para las empresas inscritas en el registro mercantil,
• … también es posible instalar un certificado SSL obtenido en otro lugar (certificado intermedio de una autoridad de certificación de su elección), certificados personalizados o auto-firmados.

1. Generar una CSR (Solicitud de Firma de Certificado)

Una CSR (Certificate Signing Request o Solicitud de Firma de Certificado) es un archivo codificado que contiene la información necesaria para solicitar un certificado SSL/TLS.

Debe generarse desde su lado para garantizar que la clave privada permanezca bajo su control, utilizando por ejemplo OpenSSL.

Adapte y ejecuta el siguiente comando desde una aplicación de tipo Terminal (interfaz de línea de comandos, CLI /Command Line Interface) en tu dispositivo:

openssl req -utf8 -nodes -sha256 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.csr -addext "subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz"

Explicaciones

• newkey rsa:2048: Genera una nueva clave RSA de 2048 bits.
• keyout domain.xyz.key: Especifica el archivo donde se guardará la clave privada.
• out domain.xyz.csr: Especifica el archivo donde se guardará la CSR.
• addext “subjectAltName = ...”: Añade dominios adicionales a través de la extensión SAN (Subject Alternative Name), necesaria para incluir todos los dominios deseados en el certificado (el dominio principal domain.xyz + cualquier otro dominio o subdominio asociado, como www.domain.xyz).

Después de la generación, puede verificar el contenido de la CSR con el siguiente comando:

openssl req -in domain.xyz.csr -noout -text

Esto permite verificar que todos los dominios listados en subjectAltName están correctamente incluidos.

Una vez generada la CSR, puede enviarla a la autoridad de certificación (CA) para obtener su certificado SSL/TLS.

2. Importar el certificado externo

Una vez validada, la CA le entrega un certificado (domain.xyz.crt) y a veces un certificado intermedio (ca_bundle.crt). Para acceder a la gestión de los certificados SSL:

1. Haga clic aquí para acceder a la gestión de su producto en el Manager Infomaniak (¿necesita ayuda?).
2. Haga clic directamente en el nombre asignado al producto en cuestión.
3. Haga clic en Certificados SSL en el menú lateral izquierdo.
4. Haga clic en el botón azul Instalar un certificado:
   
5. Seleccione el certificado personalizado.
6. Haga clic en el botón Siguiente:
   
7. Importe su certificado y clave privada, ya sea importando los archivos .crt y .key o pegando.
8. Haga clic en Completar:
   

Comando alternativo para generar un certificado autofirmado (opcional)

Si desea un certificado local solo para pruebas o sin pasar por una CA (no recomendado para producción), puede usar este comando:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.crt -addext “subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz”

Esto genera tanto un certificado auto-firmado (domain.xyz.crt) como una clave privada (domain.xyz.key). Sin embargo, los certificados auto-firmados no son reconocidos como válidos por los navegadores o sistemas públicos. Solo son adecuados para entornos internos o de desarrollo.

Importar un certificado intermedio

Al agregar un certificado SSL personalizado, es posible importar el certificado intermedio (mediante la importación del archivo .crt o pegando los datos proporcionados por la entidad certificadora):

Esta guía explica las principales diferencias entre un certificado EV y DV.

Certificados SSL EV: para las empresas

El certificado SSL EV de Sectigo solo puede ser emitido a empresas registradas en un registro oficial.

Garantiza el más alto nivel de confianza entre sus clientes y ofrece ventajas únicas además de incluir los beneficios de un certificado DV:

• nombre de su empresa en la barra de navegación
• candado en la barra de navegación
• sello de sitio seguro dinámico
• validación de tu dominio
• autenticación manual de las coordenadas y de la identidad de su empresa
• garantía de hasta $1'750'000 para los usuarios finales
• soporte 7/7

La activación de un certificado SSL EV puede tardar hasta 24 horas y requerirá acciones de su parte.

Certificados SSL DV: para empresas y particulares

El certificado DV de Sectigo está disponible para particulares y empresas. No incluye ciertos beneficios mencionados anteriormente, pero ofrece ventajas adicionales en comparación con los certificados SSL gratuitos de Let's Encrypt:

• sello de sitio seguro dinámico
• validación de tu dominio
• garantía de hasta $10'000 para los usuarios finales
• soporte 7/7

La activación de un certificado SSL DV es inmediata.

¿Y los certificados Let's Encrypt?

Un certificado gratuito de Let's Encrypt garantiza el mismo nivel de cifrado que un certificado EV o DV. Sin embargo, los certificados de Let's Encrypt no ofrecen los siguientes beneficios:

• validación manual de las coordenadas y la autenticidad de su empresa (EV)
• garantía para los usuarios finales en caso de fraude (EV/DV)
• soporte en caso de preguntas

En resumen, los certificados de Let's Encrypt aseguran el cifrado de los intercambios entre sus usuarios y su sitio, pero no garantizan a los internautas que se encuentran en un sitio legítimo cuya identidad ha sido autenticada por una autoridad de certificación.

Esta guía sugiere soluciones para resolver problemas comunes y errores frecuentes que pueden surgir cuando intentas mostrar tu sitio web en https después de activar un certificado SSL.

El navegador web muestra automáticamente la versión http del sitio cuando intentas acceder a él en https

Se recomienda realizar las siguientes acciones:

• Vacía la caché de tus aplicaciones o de tu sitio.
• Verifique que las páginas y los scripts del sitio no contengan redirecciones a la versión http del sitio.
• Verifique que el archivo .htaccess del sitio no contenga redirecciones a la versión http del sitio.
• Establezca la dirección https del sitio como la predeterminada:
  • con WordPress Infomaniak
  • para otros casos

La página web se muestra mal (imágenes faltantes, hojas de estilo no soportadas, etc.) o muestra una advertencia en la barra de dirección

Se recomienda realizar las siguientes acciones:

• Vacía la caché de tus aplicaciones o de tu sitio.
• Verifique que las páginas y los scripts no apunten a recursos externos en http; el sitio whynopadlock.com puede ayudarte a identificar los elementos no seguros de tu sitio.
• Consulte también esta otra guía sobre el tema.

Esta página web presenta un bucle de redirección", "ERR_TOO_MANY_REDIRECTS

Si tu navegador web muestra este error, se recomienda realizar las siguientes acciones:

• Si el sitio funciona con una aplicación web como WordPress o Joomla, desactive las extensiones una por una para identificar cuál es la que causa el problema.
• Verifique que las páginas y los scripts del sitio no contengan redirecciones a la versión http del sitio.
• Intente desactivar HSTS.
• Si Prestashop se utiliza, debe activar el SSL en todas las páginas:
  1. Agregue su dominio SSL:
     • Vaya a Preferencias > SEO & URLs.
     • En la sección "URL de la tienda", ingrese la dirección de su sitio en el campo "Dominio SSL" (sin el https://, solo www.domain.xyz).
  2. Active el SSL:
     • Vaya a Preferencias > Configuración general.
     • Arriba de la página, haga clic en "Haga clic aquí para usar el protocolo HTTPS antes de activar el modo SSL."
     • Se abrirá una nueva página con su sitio en la versión segura HTTPS.
  3. Force el uso del SSL en todo el sitio:
     • Vuelva a Preferencias > Configuración general.
     • Ponga la opción "Activar el SSL" en SÍ.
     • También ponga "Forzar el uso de SSL para todas las páginas" en SÍ.

Aparece un antiguo certificado SSL - vaciar la caché SSL

Los navegadores web almacenan en caché los certificados SSL para acelerar la navegación. Normalmente, esto no es un problema. Sin embargo, cuando desarrollas páginas para tu sitio web o instalas un nuevo certificado, el estado SSL del navegador puede molestarte. Por ejemplo, es posible que no veas el icono del candado en la barra de direcciones del navegador después de instalar un nuevo certificado SSL.

Lo primero que debe hacer en este caso es asegurarse de que el dominio apunte a la dirección IP del servidor (registros A y AAAA) y si sigue apareciendo el certificado SSL incorrecto, vacíe la caché SSL:

• Chrome: diríjase a Configuración y haga clic en Configuración. Haga clic en Mostrar configuración avanzada. Bajo Red, haga clic en Cambiar configuración de proxy. Se abrirá la ventana Propiedades de Internet. Haga clic en la pestaña Contenido. Haga clic en Borrar estado SSL, luego haga clic en Aceptar. Consulte otras pistas en esta otra guía.
• Firefox: ve a Historial. Haga clic en Borrar el historial reciente luego seleccione Conexiones activas y haga clic en Borrar ahora.

Pérdida de formato CSS

Si el sitio web se muestra sin estilo CSS, analice la carga de las páginas con la Consola del navegador. Es posible que haya errores de contenido mixto (mixed content) relacionados con sus estilos .css, que deberá resolver para que se carguen correctamente nuevamente.

Cloudflare

Si usas Cloudflare, consulta esta otra guía sobre el tema.

Esta guía explica las diferencias entre las ofertas de alojamiento web de Infomaniak para ayudarte a elegir la mejor solución según tus necesidades informáticas.

Alojamiento Web Starter

El alojamiento web gratuito

El alojamiento web Starter se ofrece de forma gratuita con cada nombre de dominio registrado en Infomaniak. Ofrece 10 Mo de espacio en disco para crear un sitio (páginas básicas en lenguaje HTML únicamente - sin PHP, sin base de datos) incluso sin conocimientos particulares gracias a la herramienta Página de bienvenida.

• Registrar o transferir un nombre de dominio en Infomaniak
• Más información sobre las ventajas incluidas con un nombre de dominio

Alojamiento Web compartido

La oferta destacada para crear tus sitios

Estos alojamientos web son ofertas compartidas (los sitios web se alojarán en servidores cuyos recursos se comparten con otros clientes). Para garantizar la fiabilidad de estos servicios compartidos, los servidores de Infomaniak utilizan en promedio solo el 40% de la potencia de la CPU y están equipados con discos SSD profesionales de última generación.

El alojamiento Web ofrece un mínimo de 250 Go de espacio en disco y permite gestionar varios sitios web con varios nombres de dominio. Esta oferta incluye todas las tecnologías habitualmente utilizadas para crear sitios profesionales: PHP, MySQL, acceso FTP y SSH, certificados SSL e instalación fácil de WordPress o CMS comunes, etc. También es posible añadir un sitio Node.js y/o Site Creator.

Servidor Cloud

El alojamiento web profesional

Con un Servidor Cloud, los recursos que se le asignan no se comparten con otros clientes y puede personalizar la configuración de hardware y software de su servidor según sus necesidades. Un Servidor Cloud también permite utilizar componentes que no están disponibles en los alojamientos web compartidos (Node.js, mongoDB, Sol, FFMPEG, etc.).

• Un Servidor Cloud permite administrar fácilmente tu servidor a través de la misma interfaz de administración que los alojamientos web; gestionas los sitios de la misma manera.
• Un VPS permite gestionar de manera 100% autónoma tu servidor con la versión de Windows o la distribución Linux de tu elección (Debian, Ubuntu, openSUSE, ...) - se requieren sólidas competencias técnicas para usar un VPS, incluyendo VPS Lite.

Nube Pública (y Servicio Kubernetes)

Solución IaaS abierta, probada y segura

Para Infomaniak, es la infraestructura que impulsa kDrive, Swiss Backup y el Webmail, servicios utilizados por varios millones de usuarios. Pero Public Cloud está disponible para todos y pone a disposición los recursos que necesita para el desarrollo de sus proyectos.‍

Con las ofertas personalizadas y a medida, no tendrás problemas para gestionar tu presupuesto de desarrollo. No hay costos de configuración. No hay un monto mínimo. Se puede cancelar en cualquier momento. Solo pagas por los recursos efectivamente utilizados con Public Cloud al final de cada mes, lo mismo para Kubernetes Service.

Jelastic Cloud

El alojamiento web a medida con las tecnologías de tu elección

Jelastic Cloud permite crear entornos de desarrollo a medida con las tecnologías de tu elección (PHP, Java, Docker, Ruby, etc.). Es una oferta cloud flexible:

• Escalado horizontal y vertical de los recursos.
• Pago según el consumo real de los recursos.
• Personalización fácil de su infraestructura (redundancia, IP, SSL, distribución de carga, etc.).

Gracias por haber elegido Infomaniak para segurizar sus sitios con un certificado SSL EV o DV de Sectigo.

Principales guías SSL

• Comprar un certificado SSL EV de Sectigo
• Comprender la diferencia entre certificado EV y DV
• Utilizar un certificado Sectigo en un sitio externo (otro proveedor de alojamiento)
• Comprender la garantía de Sectigo de los Certificados SSL
• Resolver un problema relacionado con SSL/https
• Instalar un certificado SSL gratuito Let's Encrypt en un sitio
• Instalar un certificado SSL "comodín" gratuito
• Desinstalar un certificado SSL
• Actualizar un certificado SSL Let's Encrypt (por ejemplo, después de haber añadido/eliminado alias)

Ayuda adicional

• Consulta todas las preguntas frecuentes sobre SSL
• Contactar el soporte de Infomaniak

Esta guía explica cómo reemplazar el nombre de dominio principal asociado a un sitio web alojado en Infomaniak en el caso de que desee, por ejemplo, cambiar el nombre de su actividad o modificar la ortografía.

Prólogo

• No es posible simplemente modificar la ortografía del nombre de dominio en cuestión.
• Es necesario poseer el nuevo nombre de dominio e instalarlo en lugar del actual realizando una inversión (leer a continuación).
• También puede renombrar su producto de Hosting Web en el Manager Infomaniak, pero cambiar el nombre de un alojamiento no tiene ningún impacto en las URL de los sitios.
• Hay que actuar sobre el nombre de dominio y, si es necesario, adaptar el contenido del sitio.

Cambiar el nombre de dominio del sitio web

Requisitos previos

• Prepare el nuevo nombre de dominio (si es necesario hay que comprarlo).
• Si el cambio que busca es más bien de tipo "subdominio" a "dominio principal" (dev.domain.xyz → domain.xyz p. ej.) entonces consulte esta otra guía.

Para reemplazar el nombre de dominio asignado al sitio por otro nombre de dominio:

1. Haga clic aquí para acceder a la gestión de su producto en el Manager Infomaniak (¿Necesita ayuda?).
2. Haga clic directamente en el nombre asignado al producto en cuestión:
   
3. Haga clic en la flecha ‍ para expandir la sección Dominios de este sitio:
   
4. Consulte esta otra guía para vincular el nuevo nombre de dominio a tu sitio (lee bien los requisitos previos):
   • Es este nuevo dominio vinculado el que reemplazará el nombre de dominio principal actual después de la inversión que realizarás a continuación.
5. Una vez que el nuevo nombre de dominio esté vinculado a su sitio, haga clic en el menú de acción ⋮ a la derecha de este.
6. Seleccione Establecer como dominio principal:
   
7. Si es necesario, elimine el antiguo nombre de dominio y sus variantes que se han convertido en dominios alias (y no más dominios principales).

Si utiliza un certificado SSL, deberá actualizarlo para que incluya los alias añadidos.

Si utiliza la opción de IP dedicada, debe desinstalarla y volver a instalarla después de realizar la inversión.

Adaptar el contenido del sitio al nuevo nombre

En algunos casos, la aplicación web utilizada para el desarrollo del sitio debe sufrir algunos ajustes para funcionar con el nuevo nombre de dominio. Haga clic en el enlace correspondiente al desarrollo de su sitio para adaptar el contenido:

• WordPress
• Joomla
• Prestashop
• aplicación propuesta en WordPress & Apps

Esta guía detalla las reglas de validez de los certificados SSL EV y DV (entrada en vigor el 1 de septiembre de 2020).

Duración de validez de los certificados SSL

Después de una reunión del CA/B Forum que reúne a los grandes actores del Web (Safari, Google Chrome, Mozilla Firefox, etc. - más información), se decidió fijar la duración máxima de validez de los certificados SSL en 397 días. Este cambio tiene como objetivo, entre otros, limitar el riesgo de piratería de los certificados y aumentar el nivel de seguridad de los certificados. No se excluye que la duración máxima de validez de un certificado pueda acortarse aún más en los próximos años. Algunos actores como Apple, Google o incluso Sectigo abogan en este sentido.

Certificados SSL DV de Sectigo

Los certificados SSL DV de Sectigo con una duración superior a 1 año se renuevan automáticamente por Infomaniak (certificado reemitido durante el mes anterior a su fecha de expiración).

Es necesario volver a instalar el certificado en su sitio si este no es gestionado por Infomaniak.

Certificados SSL EV de Sectigo

Los certificados SSL EV de Sectigo deberán validarse cada año, independientemente de la duración del abono elegido.

Es necesario volver a instalar el certificado en su sitio si este no es gestionado por Infomaniak.

Esta guía explica cómo desinstalar un Certificado SSL de cualquier tipo, inicialmente instalado desde el Manager Infomaniak. Si su certificado es de tipo de pago y desea cancelar la oferta en curso, consulte esta otra guía.

Eliminar un certificado SSL

Para desinstalar un certificado Infomaniak:

1. Haga clic aquí para acceder a la gestión de su producto en el Manager Infomaniak (¿Necesita ayuda?).
2. Haga clic directamente en el nombre asignado al producto en cuestión:
   
3. Haga clic en el menú de acción ⋮ ubicado a la derecha del elemento correspondiente.
4. Haga clic en Desinstalar:
   
5. Confirme la desinstalación del certificado.

Esta guía detalla las condiciones y el procedimiento para obtener un certificado SSL EV de Sectigo con Infomaniak.

Prólogo

• Los certificados SSL de validación extendida (EV) solo pueden ser otorgados a organizaciones, empresas y sociedades legalmente registradas ante una autoridad gubernamental reconocida (como un registro mercantil).
  • Los certificados DV de Sectigo y Let's Encrypt no están sujetos a esta restricción.
  • Compare los certificados SSL disponibles
• En caso de problema de validación de certificado DV o EV, consulte esta otra guía.

Procedimiento de validación de los certificados EV

La obtención de un certificado SSL EV puede tardar hasta 24 horas y requiere información válida por parte del cliente.

Este procedimiento se repite cada 12 meses, independientemente de la duración de la suscripción elegida para el certificado EV.

1. Verificación de los datos de la empresa

Los datos que se añadirán al certificado deben verificarse primero con una fuente independiente:

• el nombre legal o comercial
• la forma jurídica
• la dirección
• el código postal
• la región / el cantón / el departamento
• el país / el código del país

Atención:

• El nombre de la empresa debe coincidir exactamente con el registrado en el registro mercantil o la cámara de comercio; el pedido solo se puede procesar si el nombre proporcionado está registrado y anotado correctamente.
• Solo se permite el nombre legal registrado o el nombre de la marca seguido del nombre legal entre paréntesis [ejemplo: Nombre comercial (Nombre legal)]; para las entidades sin nombre legal, se pueden usar todos los nombres comerciales.
• Está prohibido usar una dirección postal.

Dado lo anterior, a veces es necesario realizar una nueva solicitud con datos correctos en el CSR, e Infomaniak también puede necesitar su aprobación para realizar modificaciones a la información proporcionada durante el pedido.

2. Verificación de los datos en el directorio WHOIS

El directorio WHOIS muestra la información del propietario de un nombre de dominio. Estos datos deben coincidir con la información proporcionada al solicitar el certificado SSL EV.

Para actualizar la información de un dominio en el WHOIS:

• Si tu dominio está gestionado en Infomaniak, consulte esta otra guía.
• Si tu dominio no está gestionado en Infomaniak, contacta a tu proveedor de alojamiento/registrador.

3. Contrato y validación para el certificado EV

Después de haber pedido un certificado EV, la persona de contacto de la empresa designada en el pedido recibirá un correo electrónico de la autoridad de certificación Sectigo con los siguientes documentos:

• el formulario de solicitud del certificado
• el contrato del certificado

Estos documentos están prellenados y la persona de contacto debe validarlos en línea utilizando un código adicional. Este será proporcionado por un robot telefónico de Sectigo (el número de llamada provendrá de los Países Bajos, +31 88 775 77 77 en principio) oralmente a su número registrado en el registro o la cámara de comercio.

Cada solicitud de certificado se valida por teléfono, incluidos los renovaciones y las reemisiones de certificados multi-dominio.

4. Verificación del dominio (solo para los sitios externos)

Este paso verifica que tienes el control del dominio (si este es externo a Infomaniak) para el cual se solicita el certificado. Los dominios de los sitios alojados en Infomaniak se validan automáticamente.

Cada (sub-)dominio debe ser aprobado individualmente mediante uno de los métodos descritos en esta otra guía.

Esta guía explica cómo instalar un certificado SSL gratuito de Let's Encrypt en un sitio web alojado por Infomaniak.

Prólogo

• Una vez instalado el certificado, su sitio web será accesible en http y https …
  • Si es necesario redirija automáticamente a todos sus visitantes al sitio seguro https.
• Si desea incluir un dominio alias recientemente añadido a su sitio que ya poseía un certificado, debe actualizarlo.
• Para múltiples subdominios, consulte esta otra guía.
• Let's Encrypt limita la instalación de certificados a:
  • 100 subdominios
  • 20 certificados por 7 días por dominio registrado
  • 5 solicitudes fallidas por cuenta por nombre de host por hora

Instalar un certificado SSL gratuito en un sitio web

Requisitos previos

• Para que la instalación sea posible, los DNS del nombre de dominio deben estar correctamente configurados para apuntar al sitio en cuestión.
• Si se ha realizado un cambio en este nivel, es posible que algunas operaciones no funcionen de inmediato.

Para acceder a los sitios web para instalar un certificado SSL:

1. Haga clic aquí para acceder a la gestión de su producto en el Manager Infomaniak (¿necesita ayuda?).
2. Haga clic directamente en el nombre asignado al producto en cuestión:
   
3. Haga clic en Configurar bajo Certificado SSL:
   
4. Haga clic en el botón Instalar un certificado:
   
5. Seleccione el certificado gratuito.
6. Haga clic en el botón Siguiente:
   
7. Verifique o seleccione los dominios afectados.
8. Haga clic en el botón Instalar:
   
9. Espere hasta que el certificado esté disponible en el sitio.

Esta guía explica cómo exportar un certificado SSL desde el Manager Infomaniak.

Prólogo

• La descarga del certificado produce un archivo en formato .zip.
• El archivo contiene los archivos .key y .crt.
• Se recomienda almacenar este certificado y su clave privada en un lugar seguro, ya que esta última podría permitir el acceso a sus datos cifrados:
  

Exportar un certificado SSL

Para acceder a la gestión de sus certificados:

1. Haga clic aquí para acceder a la gestión de su producto en el Manager Infomaniak (¿Necesita ayuda?).
2. Haga clic directamente en el nombre asignado al producto en cuestión.
3. Haga clic en el menú de acción ⋮ a la derecha del objeto correspondiente en la tabla que se muestra.
4. Seleccione Exportar el certificado y siga las instrucciones para descargar el archivo:
   

Esta guía explica cómo obtener un certificado SSL personalizado que podrás usar con Jelastic Cloud en Infomaniak.

Documentación para el SSL

Consulte estos guías:

• Es completamente posible comprar un certificado SSL de Infomaniak para instalarlo en Jelastic Cloud después.
• De manera integrada en Jelastic Cloud, también encontrará un certificado válido solo para dominios xxx.jcloud.ik-server.com.
• Los certificados Let's Encrypt también pueden ser obtenidos gratuitamente y para cualquier dominio.
• Es posible obtener un certificado de pago, para cualquier dominio.
• Para realizar pruebas, también puede configurar un certificado autofirmado.
   

Esta guía explica cómo agregar dos Certificados SSL EV o DV diferentes en un mismo sitio.

Prólogo

• Como no es posible instalar dos certificados SSL en un mismo sitio, es necesario crear dos sitios idénticos.

Creación del segundo sitio

Requisitos previos

• Eliminar cualquier alias de dominio de tu sitio.

Para acceder a la hospedaje web para agregar un sitio:

1. Haga clic aquí para acceder a la gestión de su producto en el Manager Infomaniak (¿Necesita ayuda?).
2. Haga clic directamente en el nombre asignado al producto en cuestión.
3. Haga clic en el botón Agregar un sitio:
   
4. Continúe sin instalar ninguna herramienta.
5. Elige entre usar un nombre de dominio o un subdominio.
6. Especifique el nombre del dominio o subdominio.
7. Haga clic en Opciones avanzadas.
8. Active (o no) el certificado SSL Let's Encrypt en el futuro sitio.
9. Marque la casilla Definir la ubicación manualmente.
10. Elija la misma ubicación que la del sitio principal:
    
11. Elige la misma versión de PHP que el sitio principal:
12. Haga clic en el botón azul Siguiente para comenzar la creación del sitio.

Instalar el certificado SSL

Una vez que el segundo sitio esté creado (cualquier adición/modificación puede tardar hasta 48 horas en propagarse), podrás instalar un certificado SSL (si has elegido no instalar el certificado en el punto 8 anterior).

Para acceder a la gestión del sitio web:

1. Haga clic aquí para acceder a la gestión de su producto en el Manager Infomaniak (¿Necesita ayuda?).
2. Haga clic directamente en el nombre asignado al producto en cuestión.
3. Haga clic en Certificados SSL en el menú lateral izquierdo.
4. Haga clic en el botón azul Instalar un certificado SSL y siga el procedimiento.

Esta guía explica cómo interpretar correctamente la información detallada proporcionada por Qualys SSL Labs (https://www.ssllabs.com/ssltest/) que a veces puede parecer técnica o alarmante sin el contexto adecuado.

Prólogo

• Qualys SSL Labs es una herramienta de análisis ampliamente utilizada para evaluar la configuración SSL/TLS de los sitios web.
• Las advertencias en sus informes suelen ser solo detalles técnicos sin impacto en la seguridad o el SEO del sitio.

Certificados múltiples en los informes de SSL Labs

Cuando SSL Labs analiza un sitio, puede mostrar varios certificados numerados (certificado #1, certificado #2, etc.). Esto ocurre por varias razones:

1. Certificado principal (#1): El certificado presentado cuando se utiliza el SNI (Server Name Indication).
   • El SNI es una extensión TLS que permite a un servidor alojar varios certificados SSL para diferentes dominios en la misma dirección IP. Cuando un navegador se conecta, indica el nombre de dominio al que desea unirse.
2. Certificado secundario (#2): El certificado presentado cuando el SNI no se utiliza o durante una conexión directa por IP.

Una indicación "No SNI" en el certificado #2 no es un error. Simplemente significa que SSL Labs ha probado qué sucede cuando un cliente se conecta sin proporcionar información SNI. En este caso:

• El servidor proporciona un certificado de respaldo (a menudo un certificado genérico o de previsualización).
• Esta situación solo afecta a clientes muy obsoletos que no soportan el SNI.
• Los navegadores modernos utilizan todos el SNI y recibirán por lo tanto el certificado #1.

Problemas de cadena de certificados

"Problemas de cadena: Orden incorrecto, Certificados adicionales, Contiene ancla"

Estas advertencias no significan necesariamente que el certificado esté defectuoso:

• Incorrect order: Los certificados intermedios no se presentan en el orden óptimo.
• Extra certs: Se incluyen certificados adicionales no necesarios.
• Contains anchor: El certificado raíz está incluido en la cadena.

El protocolo TLS permite omitir el certificado raíz porque normalmente ya está presente en los almacenes de certificados de los navegadores. Incluirlo no es un error, sino una redundancia.

“Nombre alternativo no coincide”

Para el certificado de respaldo (#2), la advertencia "MISMATCH" es normal porque:

• Este certificado está diseñado para otro dominio (preview.infomaniak.website).
• Solo se presenta cuando SNI no se utiliza.
• El navegador que recibe este certificado lo identificaría como no correspondiente al dominio solicitado, pero esto no afecta las conexiones normales con SNI.

En cuanto a las preocupaciones SEO:

• Google y otros motores de búsqueda utilizan navegadores modernos que soportan SNI.
• Ellos reciben el certificado #1 que es válido para su dominio.
• Las advertencias sobre el certificado #2 no afectan el posicionamiento en los motores de búsqueda.
• Solo los problemas con el certificado principal (#1) podrían afectar el SEO.

Esta configuración es perfecta para un alojamiento compartido donde varios sitios comparten la misma infraestructura, con un certificado de previsualización que actúa como solución de respaldo.

La garantía proporcionada con un certificado SSL EV o DV protege a sus usuarios contra todos los imprevistos relacionados con un posible error de validación por parte de Sectigo, la entidad de certificación que emite los certificados SSL y valida sus datos personales.

La garantía es por lo tanto exigible si la autoridad de certificación no valida correctamente las informaciones contenidas en el certificado digital y que esta falla hace perder dinero al usuario final en el marco de una transacción fraudulenta por tarjeta de crédito.

Esta guía explica cómo actualizar un certificado SSL Let's Encrypt para un sitio web alojado por Infomaniak.

Prólogo

• Puede ser necesario, tras la adición o eliminación de alias a un sitio web, regenerar un certificado para incluir los nuevos nombres de dominio asociados al sitio web.
• El panel de control le indicará claramente que uno de los dominios relacionados con el sitio no está incluido en el certificado SSL vigente:
  
  

Actualizar un certificado Let's Encrypt

Para acceder a la gestión de los certificados:

1. Haga clic aquí para acceder a la gestión de su producto en el Manager Infomaniak (¿necesita ayuda?).
2. Haga clic directamente en el nombre asignado al producto correspondiente:
   
3. Haga clic en el menú de acción ⋮.
4. Haga clic en Cambiar el certificado:
   
5. Seleccione el tipo de certificado a actualizar.
6. Haga clic en el botón Siguiente:
   
7. Verifique o seleccione los dominios afectados.
8. Haga clic en el botón Instalar:
   

Esta guía explica cómo generar una solicitud de certificado (CSR) para un nombre de dominio y todos sus subdominios con un Hosting Web (excluyendo el alojamiento gratuito de tipo Starter).

Esto permite cifrar la conexión a su nombre de dominio y todos sus subdominios mediante SSL.

Configurar un certificado Wildcard

1. Agregar un dominio alias con asterisco *

Para agregar un alias de tipo * a su sitio web:

1. Haga clic aquí para acceder a la gestión de su producto en el Gestor Infomaniak (¿Necesita ayuda?).
2. Haga clic directamente en el nombre asignado al producto correspondiente:
   
3. Haga clic en la flecha ‍ para expandir la sección Dominios de este sitio.
4. Haga clic en el botón Agregar un dominio:
   
5. Ingrese el nombre de dominio a agregar en este formato:
   • *.dominio.xyz (el asterisco es obligatorio, seguido de un punto, luego del nombre de dominio del sitio web que en este ejemplo es dominio.xyz)
6. Haga clic en el botón Confirmar para finalizar el procedimiento:
   

2. Instalar un certificado SSL o actualizarlo

Ejemplo de actualización del certificado existente para incluir el subdominio * wildcard:

1. Haga clic aquí para acceder a la gestión de su producto en el Gestor Infomaniak (¿Necesita ayuda?).
2. Haga clic directamente en el nombre asignado al producto correspondiente.
3. Haga clic en SSL en el menú lateral izquierdo.
4. Haga clic en el menú de acción ⋮ ubicado a la derecha.
5. Haga clic en Cambiar el certificado:
   
6. Seleccione el mismo certificado que ya posee.
7. Haga clic en el botón Siguiente:
   
8. Asegúrese de que el subdominio recientemente agregado esté bien seleccionado.
9. Haga clic en el botón Instalar abajo:
   
10. Espere el tiempo de creación o actualización.

Esta guía explica cómo redirigir a una versión segura https (SSL) a todos los visitantes de un sitio en Hébergement Web Infomaniak.

Prólogo

• Esta redirección es en principio automática con una configuración e instalación estándar.
• Para obtener ayuda adicional contacte a un socio o lanza una oferta gratuita — también descubre el rol del proveedor de alojamiento.

Redirección manual por archivo .htaccess

Requisitos previos

• Tener un certificado SSL válido y funcional para el sitio web Infomaniak.

Luego, modifique o añada las 3 líneas siguientes al archivo .htaccess del sitio web correspondiente para que todos sus visitantes accedan automáticamente a su versión https segura:

RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule (.*) https://domain.xyz/$1 [R=301,L]

Reemplace la segunda línea del código anterior por RewriteCond %{HTTP:X-Forwarded-Proto} !https en caso de problema.

Con un CMS

La mayoría de las aplicaciones web como WordPress y Joomla tienen extensiones/plugins que redirigen automáticamente a los visitantes de un sitio a su versión segura https.

WordPress

Si utiliza un sistema de gestión de contenido (CMS) como WordPress para crear su sitio, le recomendamos instalar una extensión para realizar esta redirección:

1. Guarde los archivos y la base de datos del sitio como precaución.
2. Instale la extensión Really Simple SSL o similar desde la consola WordPress y actívala.
3. Los visitantes ahora son redirigidos automáticamente a la versión https del sitio.

Joomla

1. Encuentra la línea

   var $live_site ='';

   en el archivo de configuración de Joomla (configuration.php) en el servidor.

2. Reemplace por

   var $live_site = 'https://www.domain.xyz';

3. Añada tres líneas en su archivo .htaccess en el servidor:

   RewriteEngine On
   RewriteCond %{HTTPS} OFF
   RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

4. Abra el panel de administración de Joomla en "Sistema - Configuración".
5. Haga clic en la pestaña "Servidor" y bajo "Forzar SSL" elija "Administración y sitio".
6. Guarde y los visitantes serán redirigidos automáticamente a la versión https del sitio.

Prestashop

1. Acceda a la configuración general en el panel de administración de Prestashop para activar el SSL:
   1. < v1.7 haga clic en "Preferencias" y luego en "Generales"
   2. > v1.7 haga clic en "Configuración de la tienda" y luego en "General"
2. Active el botón de alternancia (toggle switch) "Activar el SSL" en "SÍ"
3. Haga clic en "Guardar
4. En el mismo lugar, active el botón de alternancia (toggle switch) "Activar el SSL en todo el sitio" en "SÍ".
5. Haga clic en "Guardar".

En el caso de que no aparezca un candado de seguridad en el navegador o se muestre una advertencia, hay que revisar el template o los módulos, ya que a veces estos no son completamente compatibles con el SSL. Entonces, su Prestashop carga elementos (imágenes, archivos .css o .js, fuentes de escritura...) en "http" cuando estos deberían ser cargados en "https".

Drupal

Consulte este artículo (en inglés) que explica cómo pasar un sitio Drupal de http a https.

Soluciones alternativas

En tu archivo .htaccess, para forzar la URL del sitio a ser https:// pero sin www:

RewriteEngine On
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} ^www. [NC]
RewriteRule (.*) https://domain.xyz/$1 [R=301,L]

En caso de un bucle de redirección, adapte el código anterior de la siguiente manera:

RewriteEngine on
RewriteCond %{HTTP:X-Forwarded-Proto} !https [OR]
RewriteCond %{HTTP_HOST} ^www. [NC]
RewriteRule (.*) https://domain.xyz/$1 [R=301,L]

En tu archivo .htaccess, para forzar la redirección con www

con los subdominios:

RewriteEngine On
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} !^www. [NC]
RewriteRule (.*) https://www.domain.xyz/$1 [R=301,L]

En caso de un bucle de redirección, adapte el código anterior de la siguiente manera:

RewriteEngine on
RewriteCond %{HTTP:X-Forwarded-Proto} !https [OR]
RewriteCond %{HTTP_HOST} !^www. [NC]
RewriteRule (.*) https://www.domain.xyz/$1 [R=301,L]

y sin los subdominios:

RewriteEngine on
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} ^domain.xyz [NC]
RewriteRule (.*) https://www.domain.xyz/$1 [R=301,L]

En caso de un bucle de redirección, adapte el código anterior por :

RewriteEngine on
RewriteCond %{HTTP:X-Forwarded-Proto} !https [OR]
RewriteCond %{HTTP_HOST} ^domain.xyz [NC]
RewriteRule (.*) https://www.domain.xyz/$1 [R=301,L]

Errores comunes después de una redirección https

Para resolver los problemas comunes que pueden surgir después de redirigir su sitio web a su versión segura https, consulte esta otra guía.

Esta guía le ayudará, por ejemplo, si desea desplegar un paquete como pymysql y este requiere una versión de Python superior a la ofrecida en su alojamiento.

Prólogo

• Anaconda es una distribución libre y de código abierto de los lenguajes de programación Python. Esta distribución tiene como objetivo simplificar la gestión de paquetes y el despliegue.
• Se recomienda usar conda que viene con una versión reciente de python y se instala en el espacio del usuario, de modo que no haya conflictos con el sistema python (como en un entorno virtual, que siempre requiere una instalación del sistema de la versión deseada).
• Consulte la documentación oficial.
   

Descargar el instalador

uid165116@od-12345:~$ wget https://repo.anaconda.com/miniconda/Miniconda3-py37_4.10.3-Linux-x86_64.sh
--2021-07-28 18:21:10--  https://repo.anaconda.com/miniconda/Miniconda3-py37_4.10.3-Linux-x86_64.sh
Resolving repo.anaconda.com (repo.anaconda.com)... 2606:4700::6810:8303, 2606:4700::6810:8203, 104.16.131.3, ...
Connecting to repo.anaconda.com (repo.anaconda.com)|2606:4700::6810:8303|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 89026327 (85M) [application/x-sh]
Saving to: ‘Miniconda3-py37_4.10.3-Linux-x86_64.sh’

Miniconda3-py37_4.10.3-Linux-x86_64.sh          100% [==============================================>]  84.90M   203MB/s   in 0.4s   

18:21:11 (100 MB/s) - ‘Miniconda3-py37_4.10.3-Linux-x86_64.sh’ saved [89026327/89026327]

Verificar el hash

uid165116@od-12345:~$ test $(md5sum Miniconda3-py37_4.10.3-Linux-x86_64.sh | awk '{print $1}') == "9f186c1d86c266acc47dbc1603f0e2ed" && echo "OK" 
OK

Iniciar la instalación

uid165116@od-12345:~$ bash Miniconda3-py37_4.10.3-Linux-x86_64.sh -b
PREFIX=/home/clients/fc84cbbf6dcbd6dd76b15d3e56c1789f/miniconda3
Unpacking payload ...
Collecting package metadata (current_repodata.json): done                                                                                           
Solving environment: done

## Package Plan ##

environment location: /home/clients/fc84cbbf6dcbd6dd76b15d3e56c1789f/miniconda3

added / updated specs:
    - _libgcc_mutex==0.1=main
    - _openmp_mutex==4.5=1_gnu
    - brotlipy==0.7.0=py37h27cfd23_1003
    - ca-certificates==2021.7.5=h06a4308_1
    - certifi==2021.5.30=py37h06a4308_0
    - cffi==1.14.6=py37h400218f_0
    - chardet==4.0.0=py37h06a4308_1003
    - conda-package-handling==1.7.3=py37h27cfd23_1
    - conda==4.10.3=py37h06a4308_0
    - cryptography==3.4.7=py37hd23ed53_0
    - idna==2.10=pyhd3eb1b0_0
    - ld_impl_linux-64==2.35.1=h7274673_9
    - libffi==3.3=he6710b0_2
    - libgcc-ng==9.3.0=h5101ec6_17
    - libgomp==9.3.0=h5101ec6_17
    - libstdcxx-ng==9.3.0=hd4cf53a_17
    - ncurses==6.2=he6710b0_1
    - openssl==1.1.1k=h27cfd23_0
    - pip==21.1.3=py37h06a4308_0
    - pycosat==0.6.3=py37h27cfd23_0
    - pycparser==2.20=py_2
    - pyopenssl==20.0.1=pyhd3eb1b0_1
    - pysocks==1.7.1=py37_1
    - python==3.7.10=h12debd9_4
    - readline==8.1=h27cfd23_0
    - requests==2.25.1=pyhd3eb1b0_0
    - ruamel_yaml==0.15.100=py37h27cfd23_0
    - setuptools==52.0.0=py37h06a4308_0
    - six==1.16.0=pyhd3eb1b0_0
    - sqlite==3.36.0=hc218d9a_0
    - tk==8.6.10=hbc83047_0
    - tqdm==4.61.2=pyhd3eb1b0_1
    - urllib3==1.26.6=pyhd3eb1b0_1
    - wheel==0.36.2=pyhd3eb1b0_0
    - xz==5.2.5=h7b6447c_0
    - yaml==0.2.5=h7b6447c_0
    - zlib==1.2.11=h7b6447c_3

The following NEW packages will be INSTALLED:

  _libgcc_mutex      pkgs/main/linux-64::_libgcc_mutex-0.1-main
  _openmp_mutex      pkgs/main/linux-64::_openmp_mutex-4.5-1_gnu
  brotlipy           pkgs/main/linux-64::brotlipy-0.7.0-py37h27cfd23_1003
  ca-certificates    pkgs/main/linux-64::ca-certificates-2021.7.5-h06a4308_1
  certifi            pkgs/main/linux-64::certifi-2021.5.30-py37h06a4308_0
  cffi               pkgs/main/linux-64::cffi-1.14.6-py37h400218f_0
  chardet            pkgs/main/linux-64::chardet-4.0.0-py37h06a4308_1003
  conda              pkgs/main/linux-64::conda-4.10.3-py37h06a4308_0
  conda-package-han~ pkgs/main/linux-64::conda-package-handling-1.7.3-py37h27cfd23_1
  cryptography       pkgs/main/linux-64::cryptography-3.4.7-py37hd23ed53_0
  idna               pkgs/main/noarch::idna-2.10-pyhd3eb1b0_0
  ld_impl_linux-64   pkgs/main/linux-64::ld_impl_linux-64-2.35.1-h7274673_9
  libffi             pkgs/main/linux-64::libffi-3.3-he6710b0_2
  libgcc-ng          pkgs/main/linux-64::libgcc-ng-9.3.0-h5101ec6_17
  libgomp            pkgs/main/linux-64::libgomp-9.3.0-h5101ec6_17
  libstdcxx-ng       pkgs/main/linux-64::libstdcxx-ng-9.3.0-hd4cf53a_17
  ncurses            pkgs/main/linux-64::ncurses-6.2-he6710b0_1
  openssl            pkgs/main/linux-64::openssl-1.1.1k-h27cfd23_0
  pip                pkgs/main/linux-64::pip-21.1.3-py37h06a4308_0
  pycosat            pkgs/main/linux-64::pycosat-0.6.3-py37h27cfd23_0
  pycparser          pkgs/main/noarch::pycparser-2.20-py_2
  pyopenssl          pkgs/main/noarch::pyopenssl-20.0.1-pyhd3eb1b0_1
  pysocks            pkgs/main/linux-64::pysocks-1.7.1-py37_1
  python             pkgs/main/linux-64::python-3.7.10-h12debd9_4
  readline           pkgs/main/linux-64::readline-8.1-h27cfd23_0
  requests           pkgs/main/noarch::requests-2.25.1-pyhd3eb1b0_0
  ruamel_yaml        pkgs/main/linux-64::ruamel_yaml-0.15.100-py37h27cfd23_0
  setuptools         pkgs/main/linux-64::setuptools-52.0.0-py37h06a4308_0
  six                pkgs/main/noarch::six-1.16.0-pyhd3eb1b0_0
  sqlite             pkgs/main/linux-64::sqlite-3.36.0-hc218d9a_0
  tk                 pkgs/main/linux-64::tk-8.6.10-hbc83047_0
  tqdm               pkgs/main/noarch::tqdm-4.61.2-pyhd3eb1b0_1
  urllib3            pkgs/main/noarch::urllib3-1.26.6-pyhd3eb1b0_1
  wheel              pkgs/main/noarch::wheel-0.36.2-pyhd3eb1b0_0
  xz                 pkgs/main/linux-64::xz-5.2.5-h7b6447c_0
  yaml               pkgs/main/linux-64::yaml-0.2.5-h7b6447c_0
  zlib               pkgs/main/linux-64::zlib-1.2.11-h7b6447c_3

Preparing transaction: done
Executing transaction: done
installation finished.

Iniciar conda

uid165116@od-12345:~$ source <(~/miniconda3/bin/conda shell.bash hook)

Instalar pymysql (por ejemplo)

(base) uid165116@od-12345:~$ python3 -V
Python 3.7.10

(base) uid165116@od-12345:~$ pip3 install pymysql --user
Collecting pymysql
  Downloading PyMySQL-1.0.2-py3-none-any.whl (43 kB)
     |████████████████████████████████| 43 kB 892 kB/s 
Installing collected packages: pymysql
Successfully installed pymysql-1.0.2