DONDE Y COMO COMPRAR UN CERTIFICADO DIGITAL???

[ELITE]

Señores, buen día.

Busque en el foro y no encontré un tema sobre Certificados Digitales, así que me gustaría que los que ya han tenido este dilema comentaran su experiencia

Donde comprar un Certificado Digital?
Como instalarlo en mis servidores?
Que tan bueno es comprar en https://www.digicert.com?

[g00mba]

podes conseguir certificados gratuitos en
https://letsencrypt.org/

para instalarlos en los servidores , depende del tipo de servidor y que tipo de formato de certificado usan. servidores java por ejemplo usan un archivo keystore para guardar sus certificados.

en linux es trivial convertir entre tipos de formatos de certificados, usas PGP para hacer los cambios.

[snick]

como dice goomba letsencrypt es una opción gratuita y bastante fácil de implementar, puedes buscar en internet la documentación de como implementarlo en tu server, pero sera necesario que pongas un crontab, ya que el certificado a diferencia de los pagados, debes renovarlo cada 3 meses.

con los pagados, hasta ahora solo he probado los de godaddy, realmente baratos y muy buenos

 

[g00mba]

como dice goomba letsencrypt es una opción gratuita y bastante fácil de implementar, puedes buscar en internet la documentación de como implementarlo en tu server, pero sera necesario que pongas un crontab, ya que el certificado a diferencia de los pagados, debes renovarlo cada 3 meses.

con los pagados, hasta ahora solo he probado los de godaddy, realmente baratos y muy buenos

 

buen tip lo de cron jobs con los certs esos.

[ELITE]

Bien bien, sabia que acá andan duchos en ese tema, les cuento un poco mas.

Tengo un dominio por ahí que funciona, a manera "interna" digamoslo así, porque solo es conocido por ciertas personas. La cosa es que una dependencia Española quiere que en ese lugar montemos un pequeño desarrollo de ellos, y quieren que en España, cuando entren, no les de el molesto mensaje de este sitio no es seguro, allá todo esta mas modernizado, quieren ver el https en color verde y todo eso, el dinero no es problema 

Claro veo que DigiCert da planes anuales ($198 por año  ) pero veré que me dicen, ya saben que la gente de esta medida prefiere pagar por algo que es igual de confiable que uno gratis. Aunque comenzare a investigar sobre https://letsencrypt.org/ 

Goomba, Snick gracias 

[snick]

hablando de temas de servidores yo tengo una duda con un problema que tengo con un postfix/dovecot y no quiero abrir un tema por eso, por que realmente no se en que tema iría  , no se si el compañero Elite me da permiso de preguntar aquí o indicarme donde hacer la pregunta

[snick]

Bien bien, sabia que acá andan duchos en ese tema, les cuento un poco mas.

Tengo un dominio por ahí que funciona, a manera "interna" digamoslo así, porque solo es conocido por ciertas personas. La cosa es que una dependencia Española quiere que en ese lugar montemos un pequeño desarrollo de ellos, y quieren que en España, cuando entren, no les de el molesto mensaje de este sitio no es seguro, allá todo esta mas modernizado, quieren ver el https en color verde y todo eso, el dinero no es problema 

Claro veo que DigiCert da planes anuales ($198 por año  ) pero veré que me dicen, ya saben que la gente de esta medida prefiere pagar por algo que es igual de confiable que uno gratis. Aunque comenzare a investigar sobre https://letsencrypt.org/ 

Goomba, Snick gracias 

letscrypt podrá ser gratis, pero no por eso no es confiable o menos comparado a los pago, hay grandes empresas detrás de esta iniciativa solo por nombrar unas,Cisco,Google,Facebook,Internet society,etc.
   

[ELITE]

hablando de temas de servidores yo tengo una duda con un problema que tengo con un postfix/dovecot y no quiero abrir un tema por eso, por que realmente no se en que tema iría  , no se si el compañero Elite me da permiso de preguntar aquí o indicarme donde hacer la pregunta

Dele, faltaba mas

letscrypt podrá ser gratis, pero no por eso no es confiable o menos comparado a los pago, hay grandes empresas detrás de esta iniciativa solo por nombrar unas,Cisco,Google,Facebook,Internet society,etc.
   

Ya vi su lista de sponsors y me da bastante confianza

[snick]

Dele, faltaba mas

ok, con su permiso entonces.

En donde trabajo hemos tenido un problema muy recurrente con un grupo de spamers(robando cuentas, haciendo ataques dos,etc), pues recientemente ante el fuerte bloqueo que hemos hecho, han ideado la manera de usar una cuenta que no pertenece a nuestro domino, que no esta registrada en la base de postfix y con un dominio desconocido(que tampoco esta registrada), para enviar correos a través de nuestro server, sin pasar por login, el dkim manda la mayoría a la cola, pero siguen habiendo algunos que salen y que están afectando la reputación de la IP, no se si es un Open realy o otra cosa.

trate de bloquear con esta configuración :

smtpd_relay_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination

pero no funciono

[g00mba]

ok, con su permiso entonces.

En donde trabajo hemos tenido un problema muy recurrente con un grupo de spamers(robando cuentas, haciendo ataques dos,etc), pues recientemente ante el fuerte bloqueo que hemos hecho, han ideado la manera de usar una cuenta que no pertenece a nuestro domino, que no esta registrada en la base de postfix y con un dominio desconocido(que tampoco esta registrada), para enviar correos a través de nuestro server, sin pasar por login, el dkim manda la mayoría a la cola, pero siguen habiendo algunos que salen y que están afectando la reputación de la IP, no se si es un Open realy o otra cosa.

trate de bloquear con esta configuración :pero no funciono

eso mas suena a que tienen control mas profundo sobre el servidor no solo sobre postfix. es de sentarse a revisar logs, puede ser tambien algo mas simple, como cosa de revisar filtros. es un tema un poco delicado.

[snick]

eso mas suena a que tienen control mas profundo sobre el servidor no solo sobre postfix. es de sentarse a revisar logs, puede ser tambien algo mas simple, como cosa de revisar filtros. es un tema un poco delicado.

eso pensé al principio yo, pero el roba de cuentas fue gracias a que los usuarios usaban contraseñas como "12345" y no es broma, los ataques dos fueron mas bien ataques de fuerza bruta, tratando de conseguir nuevas contraseñas y aun que arreglamos lo de la debilidad de la contraseña y con file2ban baneamos la mayoría de las ips desde donde hacia los ataques de fuerza bruta, después de una semanas de atacar el servidor con intentos de logueo por diccionario, se calmaron, pero luego apareció una cuenta info3@samrexindia.com con mas de 1500 correo en cola(recalco que ese no es dominio de nuestro server), el log de sus envios es este :

Nov 20 06:31:42 mydomain postfix/qmgr[5177]: 8C5C921014: from=<info3@samrexindia.com>, size=327666, nrcpt=1 (queue active)
Nov 20 06:31:42 mydomain opendkim[1017]: BA73821F61: no signing table match for 'info3@samrexindia.com'
Nov 20 06:31:42 mydomain postfix/qmgr[5177]: BA73821F61: from=<info3@samrexindia.com>, size=327674, nrcpt=1 (queue active)

y solo se me ocurre que ellos conocen un fallo de seguridad que yo no conozco

[g00mba]

eso pensé al principio yo, pero el roba de cuentas fue gracias a que los usuarios usaban contraseñas como "12345" y no es broma, los ataques dos fueron mas bien ataques de fuerza bruta, tratando de conseguir nuevas contraseñas y aun que arreglamos lo de la debilidad de la contraseña y con file2ban baneamos la mayoría de las ips desde donde hacia los ataques de fuerza bruta, después de una semanas de atacar el servidor con intentos de logueo por diccionario, se calmaron, pero luego apareció una cuenta info3@samrexindia.com con mas de 1500 correo en cola(recalco que ese no es dominio de nuestro server), el log de sus envios es este :y solo se me ocurre que ellos conocen un fallo de seguridad que yo no conozco

probablemente necesitas de un server hardening mas formal. si usas linux podes empezar por usar bastille.
http://bastille-linux.sourceforge.net/
pero tene cuidado, esa onda le puede hechar llave a tus servicios si no sos cuidadoso.

[brother]

Los que te venden el dominio no tienen certificados SSL ? asi ya no va mostrar el mensaje de sitio no seguro

[ELITE]

Los que te venden el dominio no tienen certificados SSL ? asi ya no va mostrar el mensaje de sitio no seguro

SVnet no se mete con DC's ya que solo compramos el dominio con ellos, la IP y el server los tengo yo.

Pero ellos, me dieron el contacto de alguien llamado Walter Paz que en teoría se dedica a vender DC's, yo ya estoy leyendo la documentación de Lets Encrypt, me parece muy interesante, y pues por cualquier cosa le llamare al sujeto ese 

Sea cual sea la vía que tome pondré los avances y o dudas por acá

[snick]

probablemente necesitas de un server hardening mas formal. si usas linux podes empezar por usar bastille.
http://bastille-linux.sourceforge.net/
pero tene cuidado, esa onda le puede hechar llave a tus servicios si no sos cuidadoso.

suena interesante, le echare un leída, pero por el momento logre parar el relay que estaban haciendo con esta configuración:

smtpd_relay_restrictions = check_sender_access hash:/etc/postfix/permit_domain,permit_sasl_authenticated, reject_unauth_destination

investigando el dominio, resulta que es un dominio bajo gmail, es decir gmail simula el dominio  "mail.samrexindia.com" en sus servidores gmail, al parecer es otra cuenta robada(quiero creer  ), pero con la lista de check_sender_access solo los dominios dentro de esa lista pueden hacer relay, las demás configuraciones como permit_sasl_authenticated, reject_unauth_destination; obviamente no funcionaban por que gmail cumple todos esos requerimientos, aun no doy por ganada la partida  , sigo pendiente haber que mas hacen, pero por el momento ya llevo mas de 12 horas sin que hagan nada, lo peor de todo que gmail nos tiene bloqueado por el spam que ellos generaron, pero no detienen el spam de esa cuenta 

[snick]

Los que te venden el dominio no tienen certificados SSL ? asi ya no va mostrar el mensaje de sitio no seguro

las ssl son configuraciones que se hacen dentro del servidor, sobre el apache,ngix,iis,etc.
lo que se comprar es el servicio de que un distribuidor te tenga en su lista de sitios(ip y dominio) verificado, osea poniéndolo en un ejemplo simple, tu pagas para que tu servidor tenga un dui, que diga que ese servidor es, quien dice ser.

esto se logra generando una llave encriptada, que se almacena en tu server y en el server que autentica(se godaddy,google,letsencrypt,etc.), svnet no tiene ese servicio, mas que todo por lentos  , ellos podrían proveerlo pero svnet siempre se aprovecha de ser el único sitio que da .sv para no hacer nada por sus clientes 

[Black Hawk]

Si lo quisieras comprar, yo los compro en https://cheapsslsecurity.com, uso de los rapidSSL desde hace años, si solo compras un año vale 7.99. Si tu servidor es windows+IIS yo te puedo ayudar, no es complicado

[ELITE]

Si lo quisieras comprar, yo los compro en https://cheapsslsecurity.com, uso de los rapidSSL desde hace años, si solo compras un año vale 7.99. Si tu servidor es windows+IIS yo te puedo ayudar, no es complicado

Gracias, esa sera la ultima opción, los de pago 

Pero solo por orgullo, porque me he estado devanando desde ayer con Lets Encrypt y aun no logro crear el crt 

Ya que el $$ no es problema dejare esa opción hasta que ponga el certificado gratuito, igual pondré acá lo que hice para futuras generaciones 

[ELITE]

Solo comentar que este dia tipo 10am se logro colocar el Digital Cert de LetsEncrypt con la fina y majestuosa asesoría y colaboración del comuno Snick 

Estoy preparando la guía para SVC y que este tema quede en ayuda a futuro

Snick gracias totales.

[snick]

Solo comentar que este dia tipo 10am se logro colocar el Digital Cert de LetsEncrypt con la fina y majestuosa asesoría y colaboración del comuno Snick 

Estoy preparando la guía para SVC y que este tema quede en ayuda a futuro

Snick gracias totales.

De nada, solo recuerda apuntar bien   

[ELITE]

Configurar Certificado Digital de LetsEncrypt en Windows Server 2012 con Apache

Esta guía está basada en las siguientes guías online
https://vivavivugeek.blogspot.com/2017/09/wamp-64-bit-free-ssl-lets-encrypt.html (G1)
https://github.com/PKISharp/win-acme/wiki/Apache-2.4-Basic-usage (G2)

Pero han sido adecuadas al escenario de mi servidor
— Windows Server 2012
— Apache y PHP en módulos separados
— Dominio funcionando desde hace un tiempo

Advertencia: Hacer Backups de los archivos antes de todo, tu serás responsable de lo que pase a partir de ahora.

No haremos los pasos como la guía puesto que en la vida real las cosas son un poco diferentes en cada escenario.

1-   Iremos al sitio de descarga de win-acme (WA) que nos proporciona la G1 en el paso 5 https://github.com/PKISharp/win-acme/releases

2-   Descargamos la última versión, y ojo, la G1 muestra una versión que ya no está en uso.

3-   Iremos con el CMD en modo administrador hasta la carpeta del win-acme (recomendable en C:\algo) en nuestro servidor, una vez ahí utilizaremos el siguiente comando de la G2:

letsencrypt.exe --plugin manual --manualhost www.tudominio.org.sv --webroot c:\Apache24\htdocs\CarpetaSitio –warmup

Reemplazando www.tudominio.org.sv por tu dominio real y funcionando al momento de este paso y CarpetaSitio por la carpeta de tu sitio, ósea tu webroot.

Presten vital atención al webroot de su servidor.

Y que hace ese comando?
Bueno primero le dice al WA que lo haremos manual y sin asistente.
Que tome nuestro dominio y haga las pruebas de conexión y prueba de autenticación con LetsEncrypt (LE)
Y el --warmup nos hace un mapeo de lo que hace el soft y nos despliega errores más detallados.

4-   Si todo ha salido bien nos desplegara la siguiente imagen


La cual nos indica que el certificado fue creado correctamente.
Podemos encontrarlo en
C:\ProgramData\win-acme\httpsacme-v01.api.letsencrypt.org
En esa carpeta encontraremos todo lo relacionado a nuestro Certificado Digital (DC)

5-   Solo queda verificar que se halla creado la tarea programada para renovar el certificado, en mi caso se creó perfectamente.

6-   Pero aún no hemos ver nuestro sitio bajo https, falta la configuración del mismo. Tal y como lo indica la G1, procedamos a descomentar de nuestro archivo httpd.conf las siguientes líneas

LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
LoadModule ssl_module modules/mod_ssl.so
Include conf/extra/httpd-ssl.conf

Ojo con esta última línea, ya que al descomentarla, si reinician apache no funcionara el sitio porque el archivo httpd-ssl.conf aún no tiene la configuración necesaria.

7-   Bien, configuremos el httpd-ssl.conf
Acá descomentaremos las siguientes líneas

LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf

Y por si no está descomentada, que lo dudo, en el php.ini descomentamos

extension=php_openssl.dll

8-   Bien, según la G1 en este momento habría que agregar hosts virtuales para hacer que trabaje el https, pero en mi caso preferí hacerlo directamente en las configuraciones de cada protocolo.

Primero en vamos a trabajar lo siguiente en el archivo httpd-ssl.conf que es el que maneja el https.

Primero definamos los directorios raíz de las configuraciones que vamos hacer

Define CERTROOT "C:/ProgramData/win-acme/httpsacme-v01.api.letsencrypt.org"
Define SITEROOT "c:/Apache24/htdocs/Site"

Cambiamos la linea del DocumentRoot "c:/Apache24/htdocs" por

DocumentRoot "${SITEROOT}"

ServerName www.example.com:443 por

ServerName www.tudominio.org.sv:443

SSLCertificateFile "c:/Apache24/conf/server.crt" por

SSLCertificateFile "${CERTROOT}/www.tudominio.org.sv-chain.pem"

SSLCertificateKeyFile "c:/Apache24/conf/server.key" por

SSLCertificateKeyFile "${CERTROOT}/www.tudominio.org.sv-key.pem"

Y listo, en este momento ya tendríamos que poder ver nuestro sitio bajo https, pueden ir a https://tusitio.com y si todo está bien ya deben ver la conexión segura


9-   Ahora solo toca hacer que todo el tráfico de http del puerto 80 sea dirigido al https del puerto 443, para ello pueden hacer uso de host virtuales o en última instancia de un .htaccess pero en mi caso preferí hacerlo en apache (httpd.conf) para que todo, todo el tráfico se dirija a https

Bien en el mencionado archivo hacemos lo siguiente, yo lo hice justo bajo la linea de Listen 80

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://www.tudominio.org.sv [R,L]

Si todo ha  salido bien, no importa como escriban tu dominio, con www o sin ellas, con https o sin él, todo será redirigido a https y tu conexión estará segura.


Agradecimientos al comuno Snick por su valiosa ayuda 

Guia PDF en Mega

[ELITE]

Actualización del tema 

Les comento que tras 3 meses funcionando bien el DC palmo (se venció) este 20/02/2019 y cuando la tarea programada se ejecutaba no se renovaba lo que me llevo a que diera error de conexión el sitio (mostraba el anuncio de mal certificado etc)

Lo peor es que ahí tengo una DB que sirve para una Android App mía y no me funcionaba, básicamente la app me dio la alarma del fallo 

Solución:
Junto al comuno Snick comenzamos a ver el tema y después de mucho buscar dimos que el servidor de LetsEncrypt no podía crear y modificar archivos en el webroot por tema de permisos del Apache.

<Directory />
    AllowOverride none
    #Require all denied
</Directory>

Así que Comente la linea del Require all denied y el DC se pudo renovar con éxito 

Con esto espero que en 3 meses no tenga que hacer otra actualización de este tema

[ELITE]

Con esto espero que en 3 meses no tenga que hacer otra actualización de este tema

En IT nunca salen las cosas como uno quiere 

Llego 22 de Mayo y con ello la actualización del Certificado, y hay que aclarar que según me comentaba el buen comuno Snick, en Wind2 no funciona la tarea programada porque no se corre directamente en consola, ni modo todos ya sabemos como es Win2 

En esta actualización nos daba error 403 Forbidden y era extraño pues nunca nos había pasado eso antes.

Problema:
Cuando en el httpd.conf pasamos todo de http a httpS, cuando el server de LetsEncript quiere actualizar busca el dominio con http pero este lo redirecciona a https y por eso no puede llegar a hacer la validacion.

Solución:
Quitar un momento la redireccion del trafico de http a https
Actualizar el certificado
Volver a redirigir

Como siempre las gracias al comuno Snick 

Hoy si, ya no creo que tenga que actualizar mas este post por problemas  en la renovación

[snick]

Solución:
Quitar un momento la redireccion del trafico de http a https

perdón que te corrija, pero no es de quitar el re-direccionamiento, es de que la regla quede bien hecha, algo así:
   RewriteEngine on
    RewriteRule ^(.*)$ https://www.dominio.com/$1 [R=301,L]
    RewriteCond %{SERVER_NAME} =Alias1(IP) [OR]
    RewriteCond %{SERVER_NAME} =Alias2 [OR]
    RewriteCond %{SERVER_NAME} =Alias3
    RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,QSA,R=permanent]
para que al re-direccionar no se pierdan los parámetros que venían con la petición

[rdoggsv]

Yo creo que se refiere a que como el certificado se venció, estaba redireccionando a https, pero como ya no servía, se le cortaba el tráfico por no aceptar un certificado vencido. Funciona para renovar dejando el redireccionamiento si todavía no se te ha vencido creo yo.

Yo pensaba que hacía una conexión en un puerto diferente LetsEncrypt para validar que la IP corresponde al dominio, no sabía que usaba el propio http.

[ELITE]

La regla seria

RewriteEngine On
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} ^www\. [NC]
RewriteRule ^ https://www.dominio.org.sv%{REQUEST_URI} [R=301,L,NE]

Yo creo que se refiere a que como el certificado se venció, estaba redireccionando a https, pero como ya no servía, se le cortaba el tráfico por no aceptar un certificado vencido. Funciona para renovar dejando el redireccionamiento si todavía no se te ha vencido creo yo.

Yo pensaba que hacía una conexión en un puerto diferente LetsEncrypt para validar que la IP corresponde al dominio, no sabía que usaba el propio http.

Justo como lo ha dicho, pero el maje (osea yo) no le hizo caso a los correos que me enviaron hace 10 días,  quería aprobar que pasaba y ya vimos que no fue buena idea lol 

Lo peor no es lo del sitio (que valga aclarar no lo he hecho yo) lo peor es que justo ahí tengo unas imágenes para firmas de correo y al no poder accesar a mi carpeta, trababan outlook (que raro no  ) y una base de datos para mi App Android, que sin un certificado válido truena porque esta haciendo consultas bajo https, cosa que voy a ver como hago para hacerle un bypass para que si no encuentre https se pueda meter con http (porque ganas de quitar el certificado no me faltaron ayer  )

Pues si, usa el propio http para validar los certificados.


Snick es el mero mero eso si 

[snick]

Yo creo que se refiere a que como el certificado se venció, estaba redireccionando a https, pero como ya no servía, se le cortaba el tráfico por no aceptar un certificado vencido. Funciona para renovar dejando el redireccionamiento si todavía no se te ha vencido creo yo.

Yo pensaba que hacía una conexión en un puerto diferente LetsEncrypt para validar que la IP corresponde al dominio, no sabía que usaba el propio http.

no era eso, el problema que tenia elite, es que cuando el programa buscaba la dirección, la buscaba como http://dominio.com/parametros y el redirect del servidor lo dejaba como https://dominio.com, sin los parámetros que servían al programa.

teóricamente no debería usar el http para certificar, supongo que es un error en el programa ACME, pero tristemente es el único para windows