Sitio no seguro

El rincón del usuario Soporte y preguntas
1

Llevo unos días que me aparece como sitio no seguro la web del foro.
Antes no pasaba. Ha desaparecido el “https”

5 Me gusta
2

A mi también me llamó la atención.

2 Me gusta
3

Queda pasado aviso al Sr. de los botones @skozz para que le eche un vistazo.
Gracias por el aviso.

1 me gusta
4

Creo que ahora aparece eso por defecto en todas las páginas que son “http” en vez de “https”.

Yo no entiendo casi nada de informática, ni sé que implicaciones técnicas tiene el que sea de un tipo u otro, o si costaría mucho cambiarlo. Pero dado que a veces nos intercambiamos por el zoco (por privado) direcciones, datos de PayPal, datos bancarios… sería un punto a favor el contar con mayor seguridad.

Saludos.

5

La verdad es que sí, sería lo suyo que la página estuviera cifrada para evitar que nos intercepten los mensajes privados, pero tengo entendido que vale una pasta…

1 me gusta
6

Se lo comentamos a @skozz y fue lo que nos comentó,que vale una pasta.
En este momento el foro anda corto de ingresos para el mantenimiento,y además está esperando a una oportunidad de instaurarlo de nuevo,más barato.

2 Me gusta
7

No era una queja, tampoco tiene mucho sentido, pero me llamó la atención el triángulo rojo, quizás haya estado siempre y yo no lo había visto

chrome
Screenshot_2018-10-22-08-57-01-115_com.android.chrome.png720×1280 71.9 KB

1 me gusta
8

No,tienes razón,creo que estuvo instaurado una temporada.
En breve iniciaremos una campaña de recaudación de fondos,con rifas y apertura de donaciones,y ya con más fondos,intentaremos solucionarlo.

9

Ante todo pedir disculpas por mi atrevimiento, es lo que tiene la ignorancia.

No se cómo está configurado el sitio, ni cómo se gestionan los dns, ni nada de nada, pero quizás sea lo suficientemente flexible para poder usar Let’s Encrypt, es gratuíto y los navegadores lo verán como un certificado válido verificado por Let’s Encrypt.

Lo encontré esta mañana pero antes de publicarlo lo quería probar en casa, y ha funcionado perfectamente.

Posiblemente el maestro del sitio ya lo conociese, pero por si acaso no es así, lo publico.

1 me gusta
10

Parece que mi propuesta no ha suscitado lo que esperaba, quizás los días de asueto, lo absurdo de la propuesta o simplemente que está lloviendo, ¡qué se yo!.
Esto me obliga a mentar al maestro del sitio @skozz para que me saque de mi ignorancia, siento el robo de tiempo que intento realizar, quizás algún moderador @HarryLime actúe como tercer hombre :stuck_out_tongue:

Suponiendo que todo sea favorable para su configuración en el sitio creo que la parte más negativa sea el reinicio del servidor web, nginx, cada tres meses, puesto que el certificado que se genera tiene esa duración. Ejemplo del que yo obtuve:

# openssl x509 -noout -text -in /etc/letsencrypt/archive/********/cert1.pem 
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            03:f4:d8:b3:0d:09:f6:60:d1:b9:8a:f3:4f:0f:a9:bf:cb:03
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
        Validity
            Not Before: Apr 12 13:41:58 2019 GMT
            Not After : Jul 11 13:41:58 2019 GMT
        Subject: CN = ********
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
...
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Basic Constraints: critical
                CA:FALSE
...

y lo positivo sería el https

1 me gusta
11

Cierto!
A mí también me ocurre y la verdad que me causa mal rollo, ya que saber si nos están jaqueando lo registros de la cuenta abierta al foro.
no%20seguro

12

Perdona. No te he contestado porque no he podido entrar al foro directamente, estoy fuera estas semanas por temas importantes fuera del mismo. @HarryLime me ha escrito a mi móvil para que atienda esto. Al parece es urgente (?).

Gracias por el interés, conozco Let’s Encrypt porque lo uso en otros proyectos. El problema no es técnico, el problema es principalmente el dinero en este momento.

Por poco que cueste un certificado, mi principal objetivo es estirar cada euro (que son realmente pocos) para que el foro se mantenga online. Pagué durante año y pico de mi bolsillo a costa de no comprarme más productos, pero no pude estirarlo más.

Con el dinero que tenemos ahora mismo, el foro se mantiene online hasta finales de junio, principio de julio. Siempre vamos con 2-3 meses de vida por delante, mientras nos las ingeniamos para seguir vivos otros 2-3 más, y así cada trimestre.

No quiere decir que no tenga planeado hacerlo, quiere decir que no es mi prioridad. Hay personas y marcas que, espero más pronto que tarde, ayudarán a poder costear ese y el resto de gastos del foro. Mientras, toca esperar.

Por si alguien aún duda, y dado que es un tema recurrente insisto: nuestros problemas en este momento no son técnicos, son económicos.

3 Me gusta
13

Por cierto, añadir que todo esto viene por la política (sana y acertada) the Chrome y Firefox de indicarlo en las cabeceras desde el año pasado.

Antes de eso no había tanta urgencia. Es importante, sí, mucho.

Pero mientras sigo priorizando mantener el foro online, porque sin foro a final de cuentas va dar igual tener o no el certificado SSL.

3 Me gusta
14

Ante todo mil disculpas por las molestias.

No, no perdono, puesto que no hay nada que perdonar.

No, urgente no, envié el mensaje el 12 de abril a las 16:52, y esperé un tiempo prudencial de 12 días antes de citar a nadie.

Mi único interés es el https, ningún otro

quizás malinterpreté

Pido mil perdones a @HarryLime puesto que seguro no está para estos menesteres.

Supongo que el aumento de uso de cpu, memoria y sobretodo de la red aumentará el coste de mantenimiento del sitio, pero como no veo datos… Esto no implica que dude de nadie ni de lo que dice.

Pues no sé, quizás alguno no observe cómo interactúa con el mundo digital y necesite que se lo indiquen, pero no son todos los casos ni debería ser el caso básico.

Yo descubrí este foro a finales de diciembre del año pasado y me gustó porque me pareció más abierto que otros que usé en el pasado, esa libertad se basaba sobre todo en el Zoco, que por gracia o desgracia he usado en varias ocasiones. Gracias al Zoco nos intercambiamos datos personales y económicos y qué sé yo, quizás esos datos deberían protegerse de alguna manera, eso sí, no sé si esa protección recortarán a mayo la subsistencia del foro.

El funcionamiento del https quizás no sea prioridad, pero en mi opinión es imprecindible.
Y, si el SSL no cuesta dinero ¿?

15

Igual me meto donde no me llaman pero no me queda muy claro lo de que instalar let’s encrypt y servir sobre https cueste más dinero. Let’s encrypt es totalmente gratuito e instarlo y automatizarlo (con cron) para que se actualice cada 3 meses no resulta muy complicado si se tiene acceso al servidor. Mantener un foro sobre http si que me parece un asunto crítico. El simple hecho de hacer login “en claro” ya es un problema, porque viaja el email y la password en claro (y lo es más si esa password se usa para otra web o servicio). Los mensajes “privados” no lo son del todo porque de igual modo viajan en claro.

Si puedo ayudar de algún modo con este asunto podéis contar conmigo.

16