self-signed-ssl-760x400.jpg

Riesgos en el uso de certificados SSL autofirmados

Search Engine JournalThursday, 21 June 2018

Un lector informó haber recibido un mensaje en Google Search Console sobre un certificado SSL autofirmado. Google ha estado enviando advertencias sobre esto durante años. Un certificado SSL autofirmado es aquel que es emitido por un servidor y no por una autoridad de certificación (Comodo, Digicert, etc.). Los certificados SSL autofirmados también harán que los navegadores emitan una advertencia de seguridad, lo que podría afectar el tráfico del sitio.

Cómo verificar el estado del certificado SSL

Puede supervisar e investigar su certificado SSL a través de la herramienta del Proyecto de Transparencia de Certificado de Google. La página Qualys SSL Labs es una herramienta completa para verificar el estado del certificado SSL.

Si su certificado es de hecho autofirmado, debería considerar obtener un certificado SSL de confianza. Para obtener más información, lea ¿Qué tipo de certificado SSL necesita su sitio web? y también Mover un sitio web de WordPress de HTTP a HTTPS.

Algunas advertencias son falsas positivas

Algunos editores han recibido los mensajes por error. Estos se llaman falsos positivos.

Una discusión en el Foro de ayuda del Webmaster Central de Google sirve de ilustración. Un miembro informó haber recibido el mensaje de certificado autofirmado, aunque su sitio no está autofirmado. La discusión se puede ver aquí.

Lo que sucedió fue que hubo un pequeño momento entre la conmutación de proveedores de certificados y parece que Google escaneó su sitio entre el cambio. Esto es lo que desencadenó el falso positivo.

Esto es lo que dijo el editor que recibió el aviso:

Cuando actualicé el certificado y reinicié la VM de AWS, tuve un error de grub y la máquina virtual no se reinició. Esta es una peculiaridad aleatoria conocida de esta máquina virtual en particular y el proceso de recuperación consiste en iniciar una nueva máquina virtual y restaurar desde la copia de seguridad. Durante un período de 5 minutos antes de recordar bloquear el firewall público mientras reconstruía el servidor, la máquina virtual naciente se activaba utilizando el certificado autofirmado predeterminado de la VM. Cuando volví a abrir el firewall, el servidor funcionaba con un certificado actualizado de Comodo.

Es posible que, durante esa breve ventana, el robot de Google pudo haber sondeado el sitio … una gran coincidencia, pero posible …

En otro informe falso positivo, este del 20 de junio de 201

…Para leer más, siga el link del idioma que prefiera

Tags: seguridad, herramienta, google, wordpress

Clickee para leer el artículo en InglésClickee para leer el artículo en Español