{"id":36,"date":"2020-01-16T07:05:14","date_gmt":"2020-01-16T06:05:14","guid":{"rendered":"http:\/\/esferas.org\/mldt\/?p=36"},"modified":"2020-06-10T12:20:22","modified_gmt":"2020-06-10T10:20:22","slug":"explicando-los-certificados-digitales-a-los-jefes","status":"publish","type":"post","link":"https:\/\/esferas.org\/mldt\/explicando-los-certificados-digitales-a-los-jefes\/","title":{"rendered":"Explicando los certificados digitales a los jefes"},"content":{"rendered":"\n

Jueves, 16 de enero de 2020<\/p>\n\n\n\n

Siguiendo con informes de situaci\u00f3n en este caso toca un texto m\u00e1s breve explicando los porqu\u00e9s de los fallos ocasionales en la renovaci\u00f3n de los certificados digitales. <\/p>\n\n\n\n\n\n\n\n

Transcribo el correo seg\u00fan lo envi\u00e9.<\/p>\n\n\n\n

\n\n\n\n

Los certificados digitales son un requerimiento de seguridad para\n que las conexiones de datos entre programas sean fiables.
\n <\/p>\n\n\n\n

Aunque parece que son los navegadores web los que m\u00e1s los\n utilizan el resto de los servicios del sistema los emplean tambi\u00e9n\n de una forma similar (correo electr\u00f3nico, mensajer\u00eda,\n administraci\u00f3n de sistemas, copias de seguridad, …).<\/p>\n\n\n\n

As\u00ed que la siguiente relaci\u00f3n cuenta c\u00f3mo obtenemos los\n certificados y el problema que aparece regularmente si algo falla:
\n <\/p>\n\n\n\n

  1. Los certificados digitales se generan gratuitamente en los\n servidores de Let’s Encrypt<\/a> (un proyecto\n comunitario) y tienen una vigencia de tres meses como\n contraposici\u00f3n de los de pago, que suelen durar unos dos a\u00f1os.<\/li>
  2. Los servidores aislados (como catalogo.venexma.es) renuevan\n los certificados autom\u00e1ticamente cada dos o tres meses y ni nos\n enteramos de una ca\u00edda de servicio. El proceso tambi\u00e9n puede\n fallar por lo que describo m\u00e1s abajo.
    \n <\/li>
  3. Los servidores internos est\u00e1n m\u00e1s relacionados y he repartido\n los roles porque unos tienen servicios abiertos al exterior\n (erp.venexma.net), otros s\u00f3lo al interior (beta.venexma.net) y\n otros una mezcla (venexma.net). De esta forma el proceso a\n seguir es el siguiente:
    1. Una m\u00e1quina concreta, la que da acceso a la red y nos\n protege de intrusiones, renueva los certificados para todas\n las dem\u00e1s.<\/li>
    2. Una vez obtenidos los certificados los copia al disco de las\n otras m\u00e1quinas y reinicia los programas que los utilizan.<\/li>
    3. Anota el proceso y queda vigilante hasta que la fecha de\n caducidad est\u00e1 pr\u00f3xima.
      \n <\/li><\/ol><\/li>
    4. El proceso anterior tiene como punto d\u00e9bil que cualquier fallo\n en la copia de los certificados o en el reinicio de los\n programas (odoo por ejemplo necesita que arranquen tres en orden\n concreto) deja el sistema en un estado desconocido. Puede que\n funcione, puede que no o puede que lo haga con los certificados\n caducados y pase lo que vemos que pasa.
      \n <\/li>
    5. A la posible pregunta de por qu\u00e9 no lo he arreglado a\u00fan tengo\n que responder que porque es un proceso delicado para probar y\n que lo hago cada tres meses. Si funciona bien lo dejo en la cola\n de cosas pendientes, si no, como pasa a menudo, arreglo el\n problema y anoto los fallos para la siguiente vez. Pero pasa al\n final de la cola de asuntos pendientes.
      \n <\/li><\/ol>\n\n\n\n

      Si te preguntas el por qu\u00e9 de obtener los certificados de un\n proyecto como Let’s Encrypt<\/em> es porque naci\u00f3 como una\n forma de conseguir que toda la web estuviese cifrada y lo apoyan\n la mayor parte de las empresas tecnol\u00f3gicas (Google incluida).\n Es una fundaci\u00f3n que vive de patrocinios y en pocos a\u00f1os se ha\n hecho vital para que la web sea m\u00e1s segura pero que tiene reglas\n estrictas de funcionamiento. La renovaci\u00f3n cada tres meses es\n una de ellas.
      \n <\/p><\/blockquote>\n\n\n\n

      Hay una soluci\u00f3n mucho m\u00e1s pr\u00e1ctica para el problema: actualizar\n el software que renueva los certificados y aplicar un m\u00e9todo\n diferente de distribuci\u00f3n de los mismos; la fundaci\u00f3n publica el\n software cada poco tiempo y estamos un poco m\u00e1s desactualizados de\n lo que debi\u00e9ramos. Tengo el asunto estudiado, casi completas las\n modificaciones, pero no est\u00e1 implementado ni probado. <\/p>\n","protected":false},"excerpt":{"rendered":"

      Jueves, 16 de enero de 2020 Siguiendo con informes de situaci\u00f3n en este caso toca un texto m\u00e1s breve explicando los porqu\u00e9s de los fallos ocasionales en la renovaci\u00f3n de los certificados digitales.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"webmentions_disabled_pings":false,"webmentions_disabled":false,"footnotes":""},"categories":[16],"tags":[18,20,51],"class_list":["post-36","post","type-post","status-publish","format-standard","hentry","category-explicaciones","tag-certificados-digitales","tag-jefes","tag-letsencrypt","content-box"],"_links":{"self":[{"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/posts\/36","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/comments?post=36"}],"version-history":[{"count":1,"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/posts\/36\/revisions"}],"predecessor-version":[{"id":37,"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/posts\/36\/revisions\/37"}],"wp:attachment":[{"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/media?parent=36"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/categories?post=36"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/tags?post=36"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}