1. Home
  2. >
  3. Cifrado

Cifrado

Seguridad de la capa de transporte (TLS)

Cuando alguien visita su sitio web introduciendo una URL común que empieza por http:// sus nombres de usuario y contraseñas y otros datos confidenciales pueden ser interceptados por terceros no deseados. Asimismo, esta conexión no ofrece ninguna garantía de autenticidad y puede ser redirigida (o falsificada) por un ISP u otro intermediario. El soporte TLS no es una cura para todo, pero mejora significativamente:

  • confidencialidad de la transmisión de datos entre su servidor web y el navegador del usuario
  • autenticidad para las conexiones que sus usuarios realizan con su servidor web

Cómo funciona TLS/HTTPS en Deflect

Normalmente, cuando dos ordenadores se comunican de forma segura, sin un servicio proxy de caché como Deflect, el cliente (por ejemplo, un navegador) solicita el certificado TLS del servidor, comprueba que confía en el certificado y, a continuación, cifra la conexión utilizándolo. Los ISP, las empresas y los gobiernos -los propietarios de las redes o cualquier otro actor que se interponga entre el cliente y el servidor- no pueden ver lo que hay dentro del túnel de comunicaciones establecido.

Esquema Deflect TLS

Deflect ofrece varias opciones para cifrar las conexiones a su sitio web, y puede generar certificados TLS o utilizar los que ya posee.

Deflect puede generar certificados TLS de cara al público a través de Let’s Encrypt, una autoridad de certificación (CA) lanzada en 2015 y cofundada por la Electronic Frontier Foundation que emite certificados gratuitos y fáciles de instalar con el objetivo explícito de facilitar y difundir el uso de la criptografía en la web. Dado que los certificados de Let’s Encrypt deben renovarse con frecuencia, Deflect utiliza certificados de origen de mayor duración firmados por su propia autoridad de certificación. Por supuesto, si ya dispone de un certificado TLS, puede utilizarlo para cifrar las conexiones entre Deflect y su sitio web (certificado de origen), así como entre el público y los bordes (certificado de cara al público), pero en este último caso tendrá que compartir su clave TLS privada con nosotros. Si prefiere no compartirla con nadie, podemos generar un certificado Let’s Encrypt para cifrar las conexiones que lleguen a cualquiera de los bordes de Deflect, mientras que las conexiones entre los bordes de Deflect y su servidor web estarán cifradas por su propio certificado.

Habilite las conexiones HTTPS a su sitio web en Deflect

Si está habilitando conexiones HTTPS por primera vez en su sitio web y aún no dispone de un certificado TLS, tiene 3 opciones.

1. Pide a Deflect que lo haga todo por ti

Puede pedir a Deflect que lo haga todo por usted: generaremos un certificado Let’s Encrypt de cara al público para cifrar las conexiones entre sus lectores y los bordes de Deflect, y un certificado de origen para proteger las conexiones entre Deflect y su sitio web (consulte la opción 1 en la guía de configuración del certificado de cara al público y la opción 1 en la guía del panel de control de Deflect). Se recomienda esta opción si no está familiarizado con OpenSSL. Tanto las comunicaciones público-borde como las borde-origen estarán cifradas y el borde podrá validar que está hablando con su servidor y no con otro servidor que suplanta al suyo.

2. Genere su certificado de origen y hágalo firmar por Deflect

Si se siente cómodo utilizando OpenSSL, Deflect sólo generará un certificado Let’s Encrypt de cara al público, mientras que usted genera su certificado de origen y lo hace firmar por Deflect para que las conexiones entre los bordes y el origen puedan ser validadas y Deflect pueda estar seguro de que está hablando con su servidor (consulte la opción 1 en la guía de configuración del certificado de cara al público y la opción 2 en la guía del panel de control de Deflect Dashboard). Esta es una opción avanzada, recomendada si se siente cómodo utilizando OpenSSL y creando una solicitud de firma de certificado. No tendrá que compartir su clave privada con Deflect, y el borde seguirá siendo capaz de validar su certificado de origen.

3. Generar un certificado de origen autofirmado

También puede generar un certificado de origen autofirmado sin que lo firme Deflect. Deflect sólo generará un certificado Let’s Encrypt de cara al público, mientras que las conexiones entre Deflect y su sitio web se cifrarán a través de su propio certificado autofirmado (consulte la opción 1 en la guía de configuración del certificado de cara al público). Puedes elegir esta opción si prefieres no compartir tu clave privada con nadie pero no tienes experiencia con solicitudes de firma de certificados. Todas las conexiones estarán cifradas, pero Deflect no podrá confirmar que el certificado realmente le pertenece. Si su sitio web ya acepta conexiones HTTPS y dispone de un certificado TLS que desea seguir utilizando, tiene dos opciones más:

4. Cargar un paquete de certificados TLS personalizado

En este caso, tanto las conexiones a Deflect como las conexiones entre Deflect y su sitio web se cifrarán a través de su certificado TLS (consulte la opción 2 en la guía de configuración de certificados de cara al público). Esta opción le permite seguir utilizando el certificado que ya ha generado, pero requiere que comparta su clave privada con Deflect.

5. Utilice un certificado de terceros en su servidor de origen

Pide a Deflect que genere un certificado Let’s Encrypt de cara al público mientras utilizas tu certificado de terceros como certificado de origen (consulta la opción 1 de la guía de configuración de certificados de cara al público). Esta opción te permite seguir utilizando el certificado que ya has generado sin tener que compartir tu clave privada con nadie.

Cifrado de disco

Almacenamiento en caché

Deflect practica el cifrado de datos en reposo. Esto significa que todos nuestros servidores de borde, servidores de alojamiento, servidores de registro y prácticamente todas las máquinas que utilizamos tienen cifrado de disco completo o cifrado de sistema de archivos para proteger los archivos que almacenan. Su caché de tráfico web se almacena en un disco cifrado.

Registro

Sus registros de tráfico se almacenan de forma cifrada en los servidores edge de Deflect y en el repositorio central de todos los registros de Deflect. También tiene la opción de desactivar el registro de Deflect. En ese caso, eliminaremos de forma segura todos los registros de tráfico recibidos en los bordes, cada 10 minutos. Si desea desactivar el registro de Deflect, no obtendrá ninguna estadística de tráfico en el panel de control.