Centro de Conocimiento DevOps
Centro de Conocimiento DevOps

Asegurando Nginx con HTTPS: Una Guía Paso a Paso

Aprende a asegurar tu servidor web Nginx con HTTPS en esta completa guía paso a paso. Cubrimos la obtención de certificados SSL/TLS gratuitos de Let's Encrypt usando Certbot, la configuración de Nginx para conexiones cifradas y la implementación de medidas de seguridad esenciales como HSTS. Protege tus datos, genera confianza en los usuarios y mejora el SEO con una configuración HTTPS debidamente realizada.

74 vistas

Asegurando Nginx con HTTPS: Una Guía Paso a Paso

En el panorama digital actual, la seguridad es primordial. Habilitar HTTPS (Protocolo Seguro de Transferencia de Hipertexto) en tu servidor web Nginx ya no es opcional; es un requisito fundamental para proteger datos sensibles, generar confianza en los usuarios y mejorar el ranking de tu sitio web en los motores de búsqueda. HTTPS cifra la comunicación entre el navegador de un usuario y tu servidor, previniendo la escucha clandestina y asegurando la integridad de la información transmitida.

Esta guía te llevará a través de los pasos esenciales para asegurar tu servidor Nginx con un certificado SSL/TLS, habilitando HTTPS. Cubriremos la obtención de un certificado, la configuración de Nginx para usarlo y la realización de una verificación básica para asegurar que todo funciona correctamente. Al final de esta guía, tendrás una presencia web más segura y confiable.

1. Entendiendo los Certificados SSL/TLS

Antes de sumergirnos en la configuración, hablemos brevemente sobre qué son los certificados SSL/TLS. Un certificado SSL/TLS es un certificado digital que autentifica la identidad de un sitio web y habilita una conexión cifrada. Cuando un navegador se conecta a un sitio web usando HTTPS, verifica el certificado del sitio web para autenticar su autenticidad y establecer un canal seguro y cifrado.

Existen varios tipos de certificados, pero para la mayoría de los sitios web, un certificado de Validación de Dominio (DV) es suficiente. Este tipo de certificado verifica que el solicitante controla el nombre de dominio, pero no realiza verificaciones exhaustivas sobre la organización detrás del dominio.

2. Obtención de un Certificado SSL/TLS

Existen dos formas principales de obtener un certificado SSL/TLS para tu servidor Nginx:

  • Let's Encrypt (Gratis y Automatizado): Let's Encrypt es una autoridad de certificación gratuita, automatizada y abierta. Es muy recomendable para la mayoría de los usuarios debido a su facilidad de uso y rentabilidad. Puedes automatizar el proceso de obtención y renovación de certificados utilizando herramientas como Certbot.
  • Autoridades de Certificación Comerciales (Pagado): También puedes comprar certificados de CAs comerciales como Comodo, DigiCert o GoDaddy. Estos a menudo ofrecen certificados de Validación Extendida (EV) u Validación de Organización (OV), que proporcionan un mayor nivel de confianza pero conllevan un costo y un proceso de validación más complejo.

Para esta guía, nos centraremos en usar Let's Encrypt con Certbot, ya que es el método más accesible y ampliamente adoptado.

2.1 Instalación de Certbot

Certbot es un cliente que automatiza el proceso de obtención y renovación de certificados de Let's Encrypt. El proceso de instalación varía ligeramente dependiendo de tu sistema operativo y configuración de Nginx.

Para Debian/Ubuntu:

sudo apt update
sudo apt install certbot python3-certbot-nginx

Para CentOS/RHEL/Fedora:

sudo yum install epel-release
sudo yum install certbot python3-certbot-nginx

Nota Importante: Asegúrate de que Nginx esté en funcionamiento y sea accesible a través de su nombre de dominio por HTTP antes de continuar. Certbot necesita comunicarse con tu servidor para verificar la propiedad del dominio.

2.2 Obtención de tu Certificado con Certbot

Una vez que Certbot esté instalado, puedes usarlo para obtener un certificado para tu dominio. Certbot puede configurar Nginx automáticamente para ti.

Navega al directorio de configuración de Nginx. La ruta exacta puede variar, pero comúnmente es /etc/nginx/sites-available/.

Ejecuta el siguiente comando, reemplazando your_domain.com y www.your_domain.com con tus nombres de dominio reales:

sudo certbot --nginx -d your_domain.com -d www.your_domain.com

Certbot entonces:

  1. Te pedirá tu dirección de correo electrónico: Se utiliza para avisos importantes de renovación y alertas de seguridad.
  2. Te pedirá que aceptes los Términos de Servicio: Lee y acepta.
  3. Te preguntará si deseas compartir tu correo electrónico con la EFF: Opcional.
  4. Detectará tus hosts virtuales de Nginx existentes: Listará los dominios que encontró.
  5. Te preguntará cómo deseas manejar HTTPS: Generalmente tendrás dos opciones:
    • 1: Sin redireccionamiento - Sirve tanto HTTP como HTTPS, pero no redirige el tráfico HTTP a HTTPS.
    • 2: Redireccionamiento - Redirige automáticamente todo el tráfico HTTP a HTTPS. Esta es la opción recomendada para la mayoría de los usuarios.

Elige la opción 2 para una configuración más segura.

Si tiene éxito, Certbot te informará que tu certificado ha sido instalado y configurará la renovación automática.

3. Verificando la Configuración de Nginx

Después de que Certbot se haya ejecutado, modificará automáticamente tus archivos de configuración de Nginx para usar el nuevo certificado SSL/TLS y configurará el redireccionamiento si elegiste esa opción.

3.1 Comprobando los Archivos de Configuración de Nginx

Puedes examinar el archivo de configuración de Nginx para tu sitio (por ejemplo, /etc/nginx/sites-available/your_domain.com) para ver los cambios. Deberías encontrar directivas como:

server {
    listen 80;
    server_name your_domain.com www.your_domain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name your_domain.com www.your_domain.com;

    ssl_certificate /etc/letsencrypt/live/your_domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your_domain.com/privkey.pem;

    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    # ... otras configuraciones para tu sitio ...
}
  • El primer bloque server escucha en el puerto 80 (HTTP) y redirige todas las solicitudes a HTTPS.
  • El segundo bloque server escucha en el puerto 443 (SSL/TLS) y especifica las rutas a tu certificado (ssl_certificate) y clave privada (ssl_certificate_key).
  • include /etc/letsencrypt/options-ssl-nginx.conf; incluye parámetros SSL recomendados para Nginx.
  • ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; se utiliza para el intercambio de parámetros Diffie-Hellman, mejorando la seguridad.

3.2 Probando la Configuración de Nginx

Antes de recargar Nginx, es crucial probar tu configuración para detectar errores de sintaxis:

sudo nginx -t

Si la prueba es exitosa, verás una salida como:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

3.3 Recargando Nginx

Una vez que la prueba de configuración sea exitosa, recarga Nginx para aplicar los cambios:

sudo systemctl reload nginx

3.4 Verificando HTTPS en tu Navegador

Abre tu navegador web y navega a tu dominio usando https://your_domain.com. Deberías ver un icono de candado en la barra de direcciones, indicando una conexión segura. Hacer clic en el candado a menudo proporcionará detalles sobre el certificado.

4. Renovación Automática

Los certificados de Let's Encrypt son válidos por 90 días. Certbot configura automáticamente un servicio del sistema (generalmente un cron job o un temporizador systemd) para renovar tus certificados antes de que expiren. Puedes probar el proceso de renovación sin renovar realmente el certificado ejecutando:

sudo certbot renew --dry-run

Este comando simula el proceso de renovación y te alertará sobre cualquier problema potencial.

5. Configuración SSL/TLS Avanzada (Opcional)

Si bien Certbot se encarga de gran parte de la configuración básica, es posible que desees ajustar tus configuraciones SSL/TLS para una mayor seguridad o rendimiento.

5.1 Versiones del Protocolo SSL

Es una buena práctica deshabilitar versiones de protocolo SSL/TLS antiguas e inseguras como SSLv2 y SSLv3, y también TLSv1.0 y TLSv1.1. Los navegadores y servidores modernos admiten TLSv1.2 y TLSv1.3.

Agrega o modifica la directiva ssl_protocols en tu bloque server (dentro de la configuración 443 ssl):

ssl_protocols TLSv1.2 TLSv1.3;

5.2 Conjuntos de Cifrados (Cipher Suites)

Los conjuntos de cifrados determinan los algoritmos de cifrado utilizados para la conexión SSL/TLS. Puedes especificar conjuntos de cifrados preferidos para asegurar un cifrado fuerte.

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers off;

Consejo: Puedes usar herramientas en línea como el Generador de Configuración SSL de Mozilla para generar configuraciones SSL recomendadas adaptadas a las capacidades de tu servidor.

5.3 HSTS (HTTP Strict Transport Security)

HSTS es una característica de seguridad que obliga a los navegadores a interactuar con tu sitio web solo a través de HTTPS. Una vez que un navegador ha visitado tu sitio con HSTS habilitado, utilizará automáticamente HTTPS para todas las visitas futuras, incluso si el usuario escribe http:// o hace clic en un enlace http://.

Para habilitar HSTS, agrega lo siguiente a tu bloque server que escucha en el puerto 443:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
  • max-age=31536000: Establece la duración durante la cual el navegador debe recordar usar solo HTTPS (31,536,000 segundos = 1 año).
  • includeSubDomains: Aplica la política HSTS a todos los subdominios.

Advertencia: Habilita HSTS con precaución. Una vez establecido, puede ser difícil revertirlo. Comienza con un valor max-age corto (por ejemplo, 1 hora) durante las pruebas. Asegúrate de que tu HTTPS funcione perfectamente antes de establecer un max-age largo.

6. Solución de Problemas Comunes

  • Certbot no logra verificar el dominio:
    • Asegúrate de que los registros DNS de tu dominio apunten correctamente a la dirección IP de tu servidor.
    • Verifica que Nginx esté en funcionamiento y sea accesible por HTTP en el puerto 80.
    • Comprueba las reglas del firewall para asegurarte de que el puerto 80 esté abierto.
  • Nginx falla al recargar:
    • Ejecuta sudo nginx -t para identificar errores de sintaxis en tus archivos de configuración.
    • Comprueba los registros de errores de Nginx (/var/log/nginx/error.log).
  • El sitio web no es accesible a través de HTTPS:
    • Asegúrate de que el puerto 443 esté abierto en tu firewall.
    • Verifica que la directiva listen 443 ssl; esté presente y sea correcta.
    • Comprueba que las rutas a ssl_certificate y ssl_certificate_key sean exactas.

Conclusión

Asegurar tu servidor Nginx con HTTPS es un paso crucial para construir una presencia en línea confiable y segura. Siguiendo esta guía, has aprendido a obtener y configurar certificados SSL/TLS, automatizar renovaciones e implementar mejoras de seguridad básicas. Revisar regularmente tu configuración SSL/TLS y mantener actualizado el software de tu servidor son prácticas esenciales para mantener una seguridad robusta.

Implementar HTTPS es un paso significativo en la administración moderna de servidores web. No solo protege los datos de tus usuarios, sino que también impacta positivamente la reputación de tu sitio y su visibilidad en los motores de búsqueda. Continúa explorando configuraciones avanzadas de Nginx y mejores prácticas de seguridad para mejorar aún más el rendimiento y la resiliencia de tu servidor.