¿Cómo verifico mi sitio para que muestre un cuadro verde en la barra de direcciones de Chrome?

26

¿Cómo hago que Google Chrome verifique mi sitio para que tenga el cuadro verde en la barra de direcciones? Sinceramente, no sé cómo hacer esto. Además, ¿tengo que pedirle a Google que lo verifique?

TwentyCharMax
fuente
77
¿Pregunta sobre el color verde que indica que el sitio tiene un certificado de seguridad de Verificación Extendida (EV) para HTTPS / SSL / TLS?
Stephen Ostermiller
@StephenOstermiller sí
TwentyCharMax
8
Tienes que pagar por esto.
Evorlor
12
Lets Encrypt ni siquiera ofrece certificados EV. Está en sus preguntas frecuentes: letsencrypt.org/docs/faq Solo ofrecen certificados de validación de dominio (DV).
Stephen Ostermiller
55
@ Alex NO, obtener un certificado de LetsEncrypt no le dará "el recuadro verde". Servir a su sitio web a través de HTTPS mostrará un bloqueo en la mayoría de los navegadores, pero "el cuadro verde" que muestra el nombre de su empresa solo se mostrará si posee un certificado EV, que LetsEncrypt no ofrece.
BlueCacti

Respuestas:

34

El 'recuadro verde' en la barra de direcciones de Chrome no tiene nada que ver con la verificación por parte de Google, como Stephen aludió en los comentarios sobre su pregunta, es una indicación de que su sitio tiene un certificado de seguridad de Verificación Extendida (EV).

La 'caja verde'

Este es generalmente un producto SSL 'premium' ofrecido por muchos proveedores de certificados SSL. Para obtener uno de estos certificados, el mejor lugar para comenzar es generalmente su proveedor de alojamiento web, que puede manejar todo el proceso de generar una solicitud de firma de certificado, comprar el certificado por usted e instalarlo. A veces es posible hacerlo usted mismo a través de su panel de control de alojamiento web, pero necesitará saber cómo hacerlo para hacerlo.

Si decide seguir el camino de hacerlo usted mismo, la mayoría de los proveedores de certificados de confianza deberían poder proporcionarle un certificado EV. Estas incluyen compañías como Comodo, Thawte, Verisign y muchas otras. Por lo general, también proporcionan instrucciones para la configuración en paneles de control de hosting populares.

Tim Malone
fuente
25
También es importante mencionar que los certificados EV no se emiten a individuos.
Michael Hampton
3
Un certificado EV solo se otorga a entidades legales después de que la CA haya verificado que se le permite comprar el certificado y que el dominio pertenece a la entidad legal. -> en.wikipedia.org/wiki/Extended_Validation_Certificate - Un Certificado de Validación Extendida (EV) es un certificado de clave pública que prueba la entidad legal que controla un sitio web o un paquete de software. La obtención de un certificado EV requiere la verificación de la identidad de la entidad solicitante por parte de una autoridad certificadora (CA).
BlueCacti
30

Como dijo Tim Malone, este es un tipo especial de certificado SSL que, por lo general, las autoridades certificadoras venden con una prima. La tarifa actual suele ser de al menos un par de cientos de dólares.

Lo que Tim no mencionó, y parte de la razón del precio elevado, es que hay una cierta cantidad de papeleo involucrado que debe ser enviado y verificado por la CA a la que le está comprando el certificado. Esta documentación generalmente incluye verificar que la empresa que solicita el certificado esté debidamente registrada en el estado o país, conseguir que un ejecutivo de la empresa firme la solicitud y posiblemente otras cosas. A diferencia de otros certificados, no puede simplemente comprarlo, hacer una verificación automática de cinco minutos y tener el certificado instalado en unas pocas horas como máximo. Estos certificados se denominan "Validación extendida"

D. Strout
fuente
15

Creo que esta pregunta merece un poco más de antecedentes ... Hay diferentes tipos de certificados SSL / TLS que puede emitir una Autoridad de certificación (CA), que básicamente actúa como un notario, certificando que el dominio al que está accediendo es realmente el sitio real, y está accediendo a él de forma segura.

Cuando accede a un sitio que usa HTTPS, el servidor del sitio enviará su certificado SSL / TLS y el navegador lo comprobará. Aparecerá un "candado verde" que significa que el certificado del sitio es válido (firmado por una CA) y que todo el contenido de la página y la conexión están encriptados. Un candado verde indica que en realidad está conectado al servidor real real utilizado por ese dominio.

El otro tipo de "bloqueo verde" tiene el nombre de la entidad comercial y es un certificado SSL / TLS de Validación Extendida (EV) que es válido. Solo las empresas pueden solicitar certificados EV, y estos implican un proceso de emisión más exhaustivo por parte de una Autoridad de Certificación (CA) que básicamente se asegura de que el sitio google.com sea propiedad de Google, Inc.

Vea la diferencia entre los dos: ingrese la descripción de la imagen aquí

A menudo, los sitios web estáticos que no son muy complejos, o que no almacenan contraseñas, o información confidencial realmente no necesitan (pero se los recomienda ) para encriptar su tráfico usando HTTPS y certificados SSL. Como se indicó en esa pregunta, el uso de HTTPS no solo asegura la conexión , sino que también proporciona autenticidad, lo cual es importante incluso para sitios estáticos simples.

Para sitios web personales, puede obtener un certificado SSL / TLS DV (Validación de dominio) normal. La forma de hacerlo depende de dónde esté alojado su sitio, pero lo esencial es que necesita crear una clave privada (2048 bits, por favor) y con ella crear un archivo de Solicitud de firma de certificado (domainame.csr) para enviar a CA para emitir / firmar un certificado. Después de tener el certificado público firmado por CA y su clave privada, le dice a su servidor web dónde están y, para usar SSL / TSL, los detalles varían según su configuración.

Puede usar startssl.com, para obtener un certificado SSL regular de forma gratuita, por cierto. HTH

protocolo desconocido
fuente
77
"A menudo, los sitios web estáticos que no son muy complejos, o que no almacenan contraseñas, o información confidencial realmente no necesitan encriptar su tráfico usando HTTPS y certificados SSL". La gente no está de acuerdo. También tenga en cuenta que HTTP / 2 no es compatible con cualquiera de los principales navegadores en modo no cifrado, así que si quieres HTTP / 2, usted tiene que hablar HTTPS.
un CVn
66
"A menudo, los sitios web estáticos que no son muy complejos, o que no almacenan contraseñas, o información confidencial realmente no necesitan encriptar su tráfico usando HTTPS y certificados SSL". Si no está encriptando cada fragmento de datos que llega a su servidor y me lo devuelve, realmente no necesito darle mi tráfico. Además, cualquier tipo de sitio web tendrá éxito en las clasificaciones de búsqueda si no usan HTTPS completo en todas partes. Además, hay un nuevo icono de barra de direcciones en Chrome que dice "No seguro" en rojo brillante con un triángulo de advertencia si el dominio no está ejecutando HTTPS. ---> i.imgur.com/ahR6dMg.png
dhaupin
1
@dhaupin Gracias. La próxima advertencia de "No seguro" es una novedad para mí, tendré que leer sobre eso. Pero incluso los sitios que usan certificados SSL no cifran todo su tráfico (contenido estático) ... diablos, este sitio no sirve todo usando https.
unknownprotocol
1
@ MichaelKjörling Sé que siempre es mejor servir HTTPS, pero para algunos sitios html de solo información, creo que a veces el proceso de obtener un certificado de problemas de CA es más complicado de lo que vale.
unknownprotocol
Es perfectamente posible usar Stack Exchange casi exclusivamente a través de HTTPS, actualmente exceptuando los sitios Meta específicos del sitio y las imágenes en línea en las publicaciones de los usuarios explícitamente a través de HTTP. Y el proceso para obtener un certificado DV SSL ciertamente no es laborioso, ni siquiera antes de Let's Encrypt. Los certificados EV son otro asunto, pero para muchos sitios, los certificados EV no agregan un valor significativo; HTTPS en lugar de HTTP de texto sin formato lo hace .
un CVn
5

Otras respuestas dicen cómo obtener el certificado, pero no mencionan que sus usuarios necesitan usar su sitio a través de HTTPS para ver la barra verde, incluso una vez que tenga el certificado instalado.

Si mostrar la verificación verde es importante para usted y su sitio, debe redirigir su sitio HTTP a su sitio HTTPS para que los usuarios siempre usen la versión HTTPS que tiene la validación.

Stephen Ostermiller
fuente
55
Y si es realmente importante, debe configurar HSTS junto con HTTPS.
un CVn
Una vez que comience con HTTPS, debe usar un encabezado HSTS para que los clientes que usan su sitio HTTP (inseguro) comiencen a usar automáticamente la versión HTTPS. Hay un buen sitio que mostrará qué encabezados falta o ha configurado incorrectamente: securityheaders.io
BlueCacti
1
@GroundZero Sí, debe usar HSTS. Pero no veo cómo esto se suma al alcance de la pregunta. HSTS no está relacionado con EV. La pregunta es sobre EV específicamente. También podría mencionar la precarga de HSTS en ese momento. O grapado OCSP. O clave de fijación. O esto o aquello, también. Y hay mucho más que debes hacer bien que solo configurar un par de encabezados.
Num Lock
-3

Si tiene habilitada una firma SSL, seguramente verá el ícono verde no solo en Google Chrome, sino también en Firefox. Intente obtener una integración HTTPS para su sitio web. Soy bastante nuevo aquí, así que aparentemente no puedo compartir ningún enlace por alguna razón. Sin embargo, puedes buscarlo en Google.

Mukul Sharma
fuente
Se necesita más que cualquier certificado SSL para obtener la barra verde. Se necesita específicamente un certificado de validación extendida (EV).
Stephen Ostermiller