ISOC.do, internet es para todos
Estandares abiertos Noticias Webinar

Entrenamientos : Mejoras en servidores Web y Estándares Abiertos en Rep. Dominicana

por |Publicada

15 de junio de 2020. Osvaldo Larancuent comparte articulo sobre los entrenamientos para la mejora de servidores web, aplicando estandares abiertos (OSE) que promueve Internet Society.

Mejoras en servidores Web y Estándares Abiertos en Rep. Dominicana
por Osvaldo Larancuent

En las capacitaciones de Internet Society se impartieron diferentes programas: cifrado, estándares abiertos, dando forma a internet, redes comunitarias, entre otros.

El plan estratégico 2020 de Internet Society está concentrado en crear una Internet más grande para todas las personas.

En el curso sobre estándares abiertos, los objetivos perseguidos fueron:

Alcance

  • Construir y desplegar servidores de referencia
  • Documentar nuestro trabajo
    • Explorar cómo configuramos los servidores con herramientas de verificación:
      • Verificador de cumplimiento con estándares abiertos: https://internet.nl/
        • Disponibilidad:
          • IPv6
          • HTTP/2
        • Seguridad
          • DNSSEC
          • TLS 1.2+ (SSL/HTTPS)
  • Promover la documentación colaborativa
    • Compartir la documentación para que las personas puedan aprender como configurar sus servidores web, para lo cuál fue creado en GitHub, un sitio de Internet Society con estos fines:
      • https://github.com/internetsociety/ose-documentation
  • Liderar con el ejemplo
    • Configurar tantos sitios de Internet Society como sea posible
      • Lograr que los sitios de la organización, los capítulos y SIG todos cumplan con los requerimientos.

Antes que nada visitamos el sitio https://internet.nl/, para verificar nuestros niveles de cumplimiento con los estándares abiertos, alojados en Godaddy.

Resultados de pruebas: 45%

Situación del sitio isoc-rd.org.do, previo a aplicar estándares abiertos.

Esto nos llevó a acceder a los servicios de Godaddy, para intentar acceder al servidor web Apache.  Pero dado que es un hospedaje de alcance limitado, y no nos permite configurarlo.  Desistimos.  Lo mejor sería en el futuro contratar nuestro propio servidor web, de algún proveedor en la nube como Amazon, Microsoft, Google, entre otros.  Pero tiene costo, así que buscamos otras opciones.

Decidimos evaluar varios servicios de Red de Distribución de Contenido (CDN).

  • Akamai.
  • Cloudflare.
  • Amazon.
  • Google.

Nos decidimos por  CloudFlare, por que brinda servicios gratuitos, y prácticamente incluye los diferentes requerimientos de estándares abiertos, para garantizar disponibilidad, velocidad y seguridad.   Dado que manteniendo nuestro sitio alojado en Godaddy, podríamos habilitar este intermediario.  Otras opciones tienen costo, pero para nuestros objetivos, eran satisfactorios estas ventajas.

Para lo cuál seguimos los siguientes pasos:

  • Creamos la cuenta
  • Agregamos el sitio web
  • Verificación de los registros DNS para controlar el sitio web:
    • Requirió que agregáramos servidor de nombres de dominio recomendados por CloudFlare:
      • Para ellos tuvimos que acceder al registro en NIC.DO, y acceder a las herramientas administrativas
      • Acceder a la zona de dominios, y sustituir los servidores de nombres
    • No detectó los registros MX de DNS, que controlan los correos electrónicos:
      • Debimos obtener estos nombres de las zonas DNS de NIC.DO
      • Editamos los registros DNS en CloudFlare para incluir los registros MX.
    • Someter a CloudFlare para que activara el servicio.
      • Esto demora entre una y 24 horas, y es notificado por email.

Regresamos a la herramienta https://internet.nl/, y la ejecutamos:

  • La mejoría fue importante, aumentamos a un 55% de cumplimiento.

Luego, procedimos a verificar la gestión de la seguridad y algoritmos criptográficos, en la opción TLS/SSL del tablero de control (dashboard) de CloudFlare, que tiene varias pestañas:

  • Overview:
    • Un lindo grafico nos muestra las modalidades activas.
      • Seleccionamos la opción de Full Encryption.
        • La otra opción Strict Full Scription, deseable, requiere tener control del servidor web
  • Edge Certificates:
    • Activamos la opción de Siempre HTTPS
    • Modificamos la configuración de HSTS
      • Activamos todas las opciones
      • Y en la sección de envejecimiento de encabezados, activamos la opción recomendada de 6 meses+
    • En la versión Mínima de TLS
      • Seleccionamos la opción 1.2
    • Desactivamos la opción TLS 1.3

Finalmente, seleccionamos del dashboard, la opción de configuración de red:

  • Activamos todas las opciones posibles relacionadas a IPv6
  • También seudo IPv4, seleccionamos la opción "Add Header"

Fue cuanto.

Conclusiones

Con estos cambios, pudimos mejorar el cumplimiento con los Estándares Abiertos, hasta alcanzar un 70%.  Una mejora sustancial:

Resultados en los niveles de cumplimiento del sitio web, al adoptar estándares abiertos promovidos por IETF e Internet Society.

Alcanzar el 100% requiere de de otros recursos:

  • Que NIC.DO cumpla con el estándar DNSSEC.  Al investigar, informaron que aunque lo tienen en planes de este 2020, no han podido iniciarlo por diferentes causas entendibles.
  • Orden de algoritmos de cifrado.  Para establecer el orden preferido debe contratarse el servicio empresarial de CloudFlare, o tener su propio servidor web.
  • Control de encabezados DNS X-Frame.  ara establecer el orden preferido debe contratarse el servicio empresarial de CloudFlare activando la funcionaldidad Workers.

Al hacer mediciones en velocidad para acceder a los recursos, el desempeño mejoró notablemente.

El ejercicio fue muy aleccionador.  Luego visité otros lugares en la web, de referencia local en la República Dominicana, y veo que no cumplen.  Quizás en el futuro el CApítulo Internet Society de la República Dominicana, desarrolle un observatorio, que ponga en aviso a estas entidades, para que adopten los estándares abiertos.

Asimismo, con el proyecto IXP que se viene desarrollando algunos de estos estándares, serán adoptados con mayor profundidad, para mejorar el internet en la República Dominicana.

 

Capitulo Republica Dominicana de la Internet Society
ISOC-DO
http://isoc.do

También te puede interesar

ISOC-DO
Publicada

ISOC-DO en desacuerdo con iniciativa legislativa en Honduras para regular Actos de Odio y Discriminación en Redes Sociales e Internet

El Comité Directivo del capítulo de la Internet Society de la República Dominicana se une a voces disidentes sobre el proyecto de ley que regula los Actos de Odio y Discriminación en Redes Sociales e Internet; pues entra en conflicto con los Principios de la Internet de la República Dominicana aprobados luego de un proceso de reflexión, consulta y consenso con el sector público, privado, sociedad civil, académicos, entre otros.

isoc-do
Publicada

ISOC-DO anuncia firma de acuerdo de colaboración con Gobierno Dominicano

7 de julio de 2020. El capítulo Internet Society de la República Dominicana (isoc.do), anunció la firma acuerdo de colaboración con el gobierno dominicana para la adopción de programas de políticas públicas digitales para reducir la brecha digital promoviendo la inclusión digital; el respeto de los principios digitales y el logro de la agenda 2030 de Desarrollo Sostenible; así como otros afines o complementarios; distribuidas entre diferentes áreas de interés.