Podcast #4: SSL, spam y postventa de Apple

Los temas a tratar en este podcast son

  • Certificados y SSL para Google
  • Listas negras de correo
  • Postventa de Apple

[showhide type=”transcripcion” more_text=”Ver transcripción(%s más palabras)” less_text=”Esconder transcripción (%s menos palabras)”]

Transcripción

Hola a todos, yo soy Eduardo, hoy es 10 de Diciembre de 2016 y este es el cuarto capítulo del podcast.

Este es el penúltimo capítulo del año, en cuatro días mal contados empieza el 2017 y Google ya nos ha dado las guías para el próximo año que por cierto es el año del gallo de fuego rojo en China y por lo que se ve el año del SSL en Internet.

—MUSICA—

Se ha hablado bastante de que Google va a penalizar a aquellas webs que no tengan un certificado, que Chrome va a sacar un aviso de seguridad a los usuarios si entran en una web que no tenga certificado o que la va a posicionar a la baja en su buscador si dicha web carece de certificado.

Google quiere un certificado, al menos para que su Chrome no avise, pero esto es bastante impreciso, lo que Google quiere realmente es un certificado en el que Chrome confíe, no vale con un certificado cualquiera, no vale con un certificado que generemos nosotros mismos.

Por ejemplo, si entráis en la Fábrica Nacional de Moneda y Timbre, que es la entidad que gestiona los certificados oficiales del Gobierno de España os daréis cuenta que tiene un certificado con una Autoridad Certificadora en la que Google no confía, lo cual significa que en Chrome sale que el sitio no es seguro y en España no hay certificados más válidos que estos pues son los que se usan con cualquier gestión con administración del Estado.

¿Google va a penalizar a la FNMT?, eso parece pues aunque tiene un certificado que es oficial es válido, sin embargo la Autoridad Certificadora no viene precargada en Chrome, así que el usuario que entre en su web con un Chrome va a desconfiar cuando entre a hacer cualquier gestión porque Chrome le dirá que el sitio es inseguro.

Imaginad la situación en la que un gobierno decide por ley que todos los navegadores tienen que aceptar sus certificados y que esos certificados sean bastante malos, en ese caso tendríamos un problema. Eso no ha pasado, pero la posibilidad ahí está.

Mientras el caso de la fnmt en la que el navegador nos diga que el certificado no es válido, pero el usuario tenga que saber que sí es válido independientemente de lo que diga el navegador sólo le suceda a unos pocos sitios no pasa gran cosa, el problema es que se generalice, y que el usuario se acostumbre a entrar en sitios con certificados que el navegador no reconozca, pero de momento no parece que así vaya a ser.

Volviendo al tema, lo que está claro es que a un gran número de usuarios les va a dar igual quien expedite el certificado siempre que se pueda ver el candadito verde en el navegador y por otro lado Google va a dar unos puntos extras de posicionamiento a aquellos que tengan el candadito verde, así que cualquier discusión fuera de esto a mi me parece un poco fuera de lugar para el caso que nos ocupa, así que vamos a centrarnos en certificados validos para Google, Chrome y básicamente el resto de navegadores.

—MUSICA—

HTTPS viene de HTTP Seguro y lo que hace es encriptar entre el navegador del usuario y el servidor donde está alojada la página web, para el usuario al final lo que representa es tranquilidad y confianza en el sitio que está visitando.

Para que tengamos https además de configurar la aplicación, cms o simplemente nuestra web para que funcione necesitamos instalar un certificado en el servidor. Hay muchísimos tipos de certificados: para un subdominio, un wildcard para todos los subdominios de un dominio, para varios dominios, etc.. cada uno con su precio por supuesto y luego tenemos las validaciones en función de lo que aseguran.

Domain validation que valida que el dominio es el que dice ser, Organization Validation que nos dice que además de ser el dominio que es esa web o persona existe y el extended validation, la pata negra de los certificados donde una persona se ha asegurado con sus ojos que el lugar donde está la empresa que tiene ese certificado está ahí físicamente y que no es un ente espiritual sino algo físico.

Como veis los certificados se caracterizan por lo que aseguran y como lo aseguran, no es lo mismo asegurar un dominio porque se ha validado un email, que asegura que una empresa existe en un país, está dada de alta en su país y que encima está donde dicen que está. Pues bien esa confianza se paga, y se paga en el coste del certificado y dependiendo del trabajo que haya llevado pues así cuesta, ni más ni menos.

¿Cómo se contrata un certificado? Pues es algo facilísimo, lo puedes contratar en tu hosting, en caso de neodigit en el lado izquierdo donde pone certificados, rellenas las datos, validas los datos y luego le das al botón instalar, o si lo traes de otro lado le das a importar y pegas las cadenas que te pida, es bastante sencillo y si tenéis cualquier problema llamáis por teléfono y ya está, no tiene mayor complejidad.

Ahora que nuestra web funcione con https depende de como esté hecha cada una, si queréis saber como se hace en un WordPress el martes en radiowordpress.com explicaré como hacerlo en el podcast, así que ahí tenéis una opción de aprendizaje muy interesante.

—MUSICA—

A veces te preguntan los clientes que cómo se cae en listas negras, están muy preocupados de poder explicar a sus clientes por qué ya no van a caer en listas negras al migrarse a servidores que administramos nosotros.

En listas negras se cae por 4 razones principalmente

  1. Web infectada
  2. Credenciales de correo robadas
  3. Envío voluntario de spam
  4. Incompetencia
  5. Otros

Que a un cliente le infecten la web por una vulnerabilidad le puede pasar a cualquiera, que le infecten un WordPress por no actualizarlo en dos años le pasa a todo el Mundo, es normal, así que aquí tenemos un trabajo de evangelización con los clientes importante, yo con mis clientes y ellos con lo suyos.

Aún así se pueden hacer muchas cosas cuando se infecta una web para que no mande spam, luego lo vemos.

Que un servidor de un cliente entre en listas negras por que le hayan robado unas credenciales también es trabajo de evangelización porque 1234 no es una password segura, y eso aunque parezca mentira hay gente que sigue sin entenderlo.

El envío voluntario de spam, sí sí, lo he dicho bien, envío voluntario de spam, con todas las letras se puede disfrazar de lo que quieran, pero cuando ves una cola de postfix en la que hay 15 direcciones @terra.es cuando hace años que terra.es no da servicio o direcciones @aol.com cuando en España hay muy muy pocos usuarios de @aol, yo personalmente sólo conozco a uno. Esto obviamente también es evitable.

Y por último incompetencia de todos, este es el problema más extendido por desgracia y no tiene por qué tener un culpable señalable, claro que no, puede ser debida a factores muy diversos.

Y luego podríamos dejar otros que serían aquellos servidores que caen en listas negras por otros factores.

En neodigit ganamos muchos cliente simplemente por el correo, el tener el correo atado ayuda muchísimo, mientras estaba preparando este audio me he revisado por encima la reputación de las máquinas que gestionamos y hay una que tiene mala reputación, una sola máquina y es por un robo de contraseña que cada vez que se le ha bloqueado esa cuenta y se ha informado al cliente debe de poner siempre la misma contraseña o se la deben de robar cada vez, ahí poco podemos hacer la verdad.

Mirad, cuando se roba una contraseña nosotros lo detectamos porque nadie es capaz de estar en una red de Orange y en una de Ucrania a la vez, es raro, por poder ser puede ser si usa onion routing, pero ya os digo que jamás me he encontrado un falso positivo.

Además si una persona normal manda 75 correos por hora, si alguien intenta mandar 500 tampoco es normal, ojo, ahora estamos en Navidad y os sorprendería la cantidad de felicitaciones de Navidad que es capaz de enviar la gente.

Una vez detectado lo que haces es cambiarle la contraseña, y ya no puede mandar más, y abrir un ticket indicando lo que ha pasado. Eso es algo que te va a quitar la mayoría de los casos, ahora, necesitas enterarte cuando eso pasa, así que ahí hay que tener una buena herramienta de monitorización.

En el caso que una web mande demasiados correos por una infección sabes que o ha robado una password, con lo que lo tienes cubierto con lo de antes o lo manda por phpmailer, el cual se puede limitar también y si usa una versión 5.4 o superior de php en la cabecera del correo va a venir el Script con el que se envía el correo, así que pillar el fichero infectado es bastante fácil, así que abres ticket y bloqueas correos por php. Si los correos los manda directamente la web sin pasar por servidor de correo o por phpmail pues puedes ser más creativo, pero aquí cada maestro tiene su librillo.

En el caso de envío voluntario de spam poco podemos hacer, lo único que le va limitar el límite de correos en postfix y el cliente tendrá que llamar y voluntariamente pedir que le subamos el límite y sabrá lo que está haciendo, será su responsabilidad, el 99% se echan atrás.

Y luego la incompetencia, si un cliente pide aumento de número de correos, le roban la contraseña y decide no cambiarla en 3 días, incluso sabiendolo, se merece estar en una lista negra.

Y si un cliente está en algún proveedor por ahí que no tiene monitorización de nada, no se limitan los correos y no se toma ninguna acción, el cliente no se lo merece, claro que no, pero ¿cómo no va a entrar en lista negra?, esto último es lo más común y por lo que nosotros en Neodigit ganamos muchos clientes.

—MUSICA—

Ahora me gustaría hablar un poco de algo que me ha fascinado esta semana.

He heredado un Iphone 6, y no se si lo sabéis, pero hay un bug en las baterías que hacen que el teléfono se apague, bueno, a lo que voy, el mío está afectado por ese bug.

Para solucionar esto te pones en contacto con el fabricante, vas a una de sus tiendas y te cambian la batería, vale perfecto, como lo tendría que hacer cualquiera, nada excepcional.

Si el teléfono hubiera sido de cualquier otra marca supongo que el fabricante habría pedido disculpas, me habrían cambiado la batería y yo me habría quedado con la idea de fíjate estos que la han pifiado con las baterías, vaya porquería de control de calidad.

Ahora, esto no le ha pasado a BQ, no no, le ha pasado a Apple, y aquí la cosa cambia, primero para ir a la tienda no puedes ir cuando a ti te venga bien, tienes que pedir hora, en mi caso lo hice vía chat con el soporte y me dieron hora para ir a cambiar la batería, no cuando a mi me venía bien, cuando había hueco.

Luego cuando llegas te miran el móvil, te sonrien y te hacen saber la suerte que tienes porque tu móvil es “elegible” para ser sustituida la batería, que suerte, soy un tipo muy afortunado, y luego te dicen que lamentablemente no tienen stock de baterías y que ya te avisarán para que vayas otro día. Recordemos que te habían dado hora para cambiarte la batería.

Por supuesto te dan un papel para entregar el próximo día diciendo que la batería son 65 euros, pero que te los descuentan, que no tienes que pagarlos, recordemos que es un fallo de fabricación, realmente no me hacen ningún favor, en todo caso soy yo quien les tendría que cobrar la gasolina y mi tiempo, pero este aprendizaje merece la pena.

Luego por supuesto cuando llegas a casa tienes varios mails de apple en el que te pasan encuestas de cómo te ha tratado cada empleado, a ver, los empleados hacen su trabajo, no dicen tonterías de per se como esa de “tu móvil es elegible para ser cambiada la batería”, nadie diría eso en Español, esa frase está aprendida y traducida directamente del inglés.

Bueno aceptamos como trabajan esta gente, pero lo grande es que la gente ahí era feliz, te dicen que te están haciendo un favor porque ellos han hecho algo mal, sí , con toda la cara, te sonríen mientras te lo dicen y se supone que tienes que dar las gracias.

¿Cómo lo hacen? me parece genial, es maravilloso. Imaginad que un cliente me llamase porque yo me hubiera equivocado al hacerle una migración de su correo y le falten la mitad de sus correos, o que no pueda usar su correo y que yo le diga, mira, llámame mejor mañana a las 14:25 y te podré atender, mientras espera, y que el cliente sonría sin insultarme.

A ver, no hay que ser negativos, hay otros fabricantes de teléfonos con los que me habría comido la batería, que hay de todo.

El problema es que los clientes nos hemos acostumbrado a aceptar cualquier porquería de servicio y cuando uno nos sonríe, aunque no de solución, nos vamos contentos, lo cual es lamentable, sobre todo nos vamos contentos si hemos pagado muchísimo dinero, es algo que no entiendo.

Perdonad el inciso, pero lo que consigue hacer esta gente me fascina, son como la guapa del instituto, que era guapa y además lo sabía, pues aquí igual.

—MUSICA—

[/showhide]

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *