HTTPS

El Protocolo de Transferencia de Hipertexto Seguro o simplemente HTTPS, es una versión muy avanzada y segura de HTTP. Es el protocolo de aplicación a través del cual se produce toda la comunicación de datos en la web de forma segura

Desde 2014el cifrado HTTPS se ha convertido en uno de los factores de clasificación de Google y Cromo ha marcado todos los sitios web HTTP como inseguros desde julio de 2018

Ahora, otros motores como Mozilla, Safari e incluso Microsoft Edge han seguido su ejemplo. Esto implica que cada vez que acceda a un sitio web no HTTPS a través de uno de los navegadores más populares, recibirá la advertencia correspondiente.

Esta es una de las principales razones por las que definitivamente debe leer este artículo para saber más sobre lo que es HTTPS y cómo cambiar de HTTP a HTTPS.

Capítulo 1: ¿Qué es el HTTPS?

El primer objetivo de este artículo es comprender mejor el concepto de HTTPS. Para ello, abordaremos los siguientes puntos esenciales

1.1) ¿Cuál es la historia del protocolo HTTPS?

El protocolo HTTP es el protocolo de comunicación básico que los clientes y los servidores deben implementar para garantizar la comunicación

Los trabajos sobre el protocolo, así como sobre el Lenguaje de Marcado de Hipertexto (HTML), comenzaron en 1989 por Sir Tim Berners-Lee y su equipo en el CERN.

Fuente fun-mooc

La primera versión oficial del protocolo (HTTP 1.0) se publicó en 1996, seguida en breve por la versión actualmente más adoptada (HTTP 1.1) en 1997.

El protocolo HTTP transfiere la información entre el navegador y el servidor en texto claro, lo que permite a la red, por la que pasa la información, ver los datos transmitidos

Sin embargo, existe un problema con la seguridad de los datos en línea. Aquí se introdujo el HTTPS, que permite al cliente y al servidor:

• Primero establezca un canal de comunicación encriptado,
• A continuación, pase los mensajes HTTP en texto claro a través de él,
• Entonces, para protegerlos eficazmente contra las escuchas.

El canal encriptado se crea utilizando el protocolo Transport Layer Security (TLS), antes conocido como Secure Socket Layer (SSL)

Así, en torno a 1996 y 1997, obtuvimos la actual versión estable de Internet HTTP 1.1, con o sin SSL y TLS, que sigue alimentando la mayoría de los sitios web en la actualidad

Anteriormente, HTTP se utilizaba para el tráfico no sensible, por ejemplo, para leer las noticias. Y el HTTPS se utilizó para el tráfico sensible como el : Autenticación y comercio electrónico.

Sin embargo, el aumento de la atención a la privacidad significa que navegadores como Google Chrome marcan ahora los sitios web HTTP como no privados e introducirán advertencias para HTTP en el futuro.

La próxima actualización del protocolo HTTP – HTTP/2, que está siendo adoptada por un número creciente de sitios web, añade nuevas características para reducir la latencia y aumentar el rendimiento y la seguridad.

En HTTP 1.1, la conexión segura es opcional. Puede tener HTTP y/o HTTPS independientes el uno del otro. Mientras que en HTTP/2 es prácticamente obligatorio aunque el estándar define HTTP/2 con o sin TLS, la mayoría de los navegadores han declarado que sólo implementarán el soporte para HTTP/2 sobre TLS.

1.2 ¿Cómo funciona el HTTPS?

Al examinar HTTP y HTTPS, es importante tener en cuenta que HTTPS utiliza un protocolo de encriptación que actúa sobre la comunicación original para convertirla en una comunicación cifrada, es decir, segura.

El protocolo de seguridad de la capa de transporte (TLS), asegura las comunicaciones utilizando una infraestructura de clave pública asimétrica, que es una combinación de una clave pública y una clave privada.

La clave privada es gestionada por el propietario del sitio web y permanece privada como una contraseña. Reside en un servidor web y su función es descifrar la información que la clave de red pública ha cifrado.

La clave pública puede ser obtenida por cualquiera que desee intercambiar datos con el servidor de forma segura. Una vez que la información es encriptada por la clave pública, sólo se puede utilizar la clave privada para desencriptarla.

Cuando un usuario se conecta a una página web, la página envía al usuario su certificado de capa de conexión segura (SSL). Esto implica la presencia de la clave pública necesaria para iniciar una sesión segura

El cliente y el servidor, al interactuar entre sí, se someten a un proceso llamado handshake SSL o TLS

Consiste en varias comunicaciones que garantizan la seguridad de la conexión que ahora une al usuario con el servidor

Hay tres capas clave de protección que la Seguridad de la Capa de Transporte (TLS) y la Capa de Conexión Segura (SSL) ofrecen a los usuarios:

• Codificación

Dado que HTTP se diseñó originalmente para ser un protocolo transparente, es decir, sin encriptar, es fácil para un actor malintencionado espiar las conexiones y realizar ataques man-in-the-middle (MITM).

Con el cifrado SSL o TLS, HTTPS puede evitar que los datos sean interceptados por cualquier persona que no sea el cliente o el servidor.

Utilizando el enlace SSL / TLS y la clave pública, se puede establecer la comunicación en una sesión cifrada entre el cliente y el servidor utilizando una clave secreta.

• Autenticación

El certificado SSL o TLS de un sitio web tiene una clave pública, que es utilizada por el navegador web para garantizar que lo que se envía desde el servidor tiene una firma digital con la clave privada adecuada

Una vez que el certificado está firmado por una persona autorizada para autorizar la certificación de un servidor, el navegador asumirá que las credenciales rastreadas en ese certificado están indudablemente validadas.

• Integridad de los datos

Cuando se envía un documento a un navegador mediante un servidor HTTPS, éste tiene una firma digital que el navegador utiliza para indicar si ha sido alterado por un tercero o corrompido de alguna otra manera

El servidor genera un hash criptográfico del contenido del documento. Se incluye con el certificado digital. El navegador puede entonces resolver este hash, lo que demuestra que el documento es auténtico y no ha sido modificado.

1.¿En qué se diferencian HTTP y HTTPS?

HTTP y HTTPS ayudan a los usuarios de la web a transferir y recibir información a través de Internet. La diferencia más notable entre estos dos protocolos es el uso de TLS o SSL por parte del protocolo HTTPS.

Sin embargo, HTTPS, con su transferencia segura de información, es particularmente importante para los sitios que a menudo tratan con información sensible

Estos incluyen principalmente sitios de comercio electrónico donde los usuarios envían información de pago como

• Direcciones de facturación,
• Números de teléfono,
• Datos de la tarjeta de crédito,
• Etc,

HTTPS funciona con TLS o Secure Sockets Layer SSL para encriptar los datos sensibles, evitar la corrupción o alteración de los datos durante la transferencia y autenticar a determinados usuarios para que se comuniquen con el sitio web.

Esencialmente, HTTPS proporciona seguridad mediante la generación de claves de sesión a corto plazo para las transferencias de datos entre un usuario y el servidor del sitio web.

Podemos resumir la diferencia como sigue:

1.4. ¿Cuáles son los beneficios SEO de HTTPS?

Además de proporcionar una experiencia en línea segura para los visitantes del sitio web, la adopción de HTTPS tiene varios beneficios de SEO:

1.4.1. Aumente su clasificación

Google recomienda ahora que todos los sitios web utilicen conexiones HTTPS en lugar de HTTP estándar. En 2014el gigante de los motores de búsqueda anunció que su algoritmo consideraría ahora el HTTPS como una señal de clasificación positiva.

Sin embargo, como la mayoría de las señales de clasificación, es probable que la influencia de HTTPS por sí sola siga siendo bastante pequeña

Es importante considerar todas las señales de clasificación de forma colectiva para mejorar significativamente las clasificaciones.

1.4.2. Mejorar la precisión de los datos de referencia

Cuando se cambia de HTTPS a HTTP, se pierden automáticamente los datos de referencia que posteriormente encontrará en su informe de Analytics como tráfico directo. Esto es problemático porque le deja con datos de tráfico inexactos.

En el caso contrario, si se cambia a HTTPS, tanto si el sitio original es seguro como si no, la información de las referencias se conserva y aparecerá en Analytics con precisión.

1.5. ¿Cuáles son los retos de HTTPS?

A pesar de todas las ventajas que supone el cambio a HTTPS, también es importante tener en cuenta las posibles implicaciones que conlleva:

• Velocidad de carga de la página

Como el HTTPS requiere más comunicación entre los servidores, la velocidad de carga de las páginas puede disminuir

No sólo es un problema para la experiencia del usuario, sino que la velocidad de carga de la página es en realidad un factor de clasificación de Google.

Sin embargo, hay una serie de cosas que su agencia de SEO puede hacer para reducir la velocidad de carga de la página para mitigar los efectos.

• Fluctuaciones en la clasificación durante la migración del sitio

Google trata una migración de HTTP a HTTPS como un movimiento de sitio con un cambio de URL

Como resultado, puede experimentar fluctuaciones en las clasificaciones mientras Google vuelve a explorar y a indexar el sitio.

1.6. Tipos de certificados HTTPS

Existen varios tipos de certificados HTTPS que clasificaremos de la siguiente manera

1.6.1. Según la validación de la identidad

Dominio validado DV este es el tipo de certificado más común. Un certificado DV verifica que el dominio corresponde a una clave pública determinada. Se establece una conexión altamente segura entre el navegador. Esto se simboliza con un candado cerrado en su navegador

Cuando haga clic en el signo para ver un mensaje como «Este sitio web no proporciona información sobre la propiedad» se presentará. Un certificado DV simplemente garantiza que es la clave pública correcta para ese dominio.

Certificados de validación ampliada EV certificados: verifican la organización legal que hay detrás de un sitio web. Este es el tipo de certificado más fiable, obtenido después de que una autoridad de certificación haya verificado la entidad legal que controla el dominio

La entidad jurídica se verifica con una combinación de :

• Control del dominio como certificado DV,
• Registros comerciales del gobierno, para garantizar que la empresa está registrada y activa.

Organización validada (OV) al igual que los EV, los certificados OV verifican la organización legal que hay detrás de un sitio web. Sin embargo, a diferencia de los EV, los certificados HTTPS OV no muestran el nombre legal verificado en la interfaz de usuario

Como resultado, los certificados OV son menos populares, ya que tienen altos requisitos de validación, sin suficientes beneficios para los usuarios

1.6.2. Según el número de dominios cubiertos

En el pasado, los certificados HTTPS solían contener un único dominio en el campo CN. Más tarde, se añadió el campo «nombre alternativo del sujeto» (ASN) para permitir que se cubran dominios adicionales con un solo certificado

Hoy en día, todos los certificados HTTPS están diseñados de la misma manera. Incluso un certificado de un solo dominio tendrá una SAN para ese único dominio y una segunda SAN para la versión www de ese dominio

Sin embargo, muchos proveedores de certificados siguen vendiendo certificados HTTPS individuales y multidominio por razones históricas.

Dominio único este es el tipo de certificado más común, válido para example.com y www.example.com.

Múltiples dominios (UCC / SAN) dominio múltiple (UCC / SAN): Este tipo de certificado, también conocido como certificado de comunicaciones unificadas (UCC) o certificado de nombres alternativos del sujeto (SAN), puede cubrir una lista de dominios hasta un determinado límite

Es aconsejable utilizarlo con sitios web relacionados, ya que el cliente que inspeccione el certificado de uno de los sitios web verá el dominio principal, así como todos los demás.

Capítulo 2: Consejos para pasar de HTTP a HTTPS?

El cambio de HTTP a HTTPS puede parecer un poco complejo, por lo que le sugiero que siga los 5 pasos siguientes:

Paso 1. Elija un certificado SSL

Para que su sitio web pueda establecer una conexión encriptada, primero debe obtener un certificado TLS, más conocido como certificado SSL

El hecho es que después de una importante actualización, el certificado pasó a llamarse TLS, pero el antiguo nombre permaneció. El certificado es un pequeño archivo que contiene una clave de cifrado e información verificada sobre el propietario del sitio web

Dependiendo de la cantidad de datos que proporcione sobre la persona o empresa propietaria de un sitio web, puede obtener uno de los tres tipos de certificados.

Paso 2: Obtener e instalar un certificado SSL

Opción 1: Comprar a su proveedor de alojamiento

Una vez que haya decidido el tipo de certificado SSL que necesita, compruebe qué ofrece su proveedor de alojamiento. Si el precio es razonable, esta sería su mejor opción, ya que conseguirá hacer las cosas más rápido y más fácilmente

El procedimiento estándar para obtener e instalar un certificado SSL es el siguiente

• Usted elige el tipo de certificado que más le conviene,
• Usted genera una clave de cifrado privada y una solicitud de firma de certificado (CSR) de su proveedor de alojamiento,
• Usted solicita un certificado SSL al proveedor seleccionado. En este punto tendrá que cargar el archivo CSR que generó anteriormente,
• Una vez enviada la solicitud de firma de certificado, deberá pasar por el proceso de verificación, que variará en función del tipo de certificado (DV, OV, EV),
• Una vez completada la validación, podrá descargar su certificado SSL del sitio web de su proveedor y cargarlo en su servidor de alojamiento.

Como puede ver, las cosas se complican un poco, ya que hay que obtener los archivos de un proveedor de alojamiento y luego subirlos a un proveedor de certificados SSL, y viceversa

Si adquiere un certificado SSL directamente de su servicio de alojamiento, no habrá necesidad de realizar esos intercambios de archivos y podrá tachar algunas cosas de la lista.

En cualquier caso, póngase en contacto con su empresa de alojamiento para saber cómo pueden ayudarle a cambiar a HTTPS. Compruebe también si su plan de alojamiento incluye por casualidad un certificado SSL gratuito. Algunos proveedores ofrecen esta prestación

Opción 2: Comprar a la Autoridad de Certificación o a una tienda especializada

Si por alguna razón no puede obtener un certificado SSL de su proveedor de alojamiento, existe la opción de comprar uno directamente de una empresa que emita dichos certificados (Comodo, Symantec, Geotrust).

Opción 3: Conseguirlo gratis

Gracias a la Encriptemosiniciativa, también existe la opción de obtener un certificado SSL totalmente gratuito

Los certificados que emiten funcionan de la misma manera que los certificados de pago con una diferencia: sólo son válidos durante tres meses mientras que los certificados SSL normales duran un año

Por lo tanto, tendrá que renovar constantemente su certificado Let’s Encrypt. Además, sólo proporcionan la certificación DV

Después de instalar el SSL, tendrá que asegurarse de que funciona correctamente. Puede utilizar Prueba de servidor SSL para este fin

Comprobará si el certificado es válido, qué protocolo de encriptación se utiliza, la fuerza de la encriptación y calculará la puntuación global de su sitio web. La máxima puntuación posible es A+, y si obtiene una puntuación inferior, el servicio le mostrará el motivo.

Paso 3: Forzar el uso de HTTPS

Una vez que su certificado SSL haya sido instalado con éxito, su sitio web será accesible tanto a través de HTTP como de HTTPS. El problema surge con los motores de búsqueda, ya que se trata de dos sitios web distintos que pueden competir en la SERP

Para facilitar el acceso a su sitio a través de HTTPS, tendrá que configurar una redirección.

Con el tiempo, a medida que las páginas HTTPS de su sitio web sean indexadas, su versión HTTP desaparecerá de las SERP y el link juice se desplazará hacia la versión HTTPS de su sitio web

Ahora, hay una cosa que debe hacer antes de configurar cualquier redireccionamiento: Reemplazar todas las URLs absolutas de su sitio web por URLs relativas

E 3.1 Implementación de URLs relativas

En primer lugar, definamos qué son las URLs relativas y absolutas

Una URL absoluta contiene la dirección completa de una página, incluyendo el protocolo de conexión y el nombre del dominio. La mayoría de las URL que se ven en Internet son absolutas, por ejemplo https://twaino.com/blog/

Las URL relativas, en cambio, se utilizan para los enlaces internos. No especifican el protocolo de conexión y pueden contener o no el nombre del dominio, por ejemplo Twaino.com/blog/ o simplemente / blog

Si un sitio web utiliza enlaces relativos, el propio navegador añade el protocolo y el nombre de dominio que faltan a la dirección de la página web

Supone que un enlace relativo HTTPS en una página web debe apuntar a otra página del mismo sitio web que también funciona en HTTPS

Deberá sustituir todos los siguientes enlaces absolutos por enlaces relativos: Enlaces internos, rutas a la hoja de estilo, scripts, imágenes, vídeo

De lo contrario, notará que hay contenido duplicado en su sitio. Esto ocurre cuando algunos elementos de la página se cargan a través de la conexión segura HTTPS y otros a través del protocolo inseguro HTTP.

Estas páginas web son vulnerables a los ataques «man-in-the-middle» porque los elementos que se cargan a través de HTTP permiten a los hackers tomar el control de toda la página

Naturalmente, los navegadores marcan las páginas con contenido duplicado como inseguras. Debe estar muy seguro de que todos los recursos de su sitio web se cargan a través de HTTPS

Así que puede pasar horas arreglando los enlaces internos y reescribiendo las rutas de los archivos de imágenes, vídeos, scripts, etc. después de activar la redirección.

E 3.2. Configuración de redireccionamientos 301

Para redirigir a los usuarios y a los robots de búsqueda a su sitio web HTTPS, utilice la redirección 301 del lado del servidor. Indica a los navegadores que la página se reenvía permanentemente a una dirección diferente a la antigua

La configuración no suele ser la misma para los distintos tipos de servidores web. Si su sitio está alojado en un servidor que ejecuta Apache, es aún más fácil añadir una determinada línea de código a su archivo .htaccess

Puede encontrar el archivo en la carpeta raíz de su sitio web, pero tenga en cuenta que puede estar oculto. En este caso, tendrá que ir a la configuración del panel de administración y marcar la casilla »Mostrar archivo oculto»

Asegúrese de copiar el archivo antes de editarlo para tener una copia de seguridad en caso de problemas. Si no ha localizado el archivo, significa que su sitio web no lo tiene y tendrá que crearlo usted mismo con un editor de texto estándar.

Paso 4: Actualice su Search Console

Incluso después de configurar la redirección, sus páginas HTTP seguirán siendo clasificadas en Google. Para que sean sustituidas por las versiones HTTPS, estas últimas deben ser rastreadas e indexadas

Puede acelerar el proceso importando una versión actualizada de su mapa del sitio XML en Google Search Console. Antes de hacerlo, es posible que tenga que añadir su sitio web HTTPS a GSC

El hecho es que en febrero de 2019, Google lanzamiento de las propiedades del dominio para permitir a los administradores de sitios web analizar los datos del dominio

La propiedad del dominio es una URL sin protocolo (HTTP / HTTPS), prefijo www u otros subdominios ( soporte, ayuda, etc.)

Por lo tanto, si añade yoursite.com a GSC, obtendrá datos combinados sobre diferentes versiones de la dirección de su sitio web, incluyendo

• yoursite.com,
• www.yoursite.com,
• m.yoursite.com,
• www.m.yoursite.com,
• ayuda. yoursite.com,
• yoursite.com.es

Y docenas de otras posibles variantes con los protocolos HTTP y HTTPS. La única manera de crear una propiedad de dominio es pasar por la comprobación del registro DNS

Ahora, si ha configurado una propiedad de dominio en su SGC, empezará a recoger automáticamente los datos de las URLs HTTPS

Pero si su sitio web tiene un estado de propiedad de prefijo de URL, tendrá que añadir manualmente la variante HTTPS de su sitio web

De nuevo, tiene la opción de añadirlo como una propiedad de prefijo de URL o comprobar su propiedad a través de DNS y crear una propiedad de dominio para ver los datos agregados.

Paso 5: Buscar y corregir errores

Dado que implementamos las URLs relativas en el sitio web antes de forzar el HTTPS, no deberían producirse errores técnicos críticos después de configurar los redireccionamientos. Sin embargo, sería una buena práctica realizar una auditoría del sitio web y asegurarse de que todo funciona correctamente

Preste atención a las siguientes cuestiones

• Las páginas existentes deberían devolver el código de estado 200, inexistente 404,
• Las páginas HTTPS no deben ser bloqueadas por un archivo robots.txt o una etiqueta meta noindex. De lo contrario, Google no podrá rastrearlos e indexarlos,
• Las etiquetas rel = canonical y rel = Alternate, así como el atributo hreflang, deben apuntar a páginas HTTPS,
• Las páginas no deben devolver errores de contenido mixto, lo que significa que cada elemento de la página debe cargarse a través del protocolo HTTPS.

Para detectar fácilmente todos estos problemas, es necesario realizar una auditoría completa de su sitio web.

Conclusión

El cambio a HTTPS puede parecer una tarea muy desalentadora. Pero debe recordar que su clasificación y su tráfico están en juego

No puede permitirse el lujo de quedarse con HTTP, ya que comprometerá la seguridad de sus usuarios y perderá su confianza

Para evitar todo esto, hemos utilizado nuestros conocimientos para traerle todo lo que necesita saber sobre HTTPS