¿Por qué hay que migrar de HTTP a HTTPS? Todas las claves del cambio de Google Chrome

En unas semanas, cuando visites una página web y empieces a introducir datos personales en algún campo, el navegador Google Chrome te alertará de que se trata de un sitio “No Seguro” (especialmente, si éste incluye formularios, contraseñas u otros datos de información confidencial y que, por tanto, requieran de la máxima seguridad). Y todo por una ‘s’, sí.

Pasar la web a https

Desde octubre, el navegador mostrará este mensaje de advertencia en tres situaciones:

  • cada vez que un usuario entre en una página HTTP y no HTTPS
  • cuando se introduzcan datos personales, ya sea para el envío de un formulario o para efectuar una compra a través de un e-commerce
  • cuando un usuario visite una página HTTP en modo incógnito

Aquí tenemos la ‘s’ en cuestión. Con el protocolo de conexión HTTPS, Google introduce un factor de seguridad en el proceso. En la práctica, este elemento adicional de protección se traduce en: a) mayor encriptación del tráfico; b) mayor nivel de protección de todos los datos personales enviados durante la conexión; c) más control ante amenazas y ataques de phishing (la suplantación de servicios o sitios webs mediante un “anzuelo” reconocido por el usuario para acceder, por ejemplo, a su información financiera).

Para llegar a esta modificación en su versión 62, Chrome ya experimentó en su versión 56 (enero 2017) una disminución de hasta el 23% en la fracción de navegaciones a páginas HTTP. Este estudio se efectuó mediante la identificación de los sitios web HTTP con datos personales como “No Seguro” en la barra de navegación.

Tipos de certificados SSL para la migración a HTTPS

Según un reciente estudio de la cadena estadounidense CBS, en 2019 los costes mundiales por delitos cibernéticos podrían acercarse a los 2 billones de dólares. Ante este escenario, resulta lógico la puesta en práctica de mayor seguridad online por parte de Google (más aún si se calcula que el 70% de los usuarios de Chroma omite las advertencias de seguridad emitidas por el buscador).

Es en este contexto, donde los certificados SSL adquieren una relevancia absoluta. Con sus datos clave, pública para encriptar (o bloquear) y privada para descifrar (o desbloquear) son la herramienta imprescindible para mantener nuestra información segura. Empecemos.

Gratuito

El certificado SSL desarrollado por la plataforma Let’s Encrypt ofrece un tipo de cifrado básico, con la consiguiente inexistencia de las ventajas (y seguridades) ofrecidas por los servicios de cifrado pago. Permite introducir nuestro sitio web al protocolo de seguridad HTTPS con menor coste económico, cierto, pero también se ven deteriorados otros elementos fundamentales para la seguridad de nuestra página como la validez del certificado, la velocidad de emisión o la inexistencia de personal para facilitar asistencia técnica. ¿Los motivos? Muchos de los procesos son efectuados automáticamente y sin ningún tipo de verificación. A todo ello, hay que añadir problemas de compatibilidad en muchos de los navegadores móviles y de web.

Estándar o Dominio único

También conocidos como certificados SSL de nombre único protegen, como indica su nombre, un único dominio. Esto es, funcionan en un único proyecto web, pero no así para los subdominios. Por ejemplo: Sería correcto para www.avidalia.com, pero no si buscamos proteger también un blog bajo el dominio blog.avidalia.com.

Wildcard

A diferencias de los certificados estándar, los certificados SSL de Wildcard permiten cubrir, de manera ilimitada, todos los subdominios bajo un único dominio matriz.

EV (Extended Validation) o Validación ampliada

Los certificados SSL extendidos son considerados la opción que mayor seguridad proporciona al sitio web (y la que recomendamos en Avidalia), puesto que para su obtención es necesario aprobar diversas validaciones de seguridad. Para tal fin, no sólo se analiza el derecho del solicitante al uso del dominio, sino que también se certifican requisitos tales como la existencia real de la empresa o inclusión de la misma en los registros oficiales.

IDN (Internationalized Domained Name)

Como se indica en sus siglas en inglés, se trata de aquellos dominios que contienen alguna grafía de un idioma concreto, como cirílico o japonés. Por ejemplo: En el caso del español, quedarían incluidos todos los dominios que contuviesen la letra ´ñ´. En su contra, no suelen permitir el uso de cuentas de correo electrónico asociadas a los mismo.

Cambiemos, pero tengamos presente que…

Lo hemos dicho al principio de este artículo. Es sólo una ‘s’ sí, pero el cambio de HTTP a HTTPS implica llevar a cabo una migración por completo, casi como si se tratase de un cambio de dominio absoluto. Repasemos las principales modificaciones.

En el sitio web

  • Redirección 301 de todas las urls desde HTTP a HTTPS.
  • Cambiar todos los enlaces internos desde HTTP a HTTPS.
  • Adaptación de urls canonicals.
  • Recursos del sitio web, como CSS, JS, imágenes…, también hay que adaptarlos.
  • Adaptación del sitemap y robots.txt.
  • Limpieza de cachés

Fuera del sitio web

  • Cambiar los enlaces externos desde HTTP a HTTPS (en la medida de lo posible)
  • Modificar los enlaces en todos los perfiles sociales
  • No nos olvidemos de Google Analytics (y de otras herramientas de terceros semejantes). Hay que cambiar la configuración.
  • Tampoco pasemos por alto Google Search Console (Web Masters Tools). Requiere un nuevo perfil.
  • También habrá que realizar cambios en las diferentes plataformas de publicidad online.

¡Hemos hecho el cambio! ¿Y ahora?

Primero mantener la calma. Los cambios siempre tienen su proceso de adaptación. Estas son algunas de las novedades que podemos encontrar:

  • Con el cambio se pueden perder entre un 10-30% de posiciones y tráfico. Sin embargo, si la mudanza de HTTP a HTTPS se ha realizado correctamente, deben recuperarse en un plazo aproximado de dos meses.
  • También se perderán los contadores de RRSS.

¿Cuánto tiempo se necesita?

Los tiempos de emisión de los diferentes tipos de certificados son:

  • Certificado de validación del dominio: 24/48 horas, en función del proveedor de su sitio web.
  • Certificado tipo business y posteriores: En este tipo de certificados el plazo puede ampliarse hasta el mes y medio, tras la solicitud de la emisión.
  • Certificado gratuito: En un plazo máximo de 48 horas, según el proveedor de alojamiento.

I still don’t know what I was waiting for and my time was running wild”, cantará siempre David Bowie. Pero si nos estás leyendo sí que sabes que estás esperando al cambio de HTTP a HTTPS y que éste será a partir de octubre. En Avidalia te ayudamos con el proceso. ¡Contáctanos!

Esta entrada fue publicada en Diseño Web, SEO. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Importante: Utilizamos cookies propias y de terceros para mejorar nuestros servicios. Si continúa navegando más de 30 segundos, consideramos que acepta su uso. Puede obtener más información en nuestra Política de cookies.