¿Por qué hay que migrar de HTTP a HTTPS? Todas las claves del cambio de Google Chrome

En unas semanas, cuando visites una página web y empieces a introducir datos personales en algún campo, el navegadorGoogle Chrome te alertará de que se trata de un sitio “No Seguro” (especialmente, si éste incluye formularios, contraseñas u otros datos de información confidencial y que, por tanto, requieran de la máxima seguridad). Y todo por una ‘s’, sí.

Desde octubre, el navegador mostrará este mensaje de advertencia en tres situaciones:

• cada vez que un usuario entre en una página https y no httpsS
• cuando se introduzcan datos personales, ya sea para el envío de un formulario o para efectuar una compra a través de un e-commerce
• cuando un usuario visite una página https en modo incógnito

Aquí tenemos la ‘s’ en cuestión. Con el protocolo de conexión httpsS, Google introduce un factor de seguridad en el proceso. En la práctica, este elemento adicional de protección se traduce en: a) mayor encriptación del tráfico; b) mayor nivel de protección de todos los datos personales enviados durante la conexión; c) más control ante amenazas y ataques de phishing (la suplantación de servicios o sitios webs mediante un “anzuelo” reconocido por el usuario para acceder, por ejemplo, a su información financiera).

Para llegar a esta modificación en su versión 62, Chrome ya experimentó en su versión 56 (enero 2017) una disminución de hasta el 23% en la fracción de navegaciones a páginas https. Este estudio se efectuó mediante la identificación de los sitios web https con datos personales como “No Seguro” en la barra de navegación.

Tipos de certificados SSL para la migración a httpss

Según un reciente estudio de la cadena estadounidense CBS, en 2019 los costes mundiales por delitos cibernéticos podrían acercarse a los 2 billones de dólares. Ante este escenario, resulta lógico la puesta en práctica de mayor seguridad online por parte de Google (más aún si se calcula que el 70% de los usuarios de Chroma omite las advertencias de seguridad emitidas por el buscador).

Es en este contexto, donde los certificados SSL adquieren una relevancia absoluta. Con sus datos clave, pública para encriptar (o bloquear) y privada para descifrar (o desbloquear) son la herramienta imprescindible para mantener nuestra información segura. Empecemos.

Gratuito

El certificado SSL desarrollado por la plataforma Let’s Encrypt ofrece un tipo de cifrado básico, con la consiguiente inexistencia de las ventajas (y seguridades) ofrecidas por los servicios de cifrado pago. Permite introducir nuestro sitio web al protocolo de seguridad httpsS con menor coste económico, cierto, pero también se ven deteriorados otros elementos fundamentales para la seguridad de nuestra página como la validez del certificado, la velocidad de emisión o la inexistencia de personal para facilitar asistencia técnica. ¿Los motivos? Muchos de los procesos son efectuados automáticamente y sin ningún tipo de verificación. A todo ello, hay que añadir problemas de compatibilidad en muchos de los navegadores móviles y de web.

Estándar o Dominio único

También conocidos como certificados SSL de nombre único protegen, como indica su nombre, un único dominio. Esto es, funcionan en un único proyecto web, pero no así para los subdominios. Por ejemplo: Sería correcto para www.avidalia.com, pero no si buscamos proteger también un blog bajo el dominio blog.avidalia.com.

Wildcard

A diferencias de los certificados estándar, los certificados SSL de Wildcard permiten cubrir, de manera ilimitada, todos los subdominios bajo un único dominio matriz.

EV (Extended Validation) o Validación ampliada

Los certificados SSL extendidos son considerados la opción que mayor seguridad proporciona al sitio web (y la que recomendamos en Avidalia), puesto que para su obtención es necesario aprobar diversas validaciones de seguridad. Para tal fin, no sólo se analiza el derecho del solicitante al uso del dominio, sino que también se certifican requisitos tales como la existencia real de la empresa o inclusión de la misma en los registros oficiales.

IDN (Internationalized Domained Name)

Como se indica en sus siglas en inglés, se trata de aquellos dominios que contienen alguna grafía de un idioma concreto, como cirílico o japonés. Por ejemplo: En el caso del español, quedarían incluidos todos los dominios que contuviesen la letra ´ñ´. En su contra, no suelen permitir el uso de cuentas de correo electrónico asociadas a lo mismo.

Cambiemos, pero tengamos presente que…

Lo hemos dicho al principio de este artículo. Es solo una ‘s’ sí, pero el cambio de https a httpsS implica llevar a cabo una migración por completo, casi como si se tratase de un cambio de dominio absoluto. Repasemos las principales modificaciones.

En el sitio web

• Redirección 301 de todas las urls desde https a httpsS.
• Cambiar todos los enlaces internos desde https a httpsS.
• Adaptación de urls canonicals.
• Recursos del sitio web, como CSS, JS, imágenes…, también hay que adaptarlos.
• Adaptación del sitemap y robots.txt.
• Limpieza de cachés.

Fuera del sitio web

• Cambiar los enlaces externos desde https a httpsS (en la medida de lo posible)
• Modificar los enlaces en todos los perfiles sociales
• No nos olvidemos de Google Analytics (y de otras herramientas de terceros semejantes). Hay que cambiar la configuración.
• Tampoco pasemos por alto Google Search Console (Web Masters Tools). Requiere un nuevo perfil.
• También habrá que realizar cambios en las diferentes plataformas de publicidad online.

¡Hemos hecho el cambio! ¿Y ahora?

Primero mantener la calma. Los cambios siempre tienen su proceso de adaptación. Estas son algunas de las novedades que podemos encontrar:

• Con el cambio se pueden perder entre un 10-30% de posiciones y tráfico. Sin embargo, si la mudanza de https a httpsS se ha realizado correctamente, deben recuperarse en un plazo aproximado de dos meses.
• También se perderán los contadores de RRSS.

¿Cuánto tiempo se necesita?

Los tiempos de emisión de los diferentes tipos de certificados son:

• Certificado de validación del dominio: 24/48 horas, en función del proveedor de su sitio web.
• Certificado tipo business y posteriores: En este tipo de certificados el plazo puede ampliarse hasta el mes y medio, tras la solicitud de la emisión.
• Certificado gratuito: En un plazo máximo de 48 horas, según el proveedor de alojamiento.

“I still don’t know what I was waiting for and my time was running wild”, cantará siempre David Bowie. Pero si nos estás leyendo sí que sabes que estás esperando al cambio de https a httpsS y que este será a partir de octubre. En Avidalia te ayudamos con el proceso. ¡Contáctanos!