Es imposible ignorar el HTTPS. Sea cual sea el nivel de uso del portal web (amateur iniciado, internauta apasionado, bloguero en el tiempo libre o profesional en el mundo digital), ya has debido encontrarte con este protocolo de seguridad de sitios de internet, y no exclusivamente viendo estas cinco letras al inicio de la barra de dirección de tu explorador web.
Es tan importante interesarse de cerca por el HTTPS que hasta Google lo ha establecido como un criterio clave en su algoritmo de posicionamiento web en su explorador Chrome. En 2014, el gigante de internet había anunciado las ventajas para los portales protegidos con el protocolo HTTPS, motivando así a los webmasters para que protegieran sus conexiones. Tres años más tarde, los números hablan por sí mismos: el 66% de los portales web están en HTTPS en Windows, el 64% del tráfico es seguro en Android y más del 75% en ChromeOS. Además, 71 de los portales mejor posicionados en SERP de Google contaban con el protocolo HTTPS a finales de 2017, frente a los escasos 37 en 2016 (fuente).
Por supuesto, Google no está solo en esta causa. Otros factores han jugado un papel importante en esta transformación de un universo digital salvaje en un mundo más civilizado: iniciativas que facilitan el acceso al HTTPS, medidas idóneas tomadas por los exploradores web, etc. Por todo esto, nos disponemos a responder a tres preguntas fundamentales: ¿Qué es exactamente el HTTPS? ¿Es necesario para reforzar los efectos del posicionamiento web natural? ¿Cómo organizar esta migración hacia el protocolo HTTPS?
¿Qué es el HTTPS?
EL PROTOCOLO HTTP
Para entender correctamente qué es el HTTPS, es necesario ir a su origen: el HTTP (abreviación de HyperText Transfer Protocol o “protocolo de transferencia de hipertexto”) es un protocolo de comunicación especialmente concebido para internet. Hace posible los intercambios entre el servidor y el cliente, por ejemplo, entre un portal web y un navegador.
El problema de HTTP es que estos intercambios son accesibles a todo el mundo, es decir, no están encriptados y, por lo tanto, no hay confidencialidad. Técnicamente, cualquiera puede entrar en la comunicación y recoger la información que circula, como si alguien escuchara una conversación telefónica.
En la mayoría de los casos, no es tan grave: si lees un artículo en el portal de un periódico, no intercambias datos personales susceptibles de usos inadecuados. Sin embargo, las cosas se vuelven más complicadas cuando te conectas al portal web de tu banco: si alguien mete mano en tu información (por ejemplo, tu número de cuenta o tus códigos de acceso), las consecuencias pueden ser severas.
El defecto principal del protocolo HTTP es, por lo tanto, su ausencia de seguridad, y es ahí donde entra en juego el HTTPS.
EL PROTOCOLO HTTPS
El protocolo HTTPS (HyperText Transfer Protocol Secure) ha sido concebido para combatir los problemas de seguridad de su hermano mayor.
El HTTPS, en realidad, solo es un protocolo HTTP al que se le ha añadido una capa de seguridad llamada TLS (Transport Layer Security). Esta capa actúa como una llave de cifrado que encripta los datos intercambiados entre el servidor y el cliente.
Pasar por un protocolo HTTPS permite:
- Proteger los datos que circulan entre el portal web y el explorador, de forma que nadie pueda recogerlos y utilizarlos indebidamente. La información intercambiada está encriptada y solo el servidor y el cliente conocen la llave de cifrado.
Es como si la conversación telefónica (siguiendo con el ejemplo utilizado anteriormente) utilizara un idioma único, conocido solamente por los interlocutores, lo que impide que el intruso entienda lo que sucede.
- Garantizar la identidad del portal web consultado, asegurando que es el que se muestra en la barra de dirección. Este punto es fundamental, ya que permite al internauta asegurarse de que se encuentra en el portal de su banco, por ejemplo, y no en una plataforma creada para la estafa.
¿CÓMO DISTINGUIR UN SITIO HTTPS Y OTRO SITIO HTTP?
Es muy simple: un portal seguro muestra, en su URL, las letras “HTTPS” en lugar del simple “HTTP”. En Chrome, estas letras aparecen en verde.
Otra prueba de seguridad: la presencia de un candado (verde o de otro color) cerca del URL. Se puede encontrar a la izquierda en Chrome, Firefox o Internet Explorer.
Podemos destacar que, haciendo clic sobre el candado (o sobre el icono que contiene una “i” en ciertos casos), puedes acceder a información relacionada con el tipo de certificado utilizado para la protección del portal web.
LOS CERTIFICADOS HTTPS
El protocolo HTTPS pasa por un certificado SSL (Secure Socket Layer) que permite “colocar” la capa TLS de seguridad. Este certificado electrónico se aplica al portal web para proteger los intercambios de datos asegurando su encriptado con la ayuda de una llave de cifrado asimétrico. Un portal protegido por un certificado SSL (o TLS) muestra el famoso candado que demuestra que es seguro.
Para ello, primero es necesario obtener el certificado: esto es lo que permite activar el protocolo adecuado. Hablamos indiferentemente del certificado SSL o TLS, pero hay que saber que el protocolo SSL actualmente ha sido reemplazado por el TLS, una versión más segura basada en el mismo principio. La expresión “certificado SSL” se ha mantenido para hablar de todos los certificados de encriptado que activan el HTTPS.
Existen varios tipos de certificados SSL, más o menos seguros:
- El certificado SSL gratuito (tipo Let’s Encrypt)
- El certificado de validación extendida (Extended SSL)
- El certificado de validación de la organización (Organization SSL)
- El certificado de validación del dominio (Domain SSL)
- El certificado multi-dominios (WildCard)
Estos certificados son facilitados por organismos específicos: las Autoridades de Certificación (AC), donde existen, de nuevo, varios tipos:
- Symantec
- GeoTrust
- GlobalSign
- Thawte
- Comodo (relacionado con OVH)
- RapidSSL
- Digicert
- AlphaSSL
- TrustProvider
El coste de un certificado de encriptado puede ir desde cero (gratis) hasta varios miles de euros. El precio varía según la fiabilidad del certificado, es decir, del nivel de verificación alcanzado antes de ser aplicado: esta verificación va desde un simple email enviado al cliente hasta una multitud de documentos requeridos. Además, también varía en función de la AC elegida.
¿Por qué pasarse al HTTPS?
Si te has hecho la pregunta sobre el interés de pasar tu portal web al protocolo HTTPS, aquí tienes, no solo una, sino dos buenas razones para hacerlo.
Por una parte, es una cuestión de seguridad. El HTTPS contribuye a hacer de la red un lugar más seguro para todo el mundo, tanto para profesionales como para internautas en general, ofreciendo una protección contra los ataques del interceptor. Desgraciadamente muy de moda, este tiene como objetivo interceptar las comunicaciones entre dos interlocutores digitales con el objetivo de recoger datos personales, todo ello sin que nos demos cuenta. Así, tus datos bancarios o códigos de acceso son robados por un pirata informático que podría usarlos de forma fraudulenta.
El HTTPS es la mejor forma de contrarrestar este defecto de seguridad. Por lo tanto, es crucial para profesionales que proponen portales web en los que circulan datos, ya sea rellenando un simple formulario, inscribiéndose para abrir una cuenta personal o realizando un pago para una compra online con una tarjeta de crédito. Es obvio que los portales no protegidos no son muy populares entre los internautas, que cada vez se preocupan más por la protección de sus datos.
Por otra parte, hay un aspecto SEO. En Google, se trabaja para que internet sea un terreno más seguro y, por lo tanto, no se limitan a incitar al HTTPS únicamente a las plataformas de riesgo (inicialmente, el protocolo fue inventado para proteger los portales de los bancos). En un futuro próximo, TODOS los portales web deberán mostrar orgullosamente las letras HTTPS.
La prueba: no contento con favorecer a las plataformas que cuentan con el protocolo HTTPS desde 2014 (ver el comunicado realizado sobre este tema), ¡Google tiene la intención de señalar progresivamente, en Chrome, los portales no protegidos! En otras palabras, se muestra claramente que el portal no es seguro, lo que tendrá un impacto negativo en la confianza de los internautas que lo visiten.
Estas son, por lo tanto, dos buenas razones para pasarse al HTTPS. Pero, antes de seguir, detengámonos un momento en el impacto que tiene en el posicionamiento web natural.
¿Cuál es el impacto del HTTPS en el SEO?
Empecemos por ver la cronología de los hechos:
- En 2014, Google anuncia que favorece a los portales que hayan activado el protocolo HTTPS a través de su algoritmo de posicionamiento. La mejora del posicionamiento en los resultados de búsqueda no es muy significante.
- En 2015, Google indica que el HTTPS juega un papel diferencial en caso de confrontación entre dos portales similares en los resultados de búsqueda. Si dos portales son casi idénticos en todo (palabras claves, frescura del contenido, velocidad de carga…), el algoritmo da prioridad, por defecto, al más seguro.
- Actualmente, el 40% de los resultados que se muestran en la primera página de Google están en HTTPS (fuente). La mejora es más notable, pero esto no explica todo: estos portales en la primera página de la SERP también son los que mejores estrategias SEO aplican, más allá de la seguridad.
En conclusión, hoy en día, el paso al HTTPS no es un trampolín en el SEO. Esto no quiere decir que los beneficios del HTTPS no sean interesantes, ya que la obtención de un buen certificado SSL puede tener un impacto indirecto en el posicionamiento web natural, especialmente:
- Influyendo en la elección de los internautas. Estos son susceptibles de elegir el portal en HTTPS antes que cualquier otro en HTTP, sobre todo si el objetivo es comprar algo. Cuantos más portales estén señalados como no seguros, mayor importancia tendrá para los comerciantes mostrar claramente su seguridad HTTPS.
- Jugando en el Ranking Google. Imagina que un internauta clica en un enlace de los SERP, se da cuenta de que el portal no es seguro y vuelve atrás para elegir otro. En este caso, Google percibe esta marcha atrás como una marca de insatisfacción que afectará al posicionamiento del portal en cuestión.
Dicho esto, es posible que, en el futuro, Google favorezca más y mejor a los portales seguros.
¿HAY QUE PASARSE AL HTTPS POR RAZONES DE SEO?
Concretamente, la respuesta es no. Una migración de tu portal web en HTTPS con el objetivo de aumentar meramente el SEO no es razonable. El impulso es tan insignificante que hace falta una gran lupa para ver la diferencia. Al menos, una cosa es clara: incluso si el efecto HTTPS existe, se mantiene muy lejos de los criterios más determinantes, que son los contenidos, el posicionamiento técnico y los backlinks. El SSL, por lo tanto, no es en absoluto una manera de impulsar tus portales web para que suban puestos en los SERP.
Sin embargo, hay muchas otras razones para hacerlo, tal y como hemos comentado anteriormente, tanto para proteger los intercambios con los internautas, como para mejorar la imagen de la marca. Esto concierne prioritariamente a los portales e-commerce, aunque no exclusivamente.
En el futuro, las alertas de seguridad serán enviadas por los exploradores a los internautas cuyos datos estén volando debido a un error de seguridad en un portal HTTP. ¿Imaginas por un instante lo que los internautas pensarían de tu portal web si esto te señala?
¿Cómo migrar tu portal del HTTP al HTTPS?
Debes saber que el paso del HTTP al protocolo HTTPS se asemeja a una migración web. Concretamente, se realiza así:
- 1. Compra (o pide) un certificado SSL e instálalo en tu portal web.
- 2. Modifica los URL internos para que todos los recursos sean facilitados en HTTPS.
- 3. Aplica redirecciones 301 de los URL HTTP hacia los URL HTTPS. Esto permite conservar el SEO (popularidad y tráfico) de tus páginas durante toda la migración. A continuación, ¡comprueba estos URLs!
- 4. Comprueba que tus URLs llevan a páginas HTTPS. Así, tendrás menos problemas por URLs duplicados.
- 5. Verifica que tus páginas HTTPS pueden ser indexadas.
- 6. Activa el mecanismo HSTS (HTTP Strict Transport Security) para informar al cliente de que las interacciones serán, desde este momento, realizadas a través de una conexión segura.
Una vez realizada la migración a HTTPS, piensa en realizar las últimas verificaciones:
- Programa un crawl para asegurarte de que no hay errores.
- Crea una nueva Search Console y sigue la indexación de las páginas en HTTPS, comparándola con la versión anterior.
- Verifica y corrige los URLs de los enlaces que llevan a tu portal web para que estén todos en HTTPS.
- Actualiza los plugins externos de tu CMS para asegurarte de su compatibilidad con el nuevo protocolo.
- Modifica los ajustes en Google Analytics para que la plataforma tenga en cuenta las páginas en HTTPS, especialmente con el objetivo de seguir la evolución del tráfico.
- Recupera los indicadores de interacciones sociales (Me gusta y Compartir) siguiendo estas instrucciones.
- Calcula el tiempo de carga de tus páginas en HTTPS. La migración puede venir acompañada de un ralentizado general, debido a negociaciones adicionales entre el servidor y el cliente.
En caso de problema, el rendimiento de tu portal web podría verse mejorado gracias al protocolo HTTP/2 una vez que la migración en HTTPS haya finalizado.
¿Qué tipo de certificado SSL elegir?
La cuestión sobre qué certificado elegir para pasarse al HTTPS y proteger las conexiones es inevitable, pero la respuesta depende de la naturaleza de tu portal web, así como de las necesidades en términos de seguridad… Para un portal lambda en el que no se usa ningún dato persona, un certificado SSL gratuito bastará sobradamente (tipo Let’s Encrypt). No necesitas más.
Para un portal web de empresa, es preferible optar por un certificado de validación de dominio (DV) o de organización (OV). Estos certificados pueden costar desde unas decenas de euros hasta algunos cientos cada año. La diferencia entre estos dos reside en la autentificación: el DV no permite identificar a quien solicita el certificado, al contrario que el OV, que es, por lo tanto, más seguro. Sin embargo, en este aspecto, debes ponerte en el lugar del internauta: ¿Harías clic en tu certificado para comprobar la autentificación? ¿Necesitas realmente esta protección adicional?
Para un portal e-commerce, las cosas cambian: debes asegurar la protección de tus clientes durante todo el proceso de compra. Aquí, se antoja imprescindible el certificado de validación extendida (EV), que muestra una barra verde en el explorador, lo que permite a los internautas saber inmediatamente que navegan en un portal con una protección óptima. Es perfecto para la imagen de la marca.
En cuanto a los certificados multi-dominios, se aplican para portales que necesitan certificar varios nombres de dominios.
En conclusión
La migración de un portal web al protocolo HTTPS no es una necesidad absoluta, sino una medida de protección y confianza. Instalar un certificado SSL en tu servidor no va a impulsar el SEO ni transformar tu portal web en una fortaleza impenetrable (el SSL encripta la conexión sin proteger el servidor o el explorador), pero permitirá que los internautas se sientan seguros cuando transmitan sus datos personales, ya sean códigos de acceso o datos bancarios. Cabe destacar que el 40% de los portales web en la primera página de resultados de Google cuenta con el protocolo HTTPS.
Un consejo: sea cual sea la solución elegida, el certificado deseado y la Autoridad de Certificación seleccionada no se encargan del proceso de migración web sin una meditación previa. Sobre todo, ¡tómate tu tiempo!
