La seguridad online es cada vez más importante. Y una cosa que puedes hacer para proteger tu sitio web es pasarte a un hosting HTTPS.
Esto implica usar un certificado SSL, que son las siglas de Secure Sockets Layer (que en español se puede traducir como Capas de Puertos Seguros). Con este método, se crea una comunicación encriptada entre el ordenador que navega por el sitio web y el servidor en el que está alojado dicho sitio web.
En este post nos ocuparemos de sus aspectos básicos para que entiendas todo el proceso y puedas cambiar tu sitio web a HTTPS si lo deseas.
¿Por qué cambiar a HTTPS?
Como mencionábamos más arriba, HTTPS ofrece un método seguro para alojar tu sitio web. Se reconoce por el pequeño candado que se muestra en la barra de navegación, aunque también puede mostrarse como una barra de navegación completamente verde dependiendo del tipo de certificado que elijas, como veremos más adelante.
Pero más allá de las lógicas consideraciones de seguridad, Google anima cada vez más a los propietarios de sitios web a que protejan sus páginas, con la intención de hacer de Internet un espacio más seguro para los usuarios.
De hecho, la compañía ha declarado recientemente que HTTPS es un parámetro que se tiene en cuenta en sus ránkings. Esto significa básicamente que Google favorece en sus listas de resultados a los sitios web que adoptan el protocolo HTTPS.
Tipos de Certificado SSL
Hay numerosos tipos de Certificados SSL, y aunque todos funcionan usando los mismos principios, cada uno ofrece características diferentes. Este es un repaso a los más importantes:
- Domain SSL: es el tipo más popular de SSL. Se indica mediante un icono de candado en el navegador. El nombre del dominio solo aparece en la barra de navegación. De coste bajo y disposición inmediata. Sin papeleos ni esperas. Solo disponible para un solo dominio.
- Wildcard SSL: similar al Domain SSL pero también extensible a subdominios de ese dominio (no disponible para Extended SSL, como veremos más abajo).
- Organization SSL: más caro, requiere de verificación de la compañía y de la propiedad del dominio. Normalmente está listo en 1 o 2 días laborales. El icono de candado se muestra junto al nombre del dominio y el nombre de la compañía.
- Extended SSL: es el tipo más caro de SSL, que requiere de propiedad del dominio y de verificación de la compañía, así como otras verificaciones de tipo legal, físico y operacional. Normalmente listo en 3 o 4 días laborales. Muestra la validación correspondiente mediante una barra de navegación completamente verde, donde también se muestra el nombre de la compañía.
Ver nuestros servicios de registro de dominios.
Adquisición e instalación de un Certificado SSL
Para ser más breves, nos centraremos en la adquisición e instalación del Domain SSL, puesto que nuestra intención es hablar del cambio a HTTPS y no entrar a detallar los procedimientos del Organization SSL y el Extended SSL.
Y daremos por hecho que tu compañía de hosting creará la Solicitud de Firma de Certificado o Certificate Signing Request (CSR) y llevará a cabo la instalación del certificado.
Ver nuestros planes de web hosting (incluye certificado SSL gratuito)
Puedes adquirir un Certificado SSL con tu compañía de hosting. Tendrás que decidir si quieres un certificado con www. o sin www. Esto es simplemente cuestión de preferencias.
Una vez que hayas realizado el pedido, te llegará un correo en el que se te pedirá que confirmes que apruebas el Certificado. Este email solo puede enviarse a una de las direcciones de correo pre-autorizadas, es decir, no se puede enviar directamente a un correo personal. Hacemos mención a esto para que sepas que si no recibes este correo en tu buzón de entrada, debes consultar con tu compañía de hosting a qué dirección ha sido enviado el email.
Tu compañía de hosting te asignará entonces una dirección IP dedicada e instalará tu Certificado SSL por ti.
Haz una copia de seguridad de tu sitio web
Como medida de seguridad, antes de cambiarte a HTTPS te recomendamos que hagas una copia de seguridad completa de tu web.
Si tienes cPanel, puedes llevar a cabo este backup completo desde allí.
Este es un paso opcional y solo se da por si surge alguna incidencia, permitiendo restaurar entonces tus archivos desde la copia.
Configura enlaces duros (hard links) en tu sitio web
Como estás cambiando de HTTP a HTTPS, los links internos de tu web tienen que reflejar este cambio también o de lo contrario reportarán errores 404 (archivo no encontrado).
Si tienes un sitio web pequeño, puedes hacer esto manualmente o contratar a un diseñador o desarrollador para que lo haga por ti.
Sin embargo, si tienes un sitio web grande con cientos o miles de páginas, hay herramientas que te ayudarán a realizar esta tarea rápidamente.
Si usas WordPress, puedes optar por el plugin Velvet Blues Update URLs o el script de búsqueda y sustitución de Interconnectit.
Actualiza las librerías de herramientas y código
No hará falta aplicar esto a no ser que cuentes con un sitio web muy grande y complejo.
Si estás usando herramientas diferentes en tu sitio web para lograr funcionalidades extra, como JavaScript o Ajax, asegúrate de actualizarlas para que funcionen correctamente cuando se produzca el cambio a HTTPS.
Cambia cualquier link externo que esté bajo tu control
Si tienes web externas que apuntan a tu sitio (es decir, backlinks), deberías también cambiar los enlaces que estén bajo tu control para especificar HTTPS en vez de HTTP.
La mayor parte de estos no estarán bajo tu control, pero no te preocupes porque podrás hacer cambios posteriores para redireccionar al HTTPS cualquier tráfico que llegue por HTTP.
Implementa redireccionamientos 301
Un redireccionamiento 301 es un redireccionamiento permanente que puede configurarse en este caso para establecer que todo tráfico HTTP derive en el equivalente HTTPS.
Si no eres un experto profesional web, puedes dejar esta tarea a un desarrollador.
En función de tu servidor web, tendrás que configurar una instrucción sitewide. Estas son las opciones más comunes:
- Apache o LiteSpeed (reemplazo de Apache más ágil, que usa Pickaweb): actualiza el archivo htaccess
- NGinx: actualiza el archivo NGinx Config
- Windows Web Server: actualiza Internet Services Manager
Una vez que hayas hecho esto, puedes realizar las comprobaciones pertinentes mediante un SSL Scan Checker. Una herramienta de este tipo es Qualys SSL Lab, mientras que los usuarios de WordPress tienen a su disposición un plugin llamado WordPress SSL Insecure Content Fixer.
Actualiza la CDN
Una Red de Entrega de Contenidos o CDN por sus siglas en inglés es un conjunto de servidores geográficamente dispersos que aloja los archivos de tu web en servidores situados en todo el mundo, con la intención de presentar tu web mediante el servidor más cercano a la persona que está navegando. Además de presentar ventajas en cuanto a velocidad, puede también ser una ayuda de seguridad identificando amenazas y evitando que estas sean subidas a tu web.
Un ejemplo de CDN es CloudFlare que Pickaweb ofrece como opción gratuita en nuestros planes de hosting
Lo primero que debes hacer es asegurarte con tu compañía de hosting que efectivamente se está usando una CDN. Si no se está usando una, puedes ignorar este paso.
Y si se está usando una CDN, debes comprobar con el equipo de soporte de la CDN cómo actualizar su sistema para que reconozca tu Certificado SSL. Si tienes dudas al respecto, puedes pedir a un desarrollador que te oriente en este punto.
Actualiza enlaces de herramientas de terceros y correos de transacciones
Si estás usando herramientas de terceros, como una de email marketing, una de automatización o una de gestión de relación con el cliente, tendrás que realizar comprobaciones manuales de los links que has creado en ellas para asegurarte de que todo está al día.
De la misma manera, si tienes un sistema de facturación tus correos transaccionales como los emails de bienvenida o cualquier correo automático con facturas tendrán que ser actualizados para reflejar el cambio. Por supuesto, el redireccionamiento que has configurado previamente derivará todos los links HTTP a su equivalente HTTPS, pero siempre es más profesional corregir los links.
Si usas una herramienta como Live Chat, puedes que hayas preestablecido respuestas con links, por lo que deberías ocuparte de ellos y asegurarte de que tu equipo de atención al cliente está pasando las correctas URLs con HTTPS en sus conversaciones.
Actualiza landing pages y links de las búsquedas patrocinadas
Si cuentas con landing pages, estas deberían funcionar correctamente gracias al redireccionamiento 301, pero para una tranquilidad completa también deberías modificar sus links.
Además, comprueba que los enlaces que estás usando en las búsquedas patrocinadas también funcionan, ya sea en Google, Facebook o cualquier otro buscador.
Igualmente, si estás usando un generador de landing pages como Unbounce, tendrás que actualizar los ajustes de esta herramienta para que refleje el cambio de URL.
Actualiza Google Search Console y Google Analytics
Por último, también tendrás que modificar Google Search Console (la herramienta de Google para desarrolladores y propietarios de sitios web) introduciendo la nueva HTTPS, así como enviar otra vez tu actual SiteMap.
No te olvides de Google Analytics para seguir recibiendo las estadísticas correctas de tu web. Para ello, solo tendrás que modificar el ajuste ‘URL por defecto’ e indicar tu HTTPS.
Conclusión
Cambiarse a HTTPS implica unos cuantos pasos. Pero como la seguridad en Internet es cada vez más importante, tarde o temprano tendrás que hacerlo.
Elige el tipo correcto de SSL que necesites. Hay varios tipos y aunque funcionan de forma similar, ofrecen diferentes grados de verificación y también cambia el modo en que se muestra en el navegador (candado o barra verde).
Si estás alojado en Pickaweb, te ayudaremos a instalar tu Certificado SSL. A la hora de cambiar tu sitio a HTTPS, necesitarás la ayuda de algún experto, al menos si no contratas a un profesional para ello y no eres un usuario con demasiados conocimientos técnicos.
