¡Comparte para que podamos seguir ofreciendo contenido de calidad y gratuito!

Ya no frecuentamos la red. Vivimos en internet.

Al igual que nuestro mundo físico, el internet es un lugar divertido, en ocasiones es peculiar, a veces es aleatorio y, otras veces, es seguro. Bueno, creemos que es seguro.

Como desarrolladores y propietarios de sitios web, somos responsables de proporcionar una experiencia web segura a todos nuestros usuarios.

Como usuarios nosotros mismos, lo hemos visto todo:

  • Inyecciones de malware.
  • Ventanas emergentes que activan instalaciones de software.
  • Virus troyanos.
  • etc.

Afortunadamente, la mayor parte de eso terminó. Los navegadores de edad moderna se ocupan de estos problemas de forma predeterminada.

Pero los navegadores son solo un contenedor que representa todo lo que el servidor ofrece. Hay mucho que se puede hacer. Los usuarios (y, por ende, los sitios web) siguen siendo vulnerables a las inyecciones de javascript.

Generar confianza y credibilidad entre los usuarios, es un gran avance. Y, es debido a esto, que los líderes mundiales como Mozilla y Google están poniendo todo su peso en hacer que la web sea un lugar más seguro.

Esto, está contribuyendo a la razón principal de un cambio gradual de los sitios web HTTP a los sitios web HTTPS.

¿Qué es HTTP y HTTPS?

 

Antes de profundizar, comprendamos rápidamente HTTP y HTTPS.

Estos son los protocolos más utilizados en la web.

HTTP:

  • HyperText Transfer Protocol (Protocolo de transferencia de hipertexto): un protocolo simple para enviar y recibir mensajes basados ​​en texto.

HTTPS:

  • HyperText Transfer Protocol Secure (Protocolo de transferencia de hipertexto seguro): el mismo protocolo que HTTP, pero el texto está encriptado.

Cómo HTTPS cierra la brecha:

 

Google (y muchos otros) se comprometen en hacer que la web sea más segura para todos los usuarios.

En 2014, Google tuvo su campaña en todas partes cuando anunciaron HTTPS como una señal de ranking y comenzaron a indexar páginas seguras sobre las no seguras.

Condiciones de indexación de Google:

  • No debe contener dependencias inseguras.
  1. El archivo robots.txt no bloquea el rastreo.
  2. No debe redirigir a los usuarios a través de una página HTTP insegura.
  3. No debe tener un enlace rel=”canonical” a la página HTTP.
  4. No debe contener una metaetiqueta de robots no indexada.
  5. No debería tener enlaces externos a las URL HTTP.
  6. El mapa del sitio enumera la URL HTTPS o no muestra la versión HTTP de la URL.
  7. El servidor tiene un certificado de TLS válido.

La primera condición es un requisito crítico.

La página no debe incluir “dependencias inseguras”. Muchas páginas incluyen imágenes inseguras, incrustaciones, videos, etc.

  • Google incluso ha creado su propia guía, “Asegura tu sitio web con HTTPS”.

 

De acuerdo a los datos de BuiltWith, alrededor del 6.3% de los mejores 100.000 sitios están utilizando SSL.

Además del aumento en el ranking de Google, hay varias otras razones por las que deberías considerar optar por HTTPS como protocolo de tu sitio web.

Algunos beneficios adicionales son:

  1. Mayor seguridad: una de las principales razones por las que es importante ejecutar HTTPS es, por supuesto, ¡por seguridad! La razón por la que necesitas un certificado SSL para el e-commerce y otros sitios transaccionales es porque procesan información sensible. Para otros sitios, una gran razón para ir a HTTPS es la página de inicio de sesión de WordPress. Si no estás ejecutando una conexión HTTPS, tu nombre de usuario y contraseña se envían en texto claro a través de Internet. Cualquiera puede husmear y capturar los inicios de sesión de WordPress a través de conexiones no seguras usando una variedad de herramientas gratuitas.
  2. Mejores datos de referencia: otra buena razón para migrar, es que los datos de referencia están bloqueados en Google Analytics. Si tu sitio web está en HTTP y se viraliza en cualquier sitio web de HTTPS, los datos de referencia se perderán por completo y el tráfico del sitio web de HTTPS podría terminar en “tráfico directo” (que no es muy útil). Si alguien va de HTTPS a HTTPS, la referencia seguirá siendo aprobada.
  3. SSL crea confianza y credibilidad: para pasar a HTTPS, necesitarás un certificado SSL. Un certificado SSL creará confianza y credibilidad entre tus visitantes. Los visitantes tienden a buscar el candado verde en un sitio web. Esto le da la “confianza SSL”. Es importante que tus visitantes sepan que estarás en un sitio seguro y que su información estará segura.

Mitos comunes sobre la migración a HTTPS

Avancemos y rompamos esos mitos.

1. Mi sitio no es lo suficientemente importante para HTTPS.

Muy a menudo, los editores mantienen que sus propiedades no manejen datos sensibles del usuario (información de inicio de sesión, pagos, etc.) para que puedan eliminar HTTPS.

Es importante, tener en cuenta que, las inyecciones de anuncios basadas en Javascript son bien conocidas para matar la experiencia del usuario.

Además, ejecutar en HTTP restringe a los desarrolladores web el uso de clave API, que incluyen:

  • GeoLocation: ya no puedes buscar la ubicación de un usuario si estás en HTTP.
  • Notificación Web Push: las notificaciones Push solo están disponibles en HTTPS.
  • GetUserMedia: ya no puedes activar permisos de usar la cámara / micrófono de un usuario si estás en HTTP.
  • HTTP / 2: la mayoría de los principales navegadores admiten HTTP/2 para HTTPS.
  • EME y caché de aplicaciones: se eliminarán pronto.

2. HTTPS c mi sitio.

Varios desarrolladores han presenciado resultados negativos después de la migración a HTTPS.

Dicho esto, cuando se migró Gmail a HTTPS en 2010, no hubo un impacto notable en el rendimiento.

Estas son las estadísticas de la migración de Gmail a HTTPS:

Los resultados negativos a menudo se deben a una falta de optimización, como moverse a HTTP/2.

Tenemos que actualizar la forma en que hablamos de HTTPS y el rendimiento.

 

  • Puedo mover mi sitio a HTTPS, pero ¿qué pasa con los terceros de los que dependo?

Otra gran preocupación para los editores es con referencia al contenido de terceros en su sitio web, principalmente anuncios [la mayoría de las veces, la única fuente de monetización].

Una restricción clave con HTTPS es que, si te mudas a HTTPS, todo tu contenido (incluido el contenido de terceros) también se debe publicar a través de HTTPS.

Nota: las solicitudes de Google AdSense y Ad Exchange ya se están sirviendo a través de HTTPS.

También, existe la preocupación sobre las asociaciones en las que los proveedores de servicios de terceros dependen del encabezado de referencia HTTP.

Cuando un usuario sigue un enlace desde un sitio HTTPS a un sitio asociado HTTP, los navegadores quitarán su encabezado de referencia por razones de privacidad.

Hay una función de plataforma web llamada “Política de referencia” que ayuda en esto.

Los editores pueden establecer una política de referencia para permitir que sus socios vean qué tráfico proviene de su sitio, pero ellos no verán la URL completa que el usuario estaba visitando, por lo que se mantendrá la privacidad del usuario.

Luego hay un tipo de problema general llamado contenido mixto.

El contenido mixto es el problema de cargar contenido HTTP no seguro en HTTPS.

Esto es importante porque los sub-recursos no seguros pueden comprometer la seguridad de un sitio HTTPS seguro.

Los navegadores bloquearán este contenido y eliminarán por completo toda la seguridad de ese sitio HTTPS.

Los sitios web de los editores (es decir, los blogs) contienen una gran cantidad de artículos antiguos que enlazan a imágenes de terceros que no están disponibles a través de HTTPS. Estas imágenes se llaman contenido pasivo y los navegadores aún les permitirán cargar.

El sitio HTTPS no se romperá por completo, pero ese bloqueo verde desaparecerá.

Video completo:

Este encabezado, es básicamente una forma para que los editores hagan valer al navegador, que todo el contenido debe cargarse a través de HTTPS y que los editores desean recibir informes sobre cualquier contenido que no lo sea.

La Política de seguridad de contenido permite a los editores encontrar y corregir contenido mixto en sus propiedades.

Chrome, también tiene un panel de seguridad de DevTools para que sea más fácil encontrar y solucionar problemas con configuraciones HTTPS, como problemas de contenido mixto.

Básicamente, los proveedores de terceros deben apoyar HTTPS para que puedan mover completamente su sitio.

Preguntas frecuentes

  • ¿Cómo se lleva a cabo toda esta comunicación?

Cuando un cliente / navegador solicita una sesión segura a través de HTTPS, el servidor responde con el certificado SSL.

Se realiza una solicitud desde el extremo del cliente y el servidor responde con el certificado y la clave pública del servidor. El cliente / navegador luego verifica la validez del certificado SSL firmado por CA. Luego, el cliente / navegador envía una clave de sesión encriptada con la clave pública del servidor. Ahora, el servidor descifra la clave de sesión con su clave privada.

Con esto, se crea una sesión segura para una transferencia segura de datos.

  • ¿Cómo se aseguran los datos a través de HTTPS?

Los datos enviados mediante HTTPS se protegen mediante Transport Layer Security protocol (TLS), que proporciona tres niveles clave de protección para tu información:

  1. Cifrado: Encripta los datos intercambiados para mantenerlo a salvo de los espías. El cifrado garantiza que, durante la navegación, nadie puede entrometerse en las conversaciones, realizar un seguimiento de las actividades en las páginas u obtener acceso a la información.
  2. Integridad de los datos: esto significa que no se pueden comprometer los datos durante la transferencia y que no se puede detectar fácilmente ninguna alteración en ellos.
  3. Autenticación: esto garantiza que los usuarios estén en el sitio web correcto. La autenticación HTTPS protege contra los ataques man-in-the-middle y crea confianza entre los usuarios.

Obteniendo tu certificado SSL

Existen numerosas opciones que pueden estar disponibles para obtener un certificado SSL mientras se mueve de HTTP a HTTPS.

Aquí hay tres grandes opciones:

1. SSLMate: emite certificados de un solo dominio por 16 / año.

Consulta la guía para instalar los certificados y configurarlo con otros hosts comunes.

2. Let’s Encrypt: ¡Obtén tu certificado SSL de Let’s Encrypt absolutamente GRATIS! Puedes elegir una cantidad de opciones de sus certificados disponibles.

Validación del dominio: Dominio único o subdominio, sin trámites (solo validación de correo electrónico), económico, emitido en minutos.

Empresa / organización Requiere verificación comercial y proporciona un alto nivel de seguridad, emitida dentro de 1-3 días.

Validación Extendida: Requiere verificación comercial que proporciona un mayor nivel de seguridad, emitida dentro de 2-7 días.

Puedes consultar la Documentación Completa y obtener tu certificado SSL de https://letsencrypt.org/

3. AWS Certificate Manager (ACM). Estos certificados son gratuitos y emitidos directamente por Amazon y duran poco más de un año. Sin embargo, actualmente requieren una emisión manual a través de la validación del correo electrónico y no son compatibles con Certificate Transparency. Aquí hay una buena guía de ACM de Jekyll.

Cosas que hacer mientras se hace el cambio:

Antes que nada, compra y activa un certificado SSL si aún no lo has hecho.

Durante la migración, podría haber algunos obstáculos que detengan el proceso.

Pueden producirse errores cuando Google comienza a rastrear la versión HTTP de tu sitio web y genera problemas de duplicación de contenido, con ambas versiones HTTPS y HTTP de las páginas mostradas y diferentes versiones de la página que se muestran en HTTP y HTTPS.

Observa estos otros errores comunes al usar HTTPS / TLS.

Mejores prácticas al migrar a HTTPS:

Fuente

  1. Usa certificados de seguridad robustos. Como parte de habilitar HTTPS para su sitio web, debes obtener un certificado de seguridad (certificado SSL). El certificado es emitido por una autoridad de certificación (CA) que toma medidas para verificar que tu dirección web realmente pertenece a tu organización. Al configurar tu certificado, cerciórate de tener un alto nivel de seguridad eligiendo una clave de 2048 bits. Si ya tienes un certificado con una clave más débil (1024 bits), una actualización sería una gran manera de hacerlo.
  2. Redirecciona a tus usuarios y motores de búsqueda a la página o recurso HTTPS con los redireccionamientos HTTP 301 del lado del servidor.
  3. Usa un servidor web que sea compatible con HTTP Strict Transport Security (HSTS) y asegúrate de que esté habilitado.

La idea detrás de todo el cambio de HTTP a HTTPS es proporcionar una experiencia web más segura, asegurando que tu información personal se mantenga privada y que no se abuse de ella.

Cualquier cosa y todo, podría ser personal para ti o tus usuarios finales.

Incluso si estás buscando “Nexus 5 cost in India”, esa búsqueda podría ser privada para ti. Ya sea que estés navegando o buscando un producto o leyendo un artículo, generalmente no querrás que lo que estás haciendo sea información pública. Particularmente, para información personal, bancos e información de transacciones, HTTPS se ha convertido en una necesidad y un estándar de la industria.

Aunque la migración de HTTPS es muy recomendable y la mayoría de los desarrolladores de sitios web la siguen, la decisión final dependerá de ti. Para aquellos que estén listos a seguir esta práctica web más segura, comienza con HTTPS obteniendo tu certificado SSL y estar encantado con ese candado verde en tu sitio web.

¿Has hecho el cambio a HTTPS? Déjame saberlo debajo en los comentarios.

¡Comparte para que podamos seguir ofreciendo contenido de calidad y gratuito!