HTTP vs HTTPS: ¿debería realmente cambiar?

Seguramente ya conoces o en más de una ocasión has oído hablar de «HTTPS«, pero quizás no estás realmente seguro de lo que significa y qué ventajas o inconvenientes conlleva. En esta entrada intentaré aclarar algunos conceptos, su importancia para el SEO y cómo pasar de uno a otro en WordPress. Si no eres un gran amante de la tecnología, tranquilo; intentaré que esta entrada sea sencillita de leer… 😉

HTTP

El Protocolo de Transferencia de Hipertexto (HyperText Transfer Protocol o HTTP, por sus siglas en inglés), es un protocolo utilizado en sistemas de redes, diseñado con el propósito de definir y estandarizar la sintaxis y la semántica de las transacciones que se llevan a cabo entre los distintos equipos que conforman una red. Es decir, la manera en que un servidor web se comunica con navegadores como Google Chrome o Mozilla Firefox.

La principal característica de este protocolo es que es un sistema orientado a una comunicación del tipo “petición-respuesta”, lo que significa que en la estructura debe existir un cliente (por ejemplo, tu navegador) y un servidor (por ejemplo, el hosting de la web a la que accedes), siendo el cliente el que efectúa las peticiones y el servidor el que las responde. Las respuestas del servidor pueden ser la descarga de un archivo o la apertura de una página web, dependiendo del tipo de petición solicitada. Es decir, si en el navegador escribes una dirección web y pulsas la tecla «Intro», el servidor te responderá devolviendo lo deseado.

HTTPs

El Protocolo de Transferencia de Hipertexto Seguro (HyperText Transfer Protocol Secure o HTTPS) es un sistema que se basa en una combinación de dos protocolos diferentes, HTTPS y SSL/TLS (protocolos criptográficos que proporcionan comunicaciones seguras por una red o internet). HTTPS se refiere al uso del HTTP sobre una Capa de Protección Segura (SSL por sus siglas en inglés) o una conexión con Seguridad de la Capa de Transporte (TLS), de forma que un mensaje HTTP es cifrado antes de la transmisión y descifrado una vez se recibe.

Explicado de forma sencilla, el principal beneficio de HTTPS es que hace que tu sitio sea más seguro para tus usuarios. O más concretamente, es más seguro cuando un usuario te proporciona cualquier tipo de información. De hecho, es imprescindible cuando los usuarios te dan cualquier tipo de información de carácter personal, y una buena idea en cualquier web.

Cuando un usuario nos envía cualquier tipo de información hacia nuestro servidor, ¿qué añade HTTPS? Esencialmente proporciona todo un conjunto de capas de protección:

• encriptación: si algún atacante consigue interceptar esa información, no le servirá para nada ya que no sabrá descifrarla (pero tú sí).
• integridad de datos: los atacantes no podrán “modificar” el contenido del mensaje enviado.
• autenticación: se evitan los ataques de suplantación de identidad o intermediarios («man in the middle») en el que tu usuario proporciona información a terceros cuando cree que te los está dando a ti.

¿Necesito HTTPS?

Hasta aquí, ya te puede haber quedado claro que uno de los beneficios de tener HTTPS es que con HTTPS, tu sitio web es más segura para tus usuarios. Pero si yo sólo tengo un blog, no se realizan compras en mi web y como mucho pido el nombre y correo electrónico a mis lectores para que se suscriban a mi lista de correo… ¿es necesario?

¡Ojo! Recuerda que el correo electrónico se considera información de carácter personal. Dicho esto, si este es tu caso, posiblemente no sea estrictamente necesario el cambio a HTTPS. Pero si tu web acepta pagos o cualquier otra información de carácter personal, necesitas HTTPS en, como mínimo, las páginas de pago o donde recojas esa información.

Nelio Content

Estoy tan contento con Nelio Content que parece que me hayan pagado para hablar bién de él… pero es que también a ti te encantará: funciona como prometen, la programación automática de mensajes es increíble, la calidad/precio no tiene parangón y su equipo de soporte se siente como si fueran parte del tuyo.

Panozk

WordPress.org

Ver planes

SEO

Quizás recuerdes que hace unos pocos meses Google comunicó que HTTPS era un factor más a tener en cuenta en el posicionamiento. Y en cualquier caso, viendo la gráfica de Google Trends, comparando con hace un par de años, parece ser que el término «HTTPS SEO» ha pasado a ser de más interés para la gente.

Por lo tanto, parece que HTTPS tiene algún impacto en el SEO de tu web. De hecho, volviendo a lo que comentó Google en agosto del 2014 (y por eso el pico en la gráfica anterior):

For now it’s only a very lightweight signal — affecting fewer than 1% of global queries, and carrying less weight than other signals such as high-quality content — while we give webmasters time to switch to HTTPS. But over time, we may decide to strengthen it, because we’d like to encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web.

Aquí la traducción: «Por ahora solo se trata de un factor muy ligero (afecta a menos del 1% de consultas globales y tiene menos peso que otros factores, como el contenido de alta calidad), mientras dejamos que los webmasters pasen a utilizar HTTPS. Con el tiempo, es posible que decidamos reforzarlo, porque queremos animar a todos los propietarios de sitios web a cambiar de HTTP a HTTPS para que todos los usuarios estén protegidos en la Web.»

Incluso ahora, estamos hablando de un factor (1%) pequeño y está claro que cambiar a HTTPS posiblemente no va a tener un impacto inmediato ni decisivo.

¿Qué recomendaría en este caso? Pues que tomes la decisión dependiendo del volumen de visitas. Si tienes una gran volumen, un posible aumento de solo un 1% sigue siendo un impacto suficientemente grande para que lo tengas en cuenta. Y por este motivo verás que la mayoría de webs con grandes volúmenes de visitas tienen HTTPS.

Pasos a seguir

A continuación te explico cuáles son los pasos que has de seguir para pasar de HTTP a HTTPS.

1. Adquirir un certificado SSL

Para poder usar HTTPS necesitarás instalar un certificado SSL.

Aunque existen muchísimos tipos de certificado SSL, los más comunes soportan un solo dominio, aunque a partir de ahí podemos encontrar diferentes tipos de certificados SSL con diferentes precios anuales:

• Certificados que validan dominios (uno sólo, varios o todos los subdominios): el más barato y más básico sólo cubre la encriptación (de los tres puntos comentados antes).
• Certificados que validan una organización: también incluye autenticación. Si recopilas información personal, deberías considerar esta opción.
• Certificados con validación extendida: que ofrecen el mejor nivel de seguridad y tiene sentido para grandes sitios de e-commerce donde también recogen información como tarjetas de crédito o webs que recogen información personal de nivel alto.

Google recomienda instalar certificados de 2048 bits.

¿Dónde adquirirlo y qué precios tiene?

La mayoría de servicios de hosting o dominios ofrecen la posibilidad de comprar algún tipo de certificado SSL y los precios pueden rondar desde los 50€ al año el más básico hasta unos 300€ el más sofisticado. Y seguramente tu proveedor de hosting también incluya unas instrucciones sencillas para que lo puedas instalar. No debería ser mucho más complicado de lo que supone rellenar un formulario.

2. Reemplaza todos los enlaces HTTP a HTTPS

WordPress guarda la URL del sitio en la base de datos desde la configuración (Ajustes » Generales); podrías cambiar esta configuración e introducir la versión HTTPS de tu dominio y listo, pero las imágenes insertadas en entradas un otros enlaces internos no quedarían actualizados con HTTPS.

Por eso, deberías asegurarte que en tu base de datos cualquier elemento de tu web con formato (http://tuweb.com) es reemplazado con la forma segura (https://tuweb.com)

Una manera alternativa a programar este cambio es utilizar la herramienta que recomienda WordPress.org para esta tarea: Database search and replace for WordPress. Si sigues las instrucciones que aparecen en su página, que son sencillas, podrás asegurarte de que todos los enlaces se han actualizado. También tienes otras opciones explicadas aquí.

3. Redirige todo el tráfico a HTTPS

Después del «buscar y reemplazar» anteriormente comentado, WordPress puede redireccionar de forma automática las solicitudes HTTP a HTTPS. Pero esa redirección implica que se cargue WordPress, se redirija al usuario y se vuelva a cargar WordPress. Para ahorrar recursos puedes utilizar una RewriteRule en tu archivo .htaccess.

Verás que en el archivo .htaccess predeterminado de WordPress hay un bloque que comienza así:

# BEGIN WordPress

Esa línea marca el comienzo de las reglas de reescritura que WordPress aplica (y que, por lo tanto, puede «machacar» a su antojo). Así pues, antes de esa línea, debes añadir lo siguiente:

RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Ejecutando la redirección en .htaccess no se llega a cargar ni una sola línea de PHP y es mucho más eficiente. Además al ser una redirección 301, no pierdes nada de posicionamiento en buscadores ni tampoco te puede penalizar Google por contenido duplicado.

4. Alta de nuevo en Google y Google Search Console

Para el posicionamiento SEO deberías «avisar» a Google de todos los cambios hechos. Para ello, primero has de ir a modificar el documento sitemap.xml que es el que Google utiliza para saber las páginas que componen tu web. Si utilizar el plugin de Yoast, encontrarás la opción XML Sitemap en el menú de Yoast y desde allí podrás acceder.

A continuación, has de volver a añadir tu sitio web en Google Search Console ya que para Google HTTPS es un sitio totalmente distinto.

Selecciona la opción Añadir una Propiedad.

E introduce tu nuevo dominio con HTTPS.

5. Realiza un rápido test y asegúrate de que todo ha funcionado correctamente

Si todo ha funcionado correctamente, en pocos días deberías estar igual o mejor en los rankings de búsqueda. Si has tenido un gran descenso de tráfico es que algún punto no lo has hecho correctamente. Comprueba que hayas instalado y configurado correctamente el certificado SSL. Puedes hacer un test del certificado SSL en SSL server test.

Si no te sale todo correcto, supervisa los pasos anteriores. Y, en cualquier caso, creo que es importante que te acostumbres a revisar con cierta frecuencia la configuración de tu web para asegurarte de que todo esté bien y evitar pillarte los dedos.

Finalmente, también es importante que contactes con los webmasters de las webs más importantes que te están enlazando. A fin de cuentas, ellos son los que contribuyen a la credibilidad y posicionamiento SEO de tu web, así que conseguir que apunten a la nueva URL en lugar de a la vieja es una tarea importantísima para tu campaña de «link building».

Conclusión

Un cambio de HTTP a HTTPS es conveniente en muchos casos, pero no siempre imprescindible. Básicamente has de tener claro que los factores más importantes de cara a tomar dicha decisión son:

• La seguridad de tus usuarios
• Volumen de visitas a tu web e impacto en el SEO

Y, por supuesto, si tienes claro que deberías cambiar, intenta hacerlo de forma correcta para que no suponga un impacto negativo en tu SEO.

Imagen destacada de Seguridad de Norberto Chavez-Tapia.