5 pasos para pasar tu web a HTTPS
En 2014, el cifrado HTTPS se convirtió en uno de los factores de posicionamiento de Google, y Chrome ha estado marcando todos los sitios web HTTP como sitios no seguros desde julio del 2018. Mozilla, Safari e incluso Microsoft Edge siguieron su ejemplo, así que hoy cuando accedes a un sitio web que no es HTTPS a través de uno de estos navegadores populares, recibes la advertencia correspondiente.
No importa si manejas información confidencial como contraseñas o detalles de tarjetas bancarias. Si un sitio web se ejecuta en HTTP, siempre se marca como no seguro. Y es claro que este aviso no ayuda a crear confianza en el usuario.
Por lo que veo cuando navego por la web, el enfoque del palo y la zanahoria de Google ha demostrado ser efectivo y la mayoría de los sitios web ya se han pasado a HTTPS. Pero si aún no estás en la onda del HTTPS, aquí hay otra razón para hacerlo lo antes posible.
Si almacenas datos confidenciales de usuarios y tu sitio web satisface las necesidades de clientes de la UE, ejecutar un sitio web en HTTP puede ocasionarte problemas legales. Según el GDPR que entró en vigor en mayo del 2018, los sitios web deben garantizar que los datos personales de todos los usuarios se manejen de forma segura. Significa que en caso de violación de datos, se te considerará responsable y deberás pagar una multa significativa.
Para proteger a los usuarios de tu sitio web y a ti mismo, deberás cambiarte a HTTPS. Nosotros te guiaremos a lo largo de todo el proceso para ayudarte a evitar posibles dificultades en el camino.
¿Cuál es la diferencia entre HTTP y HTTPS?
HTTP significa Protocolo de Transferencia de Hipertexto. Desde los primeros días de Internet, se ha utilizado para transmitir datos entre un navegador y un servidor que almacena los archivos del sitio web. Uno de los principales inconvenientes del HTTP es que la información se pasa en texto plano y puede ser interceptada por cualquier persona dentro de la red y, lo peor es que, podría ser alterada o robada.
Este problema se resuelve con la ayuda del cifrado o encriptado de datos. Cuando los datos se codifican, se vuelven ilegibles y es por eso que, incluso si los delincuentes ponen sus manos sobre ellos, no podrán hacer uso de la información. Así es como HTTPS se diferencia de HTTP: todos los mensajes se transmiten a través de un canal de comunicación encriptado. Por esta razón, la letra «S», que significa «Seguro», se agregó al nombre del protocolo.
A continuación, encontrarás una guía de cinco pasos sobre cómo pasar tu sitio web de HTTP a HTTPS.
Paso 1. Elige un certificado SSL
Para que tu sitio web pueda establecer una conexión cifrada, primero deberás obtener un certificado TLS, mejor conocido como certificado SSL. La cosa es que, después de una actualización importante, el certificado cambió de nombre a TLS, pero el nombre anterior sigue siendo popular. El certificado es un archivo pequeño que contiene una clave de cifrado junto con información verificada sobre el propietario del sitio web. Dependiendo de la cantidad de datos que proporciones sobre la persona o empresa dueña de un sitio web, puedes obtener uno de los tres tipos de certificados.
DV (Validación de Dominio) es el certificado más básico. Como su nombre lo indica, solo verifica que una persona que solicita un certificado posea un dominio. Puedes obtener un certificado DV en muy poco tiempo y no afectará a tu bolsillo en absoluto.
OV (Validación de la Organización) verifica no sólo la propiedad del dominio, sino también la organización legal detrás de un sitio web. Se necesita tiempo para verificar los registros comerciales de una empresa, por lo que tendrás que esperar más para obtener este tipo de certificado. Además, su precio es mayor.
EV (Validación Extendida) es una certificación de nivel superior. Para emitir dicho certificado, la autoridad certificadora verificará minuciosamente los registros gubernamentales y las listas independientes de una empresa, verificará la identidad de la persona que solicita el certificado y finalmente organizará una llamada telefónica con el emisor. Seguramente, los certificados EV son los más caros y tardan más en emitirse.
El certificado EV es imprescindible para organizaciones gubernamentales, bancos, sitios web de e-commerce grandes. Si este no es tu caso, un certificado DV normal será suficiente ya que los visitantes de tu sitio web no notarán la diferencia de todos modos.
En el pasado, en los sitios web que tenían un certificado EV se mostraba el nombre de su empresa en la barra de direcciones junto al candado. Se destacaba en verde para dejar claro y a primera vista que el sitio web era seguro.
Ahora, para comprobar si una compañía ha pasado por una validación extendida, deberás hacer clic en el signo del candado y buscar el nombre de la compañía en la sección Detalles. Incluso, hasta el reafirmante color verde se ha ido.
Además del nivel de validación, los certificados SSL difieren según la cantidad de dominios y subdominios que incluyen.
- El certificado DV básico solo incluye un dominio sin subdominios;
- Si tienes subdominios en tu sitio web (admin.ejemplo.com, blog.ejemplo.com, etc.), deberás obtener un certificado SSL comodín;
- Para proteger varios dominios, puedes obtener un certificado de múltiples dominios.
En resumen, al elegir el tipo de certificado SSL que mejor se adapte a tu sitio web, presta atención al nivel de validación que quieres obtener y la cantidad de dominios (incluidos los subdominios) que necesitas cubrir.
Nota importante: antes de continuar con el siguiente paso, comprueba si es que es posible instalar un certificado SSL en tu servidor de hosting; algunos proveedores de hosting aún no son compatibles con HTTPS. Si alojas tu sitio web con un CDN, asegúrate de que también sea compatible con HTTPS.
Paso 2. Consigue e instala un certificado SSL
Opción 1: Compra a tu proveedor de hosting
Una vez que hayas decidido qué tipo de certificado SSL necesitas, comprueba lo que tu proveedor de hosting tiene para ofrecer. Si el precio es razonable, esta sería tu mejor opción, ya que hará las cosas más rápido y fácil.
El procedimiento estándar para obtener e instalar un certificado SSL es el siguiente:
- Eliges el tipo de certificado que mejor funciona para ti;
- Generas una clave de cifrado privada y una solicitud de firma de certificado (CSR) con tu proveedor de hosting;
- Solicitas un certificado SSL a tu proveedor seleccionado; en este punto, deberás cargar el archivo CSR que generaste anteriormente;
- Una vez que se envía la solicitud de firma del certificado, deberás seguir con el proceso de verificación que varía según el tipo de certificado (DV, OV, EV);
- Una vez que la validación ha sido completada, podrás descargar tu certificado SSL del sitio web de tu proveedor y subirlo a tu servidor de hosting.
Como puedes ver, las cosas se complican un poco porque necesitas obtener archivos de un proveedor de hosting y luego subirlos a un proveedor de certificados SSL, y viceversa. Si compras un certificado SSL directamente a tu proveedor de hosting, no habrá necesidad de intercambiar archivos y así podrás eliminar algunos puntos de la lista. Con algunos proveedores, todo lo que necesitas es hacer clic en un par de botones y todo se configurará automáticamente. En cualquier caso, comunícate con tu empresa de hosting para saber cómo pueden ayudarte a pasar a HTTPS. Además, comprueba si por casualidad tu plan de hosting incluye un certificado SSL gratuito, algunos proveedores ofrecen este beneficio.
Opción 2: Compra a una autoridad de certificación o en una tienda especializada
Si por alguna razón no puedes obtener un certificado SSL de tu proveedor de hosting, existe la opción de comprar uno directamente de una compañía que emite dichos certificados (Comodo, Symantec, Geotrust). Además, hay muchas tiendas online especializadas que venden certificados SSL.
Opción 3: Consíguelo gratis
Gracias a la iniciativa Let’s Encrypt, también existe la opción de obtener un certificado SSL de forma totalmente gratuita. Los certificados que emiten funcionan de la misma manera que los certificados de pago, aunque con una sola diferencia: solo son válidos durante tres meses, mientras que los certificados SSL normales duran un año. Por eso, tendrás que renovar constantemente tu certificado de Let’s Encrypt. Además, solo proporcionan certificación DV.
Una vez que instales tu certificado SSL, deberás asegurarte de que funcione correctamente, puedes usar el SSL Server Test para comprobarlo. El servicio verificará si el certificado es válido, qué protocolo de cifrado se utiliza, qué tan fuerte es el cifrado y calculará la valoración general de tu sitio web. El puntaje más alto posible es A+, y si obtienes una valoración más baja, el servicio te mostrará por qué.
Paso 3. Facilita el cambio a HTTPS
Una vez que tu certificado SSL se haya instalado correctamente, tu sitio web será accesible a través de HTTP y HTTPS. El problema es que, a los ojos de los motores de búsqueda, estos son dos sitios web separados que pueden competir en las SERP. Para que los usuarios y los motores de búsqueda accedan a tu sitio web a través de HTTPS, deberás configurar una redirección. Con el tiempo, y a medida que las páginas HTTPS de tu sitio web se indexen, tu versión HTTP desaparecerá de las SERP y el link juice pasará a la versión HTTPS de tu sitio web.
Ahora, hay una cosa que debes hacer antes de configurar las redirecciones: reemplazar todas las URL absolutas en tu sitio web por unas relativas.
Implementación de URL relativas
Primero, definamos qué son las URL relativas y absolutas. Una URL absoluta contiene la dirección completa de una página, incluido el protocolo de conexión y el nombre del dominio. La mayoría de las URL que ves en Internet son absolutas (por ejemplo, https://seranking.com/es/blog/). Las URL relativas, por otro lado, se utilizan para los enlaces internos. No especifican el protocolo de conexión y pueden contener o no el nombre del dominio (por ejemplo, seranking.com/es/blog/ o simplemente /es/blog).
Si un sitio web utiliza enlaces relativos, el mismo navegador añade el protocolo y el nombre de dominio que faltan a la dirección de la página web. El servidor asume que un enlace HTTPS relativo en una página web debe apuntar a otra página en el mismo sitio web que también se ejecuta en HTTPS.
Deberás reemplazar TODOS los siguientes enlaces absolutos por enlaces relativos: enlaces internos, rutas a la hoja de estilo, scripts, imágenes, vídeo. De lo contrario, te enfrentarás con un problema de contenido mixto. Esto ocurre cuando algunos elementos de la página se cargan a través de la conexión segura HTTPS y otros, a través del protocolo inseguro HTTP.
Estas páginas web son vulnerables a ataques de intermediarios, ya que los elementos que se cargan a través de HTTP permiten a los malhechores controlar toda la página. Tener contenido mixto en tu sitio web es como proteger tu casa de un robo asegurando la puerta pero olvidando cerrar la ventana. Por lo general, los navegadores marcan las páginas con contenido mixto como inseguras, por lo que debes asegurarte de que todos los recursos de tu sitio web se carguen a través de HTTPS.
Entonces, puedes pasar horas arreglando enlaces internos y reescribiendo rutas de archivos a imágenes, vídeos, scripts, etc. después de habilitar la redirección. O implementar enlaces relativos y eliminar el problema de raíz.
Si tienes un sitio web grande, no podrás implementar URL relativas de la noche a la mañana. Por lo tanto, considera reemplazar tus enlaces por otros relativos con anticipación. De esa manera, podrás configurar redireccionamientos poco después de instalar un certificado SSL antes de que las versiones HTTP y HTTPS de tu sitio web se indexen y empiecen a competir en las SERP.
Configuración de redireccionamientos 301
Para redirigir a los usuarios y a las arañas de los buscadores a tu sitio web HTTPS, usa la redirección 301 del lado del servidor. Esta le dice a los motores de búsqueda que la página se ha movido permanentemente a una nueva dirección. El procedimiento de configuración variará según el tipo de servidor web. Si tu sitio está alojado en un servidor que ejecuta Apache, que podría ser el caso de muchos proveedores de hosting, todo lo que necesitas hacer es añadir algunas líneas de código a tu archivo .htaccess.
Puedes encontrar el archivo en la carpeta raíz de tu sitio web, pero ten en cuenta que puede estar oculto. En este caso, deberás ir a la configuración del panel de administración y marcar la casilla «Mostrar archivo oculto». Asegúrate de copiar el archivo antes de modificarlo para tener una copia de seguridad en caso de que algo salga mal. Si no has encontrado el archivo, significa que tu sitio web no tiene uno y deberás crearlo por tu cuenta, utilizando un editor de texto normal.
Añade la siguiente línea de código en tu archivo .htaccess, reemplazando https://ejemplo.com con la dirección de tu sitio web:
RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule .* https://example.com/%{REQUEST_URI} [R=301,L]
Para comprobar si funcionó, escribe la dirección HTTP de tu sitio web en la barra de direcciones del navegador, deberías ser redirigido a la versión HTTPS.
Paso 4. Actualiza tu Google Search Console
Incluso después de configurar la redirección, tus páginas HTTP seguirán posicionándose en Google. Para reemplazarlas por versiones HTTPS, éstas deben rastrearse e indexarse. Puedes acelerar el proceso cargando una versión actualizada de tu XML sitemap en Google Search Console. Antes de eso, es posible que debas añadir tu sitio web HTTPS a GSC. O quizás ya esté allí, depende del método que utilizaste para verificar la propiedad de tu sitio web.
La cuestión es que, en febrero de 2019, Google lanzó propiedades de dominio para permitir a los webmasters analizar datos de todo el dominio. Las propiedades de dominio es una URL sin protocolo (HTTP/HTTPS), prefijo www u otros subdominios (m, support, help, etc.) y rutas (es, fr). Entonces, si añades tusitio.com a GSC, obtendrás datos combinados sobre diferentes versiones de la dirección de tu sitio web, incluyendo tusitio.com, www.tusitio.com, m.tusitio.com, www.m.tusitio.com, help.tusitio.com, tusitio.com.es y docenas de otras posibles variaciones con los protocolos HTTP y HTTPS. La única forma de crear una propiedad de dominio es mediante la verificación de registro DNS.
Ahora, si tienes una propiedad de dominio configurada en tu GSC, automáticamente comenzará a recopilar datos de las URL HTTPS. Pero si tu sitio web tiene un estado de propiedad de prefijo de URL, deberás añadir manualmente la variación HTTPS de tu sitio web. Una vez más, tienes la opción de añadirlo como una propiedad de prefijo de URL o comprobar tu propiedad a través de DNS y crear una propiedad de dominio para ver datos agregados.
Ten en cuenta que las propiedades de dominio solo están disponibles en la nueva Google Search Console, que carece de algunas herramientas establecidas desde hace mucho tiempo, incluida la herramienta Desautorización de enlaces. Si no puedes prescindir de esta herramienta, no tienes otra opción que seguir con la antigua Search Console, añadir manualmente la propiedad HTTPS y volver a enviar tu archivo de Desautorización.
Paso 5. Encuentra y corrige errores
Como hemos implementado las URL relativas en todo el sitio web antes de promover las HTTPS, no deberían aparecer errores técnicos críticos después de configurar las redirecciones. Sin embargo, una buena práctica sería ejecutar una auditoría web y asegurarse de que todo funcione correctamente.
Presta atención a los siguientes problemas:
- Las páginas existentes deberían mostrar el código de respuesta 200, las inexistentes el 404;
- Las páginas HTTPS no deberían estar bloqueadas por el archivo robots.txt o la etiqueta meta noindex; de lo contrario, Google no podrá rastrearlas ni indexarlas;
- Las etiquetas rel=canonical y rel=alternate, así como el atributo hreflang, deberían apuntar a las páginas HTTPS;
- Las páginas no deberían mostrar errores de contenido mixto, lo que significa que cada elemento de la página debe cargarse a través del protocolo HTTPS.
Puedes detectar fácilmente todos estos problemas con la herramienta de Auditoría Web de SE Ranking. En la sección Análisis de la página, encontrarás páginas con la respuesta 404, páginas bloqueadas por el archivo robots.txt o la etiqueta meta noindex, así como páginas con etiquetas rel=canonical y rel=alternate y el atributo hreflang. Para ver la lista completa de cada grupo de páginas, haz clic en el icono con el enlace. También puedes exportar la lista para su posterior análisis.
Para comprobar si tienes problemas de contenido mixto, ve a la pestaña Páginas rastreadas y busca la columna correspondiente. Aquí encontrarás información de todas las páginas de tu sitio web, lo cual es muy conveniente, ya que la mayoría de servicios especializados te ofrecen comprobar las URL manualmente una por una.
La herramienta de Auditoría Web está disponible en la versión de prueba gratuita, por lo que todo lo que tienes que hacer es registrarte en SE Ranking. Una vez que crees tu primer proyecto, la auditoría comenzará automáticamente. Tendrás 14 días para probar todas las herramientas que ofrece SE Ranking, incluido nuestro Rastreador de rankings de palabras clave.
No descuides tus rankings
Aparte de las dificultades técnicas, muchos dudan a la hora de mudarse a HTTPS porque temen perder tráfico y posiciones.
Es cierto que quizás puedas ver algunas fluctuaciones en los rankings en las primeras semanas. Pero si has sido cuidadoso con todos los detalles técnicos al cambiar a HTTPS, no deberías sufrir caídas drásticas en el ranking. La redirección 301 pasa hasta el 99% del link juice, por lo que después de que todas tus páginas web HTTP abandonen el índice, deberías recuperar el ranking y tráfico que tenías antes. Además, como recordarás, HTTPS es un factor de posicionamiento. Es menor, pero aún así, es posible que te encuentres entre los sitios web afortunados que realmente experimentan un aumento en el ranking después de pasar a HTTPS.
En cualquier caso, vas a querer seguir de cerca las fluctuaciones de tu ranking después de pasar a HTTPS. Ya que, en caso de una caída en el ranking, podrás averiguar qué pudo haberlo causado y solucionar el problema lo antes posible.
Como ya fue mencionado, SE Ranking también tiene una herramienta útil y confiable para el monitoreo de rankings. El Rastreador de Rankings de Palabras clave te permite realizar un seguimiento de todas tus palabras clave objetivo en las ubicaciones seleccionadas.
Pasarse a HTTPS es inevitable
Pasar a HTTPS puede parecer una tarea desalentadora. Debes tener en cuenta docenas de detalles y equivocarse no es una opción, ya que tu ranking y tráfico están en juego. Y aún así, no puedes darte el lujo de aferrarte a HTTP, ya que comprometerás la seguridad de tus usuarios y perderás su confianza. Además, en un futuro cercano, los motores de búsqueda también pueden dejar de admitir sitios web que se ejecutan en HTTP.
En el 2018, Google afirmó que a la larga, quieren eliminar los indicadores de seguridad de Chrome y solo marcar sitios web inseguros. El objetivo final es transformar Internet en un lugar donde el acceso de todos los usuarios del sitio web sea seguro de forma predeterminada. Todavía no está claro cómo Google planea usarlo para alentar aún más a los sitios web a pasarse a HTTPS. Pero es bastante probable que elijan el método del palo y la zanahoria y que así el protocolo HTTP se convierta en un factor de posicionamiento negativo. De todas formas, mi consejo es que no te descuides y hagas el cambio a HTTPS ahora mismo. Nuestra guía te ayudará a no cometer errores.