seoraporu.co

HTTPS/SSL y seguridad del sitio web

¿Qué es HTTPS/SSL?

HTTPS (HTTP Secure) es un protocolo que cifra el intercambio de datos entre un sitio web y el navegador del visitante. Este cifrado se lleva a cabo mediante un certificado SSL/TLS del que dispone el sitio web; el certificado funciona como un documento digital que verifica la identidad del sitio ante el navegador. El icono del candado que aparece en la barra de direcciones del navegador indica que la conexión está cifrada y que el certificado es válido.

Los datos enviados a través de HTTP se transmiten en texto plano (plaintext); esto significa que cualquier tercero que se encuentre en la misma red (por ejemplo, una red Wi-Fi pública) podría leerlos. HTTPS cifra estos datos, de modo que solo el remitente y el destinatario puedan leerlos.

Los certificados SSL suelen tener una validez determinada (por ejemplo, un año) y deben renovarse cuando caducan; hoy en día, muchos proveedores de alojamiento web automatizan este proceso para que el certificado se renueve automáticamente, lo que reduce la necesidad de un seguimiento manual.

¿Por qué es importante?

HTTPS garantiza la protección de los datos de los usuarios (datos introducidos en formularios, información de sesión, datos de pago) frente a ataques de intermediario (man-in-the-middle). Google considera el uso de HTTPS como una señal de posicionamiento de peso leve, y los navegadores muestran la advertencia «No seguro» en los sitios HTTP, lo que afecta directamente a la confianza de los usuarios.

Un sitio web no seguro reduce la disposición de los visitantes a permanecer en él; en particular, los usuarios que rellenan formularios o realizan pagos pueden abandonar el sitio sin completar la transacción al ver la advertencia «No es seguro». Esto supone un problema de confianza que afecta directamente a la tasa de conversión.

Además, la mayoría de las funciones de los navegadores modernos (por ejemplo, los servicios de localización, las notificaciones o algunas API de pago) solo funcionan a través de HTTPS; un sitio que siga utilizando HTTP no podrá beneficiarse en absoluto de estas funciones y, desde el punto de vista técnico, se verá cada vez más limitado.

¿Cómo solucionarlo?

Ejemplo

# Ejemplo de .htaccess
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Mal ejemplo: olvidarse de actualizar las conexiones HTTP absolutas antiguas <img src="http://ejemplo.com/logo.png"> en la página; esto provoca una advertencia de contenido mixto en el navegador, aunque la página parezca segura en general.

Errores comunes