Crear y gestionar un sitio web puede resultar muy fácil, pero es importante considerar varios elementos para el éxito y el posicionamiento en buscadores, comenzando por un cifrado seguro de la transferencia de datos con el protocolo HTTPS.
Navegar en internet es muy sencillo y, cualquier persona con mínimos conocimientos, puede arribar a un sitio web sin inconvenientes con sólo introducir una parte del nombre de dominio en el navegador web.
Sin embargo, son muchas las piezas en el engranaje de un sitio web que hacen posible que los contenidos se muestren en pantalla.
La primera de ellas es la dirección URL, que es la ubicación única de un recurso en un servidor y que se construye a partir de varias partes además del nombre principal del dominio web.
Esta dirección tiene, como mínimo, 4 partes; además del dominio raíz (nombre), el dominio superior (.com, .org, .gov o .es, etc.) y el prefijo www. lo primero que necesita el navegador para encontrar el sitio es el protocolo de transferencia que debe utilizar para mostrar la página.
Como esta parte de la dirección URL se da por supuesta en los navegadores, la mayoría de los usuarios desconocen la diferencia y la importancia de que el sitio web utilice HTTP o HTTPS.
Sin embargo, es un elemento muy importante para el posicionamiento en buscadores, pues Google considera este aspecto como un elemento central en la seguridad del sitio y jerarquiza los resultados de búsqueda bajo ese criterio.
Es por eso por lo que, en este artículo, abordo la trayectoria el uso de HTTPS y cómo adaptar el sitio web a esta condición de los motores de búsqueda para indexar los resultados.
¿Qué es el HTTPS?
El acrónimo HTTPS proviene del inglés Hypertext Tranfer Protocol Secure (Protocolo Seguro de Transferencia de Hipertexto) utilizado para un cifrado basado en la seguridad de textos para crear un flujo de datos apropiado de información sensible.
Así, mediante criptografía, con un cifrado de seguridad se obtiene una capa de transporte de datos (SSL/TLS), se determina que la comunicación entre el navegador web y el servidor está encriptada y es, por lo tanto, genuina y de confianza para intercambiar datos.
En contraposición con HTTP, la seguridad del flujo cifrado está diseñada para resistir ataques, aunque ambos son el mismo protocolo sólo que utilizan capas diferentes para la trasmisión de datos en ambas direcciones.
En la práctica, HTTPS brinda una autenticación para proteger las comunicaciones bidireccionales entre cliente y servidor, protegiendo de ataques man in the middle (ataques de intermediario), operaciones de espionaje y manipulación o falsificación de contenido.
Es por eso por lo que, históricamente, las conexiones HTTPS se han utilizado en sitios web que utilizan acceso con credenciales de inicio de sesión y que permiten transacciones económicas, así como en sistemas de comunicación corporativos o intranet.
Antecedentes del HTTPS
El protocolo HTTP fue creado entre 1989 y 1991 para el intercambio de archivos en un entorno de laboratorio dentro de la Organización Europea para la Investigación Nuclear (CERN), como parte de un proyecto de investigación.
Su evolución a lo que hoy conocemos como internet comenzó a implementarse fuera del CERN a partir de 1991 y, en con la masividad de su difusión, se fueron desarrollando cifrados de conexión para la transmisión de diferentes tipos de archivo.
El mayor cambio se produjo en el año 1994 con la incorporación de capas sobre la de TCP/IP. La primera fue SSL (Secure Sockets Layer), de la que evolucionaron varias versiones que permitieron la creación del comercio electrónico y que, posteriormente, evolucionó en el TLS (Transport Layer Security) para muchas más aplicaciones.
Con la incorporación de estas capas seguras, el uso de HTTPS se volvió un estándar web en el año 2000, que implica la creación de un certificado de clave pública para el servidor web.
Hoy en día, motores de búsqueda como Google, no sólo recomiendan la adopción de HTTPS para el desarrollo de sitios web independientemente de lo que el sitio contenga, sino que es un factor importante en la indexación de resultados de búsqueda.
La ecuación es sencilla: para el usuario es relevante la seguridad, por lo tanto, para Google también lo es y beneficia el posicionamiento de las páginas que garantizan una transferencia de datos segura.
Una clave de su importancia es que, desde el lanzamiento de Google Chrome 68, el navegador sólo admite los sitios que utilicen el encriptado HTTPS.
¿Cómo funciona el HTTPS?
El uso de HTTPS no requiere de la instalación de ningún software en el navegador web, ya que es compatible con todos los utilizados actualmente.
El protocolo HTTPS, como el HTTP, funciona a través de una solicitud enviada por un usuario desde el navegador web. Esta solicitud, mediante HTTPS, actuará de la siguiente manera:
- El navegador requerirá que el servidor se identifique.
- El servidor enviará una copia del certificado de seguridad al navegador web.
- El navegador comprobará que el certificado es de confianza y envía un mensaje que lo acredita.
- El servidor enviará un acuse de recibo con firma digital y permitirá que se inicie una conexión cifrada.
Con estas comprobaciones, que se desarrollan en milisegundos, el usuario puede comenzar una navegación por el sitio web que se encontrará transfiriendo datos de manera segura.
Mediante este canal encriptado es posible intercambiar información sensible, aunque es importante saber que el nivel de cifrado está supeditado tanto al navegador y al servidor.
Ventajas y desventajas del HTTPS
Por supuesto, los beneficios de instalar certificados de seguridad para el sitio web redundan en calidad y confianza para los usuarios, pero hay algunas consideraciones que resulta imprescindible destacar en términos de ventajas y desventajas:
Ventajas:
- Mejora la privacidad de datos: la reserva de los datos personales, desde nombre y dirección hasta información bancaria y salud, tienen gran importancia hoy en día y se requiere que el sitio web lleve una estricta gestión al respecto para cumplir con la normativa. En ese aspecto, HTTPS garantiza que los datos no serán interceptados por terceros en el momento de la transferencia bilateral en internet, es decir, cuando el usuario complete un formulario o ingrese con sus credenciales a un área de personalizada del sitio.
- Protege la URL completa: los certificados de seguridad protegen todo lo que se encuentra en el servidor, por lo que se minimiza el riesgo y todos los datos del sitio están a salvo de intrusiones.
- Mejora la protección ante ataques al software: el recurso de encriptación refuerza la seguridad ante ataques ramsomware y malwere.
- Contribuye al posicionamiento SEO: ya que los motores de búsqueda toman cada vez más en serio la seguridad de los usuarios y, por lo tanto, intentan entregar sólo resultados de búsqueda que utilicen conexiones seguras mediante HTTPS.
Desventajas:
- Cargos adicionales: aunque actualmente la mayoría de los servicios de alojamiento web incluye certificados de seguridad, algunos certificados tienen un coste según diferentes criterios como el tipo de certificado y el aumento del tráfico en el sitio.
- Almacenamiento en caché: el contenido del sitio no se almacena en cache para que no queden datos residuales que puedan ser vulnerados, pero esto puede impactar en el tiempo de carga de la página.
- Recursos del servidor: algo que también impacta en el tiempo de respuesta y carga del sitio web es la lectura del certificado de seguridad.
- Presenta dificultades en hosts virtuales: los alojamientos web compartidos, a diferencia de los hostings dedicados o de uso exclusivo, han de realizar varias configuraciones en los servicios internos para que sea posible el uso correcto de HTTPS en los sitios web alojados.
- Dificultades al migrar el sitio: ya sea para cambiar de alojamiento web o incluso para ajustar un sitio web en producción a HTTPS, pues se cambiarán todas las URL del sitio web y puede llevar a la aparición de errores 404.
Aún con situaciones que continúan ocurriendo, la creciente necesidad de utilizar HTTPS lleva a que se planeen soluciones innovadoras frente a las dificultades y es cada vez más sencillo migrar un sitio web o mejorar la velocidad de carga.
Actualmente, la mayor parte de las complicaciones están asociadas a al tipo de implementación del sitio web, al software del servidor y a los tipos de cifrados utilizados.
La seguridad en los protocolos HTTPS
Con la comprobación de certificados que crean capas de encriptación de datos, la conexión web mediante HTTPS está protegida con criptografía que proporciona:
- Cifrado: para mantener a salvo de intrusos el intercambio de datos, evitando que la información sea interceptada o espiada por otros mientras el usuario está navegando el sitio web.
- Integridad: para que los datos no puedan modificarse ni dañarse durante la transferencia en ambas vías.
- Autenticación: para garantizar que los usuarios se están conectando con el sitio web previsto, generando confianza al evitar ataques de intermediario (también llamados man-in-the-middle).
Como hemos visto, los certificados SSL son los más utilizados y se consideran seguros, pero para determinados sitios es necesario aumentar la seguridad con TLS (Transport Layer Security) que es actualmente una versión renovada de SSL, y con tipos de certificado específicos según el tipo de sitio web.
También es importante destacar que, más allá de la seguridad en la transmisión de los datos, el almacenamiento y gestión de esa información puede requerir una protección adicional, sobre todo cuando se utilizan hostings virtuales o alojamiento web compartido.
La adquisición de los certificados SSL
Como adelantaba, para que el sitio web funcione con el protocolo HTTPS es necesario instalar los certificados a nivel de servidor y, últimamente, la mayoría de los alojamientos web de calidad lo incluyen en el servicio de hosting.
Para el encriptado estándar la mayoría utiliza certificados SSL Let’s Encrypt, impulsado en 2016 por Linux y que garantiza un nivel de seguridad básico pero eficiente incluso cuando el sitio web no capta información sensible, evitando también que Google califique el sitio como inseguro.
Existen también otros certificados SSL que se diferencian, principalmente, en el tipo de autenticación que ofrecen y que pueden satisfacer otras necesidades, por ejemplo, en sitios e-commerce.
Los niveles de validación de los certificados SSL se clasifican en:
- De dominio: es el nivel más sencillo y valida la identidad del propietario del domino. Entre estos se encuentran los de dominio único, los de multidominio o (SAN), que garantizan seguridad en el dominio principal y en los subdominios respectivamente.
- De organización: que funcionan mejor a nivel de autenticar la identidad de los dominios de una entidad para evitar la suplantación. Su instalación no es automática, ya que requiere la validación de todos los dominios de la organización por separado.
- Extendidos: que constituyen la opción más segura para validar la identidad de grandes marcas o corporaciones. Su instalación toma bastante tiempo porque requiere la presentación de documentación y verificación legal.
Estos certificados son de renovación anual y el coste puede variar de entre 47€ y 250€ aproximadamente, mientras que Let’s Encrypt y CloudFlare son gratuitos.
Diferencias entre HTTPS y HTTP
A modo de resumen, HTTPS frente a HTTP es una forma de conectar al servidor de manera segura, especialmente para el usuario que navega el sitio web y produce interacciones.
La encriptación de los datos, gracias a las capas de seguridad, consiste en un formato que resulta imposible de descifrar, mientras que en HTTP todos los intercambios se producen en texto sin formato.
Junto con esto, el uso de HTTPS frente a HTTP es una ventaja significativa en el posicionamiento web, tanto en SEO como en estrategias SEM.
Porcentaje de dominios por países que han adoptado el protocolo HTTPS
Según los informes de Google, el tráfico web cifrado varía según países y regiones, y esto se debe a múltiples factores, pero, principalmente, los atribuye al uso de diferentes tipos de dispositivos y la disponibilidad de software que admiten tecnologías modernas con cifrados SSL/TLS.
Los 10 países que más tráfico web cifrado utilizan son:
- Bélgica: 99%
- India: 97%
- Japón: 96%
- Alemania: 95%
- Rusia: 95%
- Indonesia: 95%
- Reino Unido: 94%
- Brasil: 93%
- Países Bajos: 92%
- Estados Unidos: 91%
La seguridad en internet es cada vez más importante y, tanto usuarios como motores de búsqueda adoptan progresivamente medidas para desarrollar estrategias más seguras en la navegación web.
En DOC Marketing trabajamos con servicios de alojamiento web que garantizan la aplicación de niveles de seguridad adaptados a las necesidades que cada sitio web, desde sitios institucionales sencillos hasta tiendas online y grandes emprendimientos comerciales en expansión.
También trabajamos en el desarrollo de estrategias de migración de sitios web, ya sea de servicio de hosting como de HTTP a HTTPS, contemplando como primera medida la mitigación de errores de rastreo para garantizar el posicionamiento SEO.
- Los Emojis SEO y su Impacto en las Búsquedas - 13 septiembre, 2023
- ¿Qué es el SandBox de Google? - 27 agosto, 2023
- ¿Qué es un elace NoFollow y para qué sirven? - 10 agosto, 2023