Guía completa sobre HTTPS: Seguridad en tu sitio web

Si has llegado hasta aquí, es porque seguramente tienes una web o gestionas una. Solo por ese motivo, ya es necesario que conozcas lo que es el protocolo HTTPS.

Tanto si tienes años de experiencia en el mundo web como si acabas de introducirte en él, este post es para ti. Te voy a explicar desde el principio en qué consisten los protocolos HTTP y HTTPS, cuáles son sus diferencias, qué son HTTP/2 y HTTP/3 e incluso cómo implementar HTTPS en un WordPress. Así que sin más dilación. ¡Vamos allá! [elementor-template id="80835"]

Qué es el protocolo HTTP

HTTP son las siglas de Hypertext Transfer Protocol, que traducido sería "Protocolo de Transferencia de Hipertexto". Fue creado entorno al año 1990 por el científico de computación británico Tim Berners-Lee y, gracias a esta invención junto con el sistema de DNS, surgió internet tal y como lo conocemos a día de hoy. Aunque en sus inicios era muy básico, tras sufrir diferentes modificaciones se convirtió en HTTP/1.1, protocolo utilizado para intercambiar todo tipo de ficheros: desde imágenes, vídeos y textos hasta información personal que se puede almacenar, por ejemplo, en los formularios de una web. Estoy seguro de que sabes utilizar internet a la perfección: realizar búsquedas, acceder a tus páginas web favoritas, etc. ¿Pero sabes cómo funciona el proceso que se lleva a cabo por detrás de esas acciones?

Cómo funciona el protocolo HTTP

Te voy a explicar cuál es el funcionamiento del protocolo HTTP de una manera muy sencilla. Imagínate que quieres buscar en Google la frase "Mejor hosting para mi web". A partir del momento en que la introduzcas en la barra de direcciones, esta se considera una solicitud que se realiza a un servidor. Este, tras unos milisegundos, devuelve una página de resultados o SERP en la que seguramente encuentres lo que estás buscando. Todo este proceso de intercambio de solicitudes funciona acorde al protocolo HTTP (Hypertext Transfer Protocol) que, por así decirlo, es el que se encarga de conectar todas las peticiones entre servidores y clientes que se realizan a diario, creando así la llamada World Wide Web (WWW). Aunque el protocolo HTTP ha sido utilizado durante 18 años, a día de hoy se emplea cada vez menos, ya que hace un tiempo se descubrió que no era seguro. Al ser un protocolo que no transmite la información de manera cifrada, cualquiera que tenga acceso al canal de comunicación puede recuperar el contenido transmitido y utilizarlo con malas intenciones. Precisamente por este motivo surge el protocolo HTTPS, en el que nos adentraremos a continuación.

Qué es el protocolo HTTPS

El protocolo HTTPS surge de la necesidad de solventar las deficiencias de seguridad presentes en el protocolo HTTP. De hecho, como te habrás podido imaginar, la "S" que se añade al final es por la palabra "Seguridad". De manera muy resumida y para que tú y yo nos entendamos, el protocolo HTTPS también gestiona las solicitudes entre cliente y servidor pero añade una capa de seguridad, cifrando el contenido de las peticiones mediante un sistema de cifrado SSL. Este protocolo de transferencia es el que utilizan a día de hoy las grandes páginas web de internet, combinándolo con el protocolo TLS (Transport Layer Security) para garantizar la mayor seguridad en la comunicación entre el cliente y el servidor.

Cómo se creó el protocolo HTTPS

Ahora que ya sabes por qué se creó este protocolo de transferencia de hiper texto seguro, voy a contarte brevemente su historia. Para ello, debo llevarte al año 1994. En aquel momento, la empresa Netscape desarrolló el protocolo de cifrado SSL v2. Este protocolo fue diseñado con la intención de proteger las comunicaciones en internet que, aunque en ese momento no se consideraba algo relevante, a día de hoy se sabe que es imprescindible para realizar una navegación segura. SSL v2 manifestó diferentes problemas de seguridad, por lo que Netscape no tardaría en llevar a cabo las acciones necesarias para desarrollar la siguiente versión, SSL v3 (mucho más seguro y eficiente). Esta versión se utilizó durante muchos años en la navegación web. Tanto es así que aún a día de hoy sigue presente en muchos casos, aunque ya se empieza a recomendar emplear el protocolo TLS (que es la evolución del protocolo SSL) que, como te comentaba antes, es el que usan la mayoría de los gigantes web a día de hoy.

Cómo funciona el protocolo HTTPS

Ahora que sabes a grandes rasgos la historia y los motivos por los que se empezó a utilizar el protocolo HTTPS, creo que es necesario que sepas cómo funciona. Ponte en la situación de que ya tienes tu web alojada en un servidor, con un certificado SSL y queremos acceder a ella como visitante. El proceso entonces sería el siguiente. Añade en la barra de direcciones la de tu página, para que el servidor se identifique con su certificado. El siguiente paso, una vez el navegador lo haya recibido, consiste en comprobar si el sitio web es de confianza. A continuación, el servidor recibirá un mensaje del navegador indicando que acepta el certificado y que la comunicación puede comenzar de manera segura hasta el punto de que, si un tercero la intercepta, será ilegible para él. Para explicarte cómo actúa el cifrado, voy a utilizar el siguiente ejemplo que, a pesar de ser muy simple, representa bastante bien el funcionamiento de este. Como te decía antes, si en tu web utilizas un protocolo HTTPS y se diera el caso de que un "atacante" interceptase la comunicación, lo único que vería sería un conjunto de letras, números y símbolos imposible de entender. Entonces, si transmitieras una contraseña utilizando un protocolo de transferencia HTTP, el interceptor vería lo siguiente:

ContraseñaSegura1234

Mientras que si fuese a través de un HTTPS, la información sustraída sería así:

IHJN9k*un!TWNCK_disRK

Como ves, el protocolo HTTPS hace imposible que una comunicación interceptada pueda ser aprovechada por un tercero, manteniendo totalmente a salvo la información transmitida a través de los canales que este protege.

Beneficios de utilizar el protocolo HTTPS en tu web

Existen múltiples beneficios de emplear el protocolo HTTPS en tu página web. Ya has ido viendo varios a lo largo del post, pero a continuación te voy a hacer un resumen con los más relevantes.

Aumento de la seguridad

Todo lo que hemos hablado anteriormente resume el beneficio principal en cuanto a seguridad que utilizar HTTPS supone para tu web, pero aun así me gustaría ponerte otro ejemplo para que de verdad comprendas la importancia que este supone a día de hoy a la hora de hacer una web realmente segura. En el caso de que tu web sea un ecommerce, serás conocedor de la importancia de la seguridad de los datos con los que se trabaja en este tipo de plataformas. Estos pueden ser desde nombres completos de clientes, hasta números de tarjeta o direcciones, por lo que la información es muy sensible. Si decides no utilizar un protocolo HTTPS, estarás de acuerdo conmigo en que tus clientes serán mucho más reacios a realizar compras en tu tienda online. Si saben más o menos cómo funciona la seguridad online, serán conscientes de que sus datos no están totalmente protegidos, lo que nos lleva directamente al siguiente punto.

Más credibilidad para tu web

No creo que te sorprenda si te digo que existen diferentes estudios en los que se indica que los usuarios o clientes potenciales son más propensos a confiar en una web que puede demostrar que envía sus datos a través de canales de comunicación seguros. Como sabrás, el usuario medio de internet no suele conocer lo que significa disponer de un certificado SSL o que una página esté protegida por https. Por eso, ¿sabes cuál fue la solución que propuso Google a través de su navegador Chrome en el año 2017 y que sigue vigente a día de hoy? Pues algo tan simple como identificar a las páginas que todavía se comunicaban a través de HTTP como "no seguros" e indicarlo con un tono rojo. Por el contrario, las que se comunican utilizando un protocolo HTTPS reciben un símbolo verde, indicando así que toda la información que proporcionen a esa web será cifrada y tratada de manera segura. De esta manera cualquier usuario, sin necesidad de tener ningún tipo de conocimiento técnico, podría identificar de un vistazo si la página en la que se encuentra es un sitio seguro o no. Sencillo, ¿verdad? Gracias a esto, se pretenden evitar los fallos de seguridad en las transmisiones de información relevante y animar a los propietarios de páginas web a trabajar con páginas protegidas por protocolos HTTPS. Si por el motivo que sea no puedes proteger todo tu sitio web, al menos, puedes evitar la calificación de sitio no seguro protegiendo las páginas en las que el usuario deba introducir datos de tarjetas de crédito, contraseñas, etc.

Mejora el SEO de tu web

Ahora que ya hemos hablado de que un sitio protegido con HTTPS ofrece mayor credibilidad y seguridad a los posibles usuarios, ¿crees que esto también puede influir en el SEO? Evidentemente, coincidirás conmigo en que esto afectará también al posicionamiento web, ya que desde el año 2014 Google beneficia a las páginas que considera seguras en las SERP, mejorando su posicionamiento notablemente. Google ha defendido públicamente el uso de HTTPS en las páginas web. Por lo tanto, no es de extrañar que considere el uso de este protocolo como un factor de posicionamiento más y que incluso llegue a marcar la diferencia entre estar en primera página de Google o no. Como bien sabrás, esto es un factor diferencial para atraer público a tu web.

Posibles inconvenientes de utilizar el protocolo HTTPS en tu web

Aunque a priori parece que utilizar HTTPS en los sitios web solo aporta beneficios, debes saber que pueden aparecer ciertos puntos negativos que, a pesar de no ser muy determinantes, creo que debes conocer.

Aparición de errores 404

Si creas tu sitio web directamente utilizando el protocolo HTTPS no debes preocuparte por este punto. Si por el contrario tu web comenzó empleando HTTP, es importante tener en cuenta que al realizar el cambio cambiarán todas las URL de tu site. Esto es realmente importante, ya que tus visitantes pueden encontrarse con numerosos errores 404 en el caso de no haber realizado las redirecciones adecuadas. Aunque no es uno de los procesos más complicados con los que te puedes topar al gestionar una web, sí que debes disponer de ciertos conocimientos técnicos para evitar errores de redirección que pueden perjudicar al SEO de tu web.

Dificultades en la migración de los sitios web

En el caso de realizar una migración, también se pueden presentar ciertas dificultades que deben ser evitadas. Algunas de ellas son:

• Problemas de enlazado: Tal y como te comentaba en el punto anterior, pueden generarse errores 404.
• Edición del archivo robots.txt: En algunos casos, este archivo puede generar problemas al gestionar contenido duplicado, por ejemplo.
• Diversos mensajes de error: Durante el proceso pueden aparecer algunos mensajes de error y avisos en los que se tendrá que trabajar para averiguar cuáles son las causas que los producen.

Para evitar los anteriores problemas y otros que pueden surgir durante la migración del sitio web te recomiendo que, si no tienes los conocimientos técnicos adecuados o si se te presenta cualquier caso que te genere dudas, confíes en un profesional para evitar interrupciones en el servicio de la web o fallos que a la larga puedan empeorar la experiencia de tus usuarios.

Descenso del rendimiento web

Como te puedes imaginar, el protocolo HTTPS exige más recursos que si utilizas HTTP. Por lo tanto, es un factor a tener en cuenta al hacer el cambio. Paradójicamente, aunque antes te decía que emplear HTTPS es algo beneficioso para el SEO de tu web, también puede empeorarlo si al implementarlo esta baja su rendimiento. El ejemplo más clásico es que los tiempos de carga de tu sitio web aumenten desmesuradamente haciendo que suba la tasa de rebote, uno de los elementos que Google pondera al posicionar una web. Si esto llegase a ocurrir, tienes dos opciones: recurrir a un profesional que realice una optimización completa del sitio web o aumentar la capacidad del plan de alojamiento que tienes contratado.

HTTP/2 y HTTP/3: La evolución del protocolo HTTP

Llegados a este punto, ya conoces el protocolo HTTP, como funciona, para qué sirve y como se volvió más seguro hasta convertirse en HTTPS. Pero también es importante que sepas que el propio HTTP ha ido evolucionando desde sus primeras versiones hasta las que se utilizan hoy en día, HTTP/2 Y HTTP/3, que te voy a explicar a continuación. No voy a profundizar demasiado en estas mejoras de HTTP, ya que en el blog de Raiola Networks puedes encontrar un artículo completo sobre ellas llamado "HTTP/2 y HTTP/3: ¿Qué es y cómo mejora la velocidad de tu página?". En cambio, sí que te mostraré los aspectos más destacados de ambas.

HTTP/2: Beneficios y ventajas frente a HTTP/1.1

Como ya te mencioné antes, un tiempo después de comenzar a utilizar el protocolo HTTP se empezaron a detectar fallos en su funcionamiento a diferentes niveles. Por eso, durante el año 2015, el grupo de trabajo HTTP de Internet Engineering Task Force (IETF) creó una nueva versión llamada HTTP/2, que es mucho más rápida y eficiente que la primera. Esta supuso un gran avance en la comunicación web, ofreciendo las siguientes ventajas frente a su predecesora:

• Priorización: Es el orden en que se cargan cada una de las piezas de contenido y afecta de manera directa al tiempo de carga de los sitios web. De manera simple, organiza cada uno de los componentes cargando primero los elementos más rápidos y dejando para el final los más pesados, priorizando el contenido que un usuario puede detectar en un primer vistazo y retrasando los elementos que corresponden al segundo plano (como un archivo JavaScript grande, que bloquearía la carga del resto de elementos si comenzasen a cargarse simultáneamente).
• Multiplexación: Utilizando HTTP/1.1 cada recurso se cargaba como si de una fila se tratase, es decir, uno después del otro teniendo que esperar a que cargue el primero para que el siguiente comience. Esto con HTTP/2 ya no sucede, ya que puede enviar varios flujos de datos de manera simultánea mediante una única conexión TCP, impidiendo así que ningún recurso bloquee al siguiente.
• Server push: Normalmente, un servidor solo ofrece contenido a un dispositivo si el cliente lo solicita. Con HTTP/2, se evita que los tiempos de carga aumenten, pre sirviendo los recursos que el servidor detecta que el usuario va a necesitar antes incluso de que este lo solicite.
• Compresión de encabezado: HTTP/2 elimina la información redundante existente en los paquetes de encabezado HTTP gracias a un sistema de compresión llamado HPACK. Este elimina unos pocos bytes existentes en cada uno de los paquetes lo que, teniendo en cuenta la cantidad de paquetes enviados, supone una gran reducción de los tiempos de carga de una web.

HTTP/3: El siguiente paso del HTTP

HTTP/3 es la última versión lanzada, al menos hasta el momento en el que estoy escribiendo este artículo, del protocolo HTTP. La diferencia fundamental entre HTTP/3 y las versiones anteriores es que se ejecuta sobre QUIC en vez de TCP: es un protocolo más rápido, seguro y más actualizado a las necesidades web a día de hoy. De manera resumida, el protocolo QUIC aúna tanto el protocolo de transmisión (TCP) como el protocolo de encriptación (TLS), transmitiendo varios flujos de datos a la vez mucho más rápido que los protocolos anteriores (aunque todavía a día de hoy se considera menos fiable). Para concluir esta parte me gustaría señalar que, según W3techs, la cuota de mercado de HTTP/2 ha ido descendiendo en el último año, situándose ahora mismo en un 36.2%, mientras que la de HTTP/3 se ha incrementado de manera progresiva desde su lanzamiento hasta llegar a un 26.4% a día de hoy.

Cómo influyen HTTP/2 Y HTTP/3 en el protocolo HTTPS

A estas alturas ya sabes que el protocolo HTTPS es fundamental para enviar y recibir paquetes de datos sensibles como, por ejemplo, el número de una tarjeta de crédito, diagnósticos clínicos, etc. Por ello, tanto HTTP/2 como HTTP/3 incluyen por defecto cifrado HTTPS, que es muy útil para realizar las implementaciones HTTPS de manera más segura. Además, estas versiones de HTTP disminuyen el consumo de recursos tanto por parte del cliente como por parte del servidor, eliminando así las principales vulnerabilidades de la primera versión del protocolo. Por lo tanto, sobra decir que a día de hoy no se puede entender una web que todavía use las primeras versiones de HTTP, ya que simplemente utilizando cualquier variante actualizada se incrementarán tanto la seguridad como el rendimiento de tu web notablemente.

Qué es y qué implica tener un certificado SSL/TLS en tu sitio web

Los certificados SSL/TLS verifican la identidad del sitio web al que corresponden acreditando que se están empleando de manera correcta los protocolos SSL y TLS.

SSL (Secure Sockets Layer) es un protocolo de seguridad a través del que se verifica la identidad de un sitio web y se cifran las comunicaciones entre dispositivos, asegurando que estas se realizan de manera segura y confidencial.

Es muy sencillo visualizar el certificado SSL de cualquier web. Solo debes clicar sobre el candado que aparece en tu barra de direcciones y luego sobre la frase "La conexión es segura" para ver un mensaje como este:

Una vez estés ahí, solo debes clicar sobre "El certificado es válido" para ver los detalles del certificado SSL de la web.

En realidad, aunque comúnmente se sigue llamando certificado SSL, a día de hoy todos o casi todos los certificados indican que se pueden utilizar protocolos SSL o TLS, cuyo funcionamiento es similar pero más avanzado, actualizado y seguro.

El protocolo TLS (Transport Layer Security) realiza las mismas funciones que el SSL, pero de manera más eficaz, encriptando los datos de las comunicaciones de tal manera que son más difíciles de interceptar.

Existen diferentes organizaciones que otorgan este tipo de certificados. Las más conocidas son GlobalSign o Let's Encrypt, estos últimos famosos por los certificados gratuitos que muchas empresas de alojamiento incluyen en sus tarifas. Es importante diferenciar entre protocolo y certificado, ya que el protocolo de una web está marcado por la configuración del servidor y el certificado simplemente indica que este está funcionando correctamente.

Ventajas de tener un certificado SSL en tu web

Las principales ventajas de disponer de un certificado SSL son:

• Seguridad: La comunicación realizada entre tu página y el cliente siempre se transmitirá de forma cifrada y protegida contra ataques de terceros, evitando que estos puedan acceder a los llamados datos sensibles.
• Mejora del posicionamiento web: Tal y como ocurría con el uso de HTTPS, Google valora positivamente que los sitios web dispongan de un certificado SSL.
• Verificación de la identidad y mayor confianza en la misma: Es evidente que disponer de un certificado que acredita la identidad de un sitio web aumenta la confianza en el mismo por parte de los posibles usuarios, eliminando así cualquier duda ante una posible suplantación online.

Tipos de certificado SSL

Los certificados SSL se pueden clasificar en base a dos criterios diferentes: En función de la cantidad de dominios que acreditan:

• Dominio único: El certificado SSL se encarga de verificar la identidad de un único dominio.
• Wildcard: Cubre tanto un dominio como todos los subdominios de este.
• Multidominio: Puede asegurar diferentes dominios (además de sus subdominios).

En función del grado de validación:

• Validación de dominios: Es el cifrado más básico de todos. Asegura un único dominio además de verificar la información de su titular. Es el más recomendado para blogs pequeños o medianos y para páginas web personales.
• Validación de organización: Este cifrado es un poco más avanzado que el anterior. Asegura el dominio al que está asociado y verifica tanto la identidad del titular como de la organización. Muy recomendado para páginas pequeñas de empresa y tiendas online.
• Validación extendida (EV): Este es el nivel más avanzado de cifrado y realiza una investigación profunda para confirmar tanto el titular como la organización asociados a él. Sin duda, es el más recomendado para empresas grandes, ya que son más susceptibles de sufrir posibles ataques de suplantación. Son muy fáciles de detectar porque el nombre de la empresa figurará junto al candado que aparece en la barra de tu buscador.

Cómo implementar HTTPS en tu sitio web WordPress

Pasar tu web en WordPress a HTTPS es relativamente sencillo, pero puede surgir alguna duda a lo largo del proceso. Por eso, a continuación te voy a explicar cómo hacerlo de manera detallada para evitar errores que puedan afectar al correcto funcionamiento de tu web. El primer paso que debes llevar a cabo, tras obtener un certificado SSL, es adaptar las direcciones de tu sitio a HTTPS. Para ello:

1. Accede en el menú de tu dashboard de WordPress a Ajustes > Generales.
2. En el apartado Dirección de WordPress (URL), sustituye la URL de tu dominio por la misma dirección pero precedida de https://
3. En el campo Dirección del sitio (URL), realiza el mismo cambio que en el paso anterior.

El resultado tiene que ser igual a lo mostrado en la siguiente captura, que recoge estos cambios que yo mismo he hecho en mi dominio de pruebas.

Es importante que sepas que, realizando estos cambios, todos los enlaces internos se actualizarán a HTTPS siempre y cuando tu versión de WordPress sea la 5.7 o posterior. Para versiones anteriores, te recomiendo que actualices tu WordPress antes de empezar el proceso de implementación de HTTPS.

El siguiente paso consiste en que todos los visitantes de tu web accedan a través de HTTPS. Para ello ,debes acceder al archivo .htaccess desde el cPanel de tu hosting e insertar unas líneas de código, así: 1. Abre el "Administrador de archivos" de tu cPanel. 2. Una vez ahí, accede a la carpeta public_html y edita el archivo .htaccess de tu WordPress.

3. Al final del archivo .htaccess, incluye las siguientes líneas de código:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.tupaginaweb.es/$1 [R,L]
</IfModule>

Asegúrate de cambiar correctamente "www.tupaginaweb.es" por tu dominio y de guardar los cambios para que la redirección realizada empiece a funcionar de manera inmediata.

¡Ahora ya sabes cómo funciona HTTPS!

Si has llegado hasta el final, estoy seguro de que ya eres plenamente consciente de la importancia que el protocolo HTTPS tiene a día de hoy y de que emplearlo es indispensable para asegurar la comunicación segura entre tu web y tus clientes. Además, ya has visto que implementarlo en tu web es de lo más sencillo, ya que tú mismo puedes hacerlo en unos pocos minutos siguiendo la guía anterior. Te servirá para convertir tu web en un lugar donde tus visitantes puedan compartir sus datos personales tranquilamente. Si te has quedado con alguna duda o quieres comentarme cualquier cosa sobre HTTPS, no dudes en hacerlo en los comentarios. Tanto yo como cualquiera de mis compañeros estaremos encantados de responderte ✌