Errores comunes al implementar HTTPS — Caso estudio Semrush

Rost Torchinskiy

may 16, 201710 min de lectura
Errores comunes al implementar HTTPS — Caso estudio Semrush

El implementar HTTPS se ha vuelto necesario pero no está carente de riesgos.

Migrar tu sitio web a HTTPS no supone, precisamente, un plus para el SEO, ni tampoco es una prioridad para un gran negocio, pero sí que lo es para todo tipo de páginas web.

Según diversas  estadísticas de Firefox, podemos concluir que el volumen de tráfico cifrado o encubierto no para de crecer.

De hecho, y según datos a fecha de 29 de enero de este mismo año, tan sólo el 50% del tráfico web es seguro.

¡Todo un problema para el SEO y la analítica web!

Tal y como afirma Ross Schulman, codirector de la iniciativa de ciber-seguridad de la New America Fundation:

No podemos exagerar sobre la relevancia de este aspecto, que supone un punto de inflexión.

— Ross Schulman - Cibersecurity New America Fundation

Si tu web todavía se encuentra en el “lado oscuro”, deberías empezar a reconsiderar la situación dado el panorama al que nos enfrentamos con el tema del tráfico cifrado.

Piensa que la influencia de utilizar el protocolo HTTPS es un factor clave de rankeo, ya que es una señal de confianza para asegurar la fiabilidad del tráfico de usuarios y, por ende, una garantía de protección para tu web hacia cualquier tipo de ataque.

Por ello, en este artículo vamos a hablarte sobre los errores que podrías cometer a la hora de hacer una implementación del protocolo HTTPS y de qué manera podrías solucionarlos o, incluso, evitarlos.

Si estás pensando en hacer una migración de HTTP a HTTPS, deberías actuar con precaución y no perderte esta lectura.

¿Cuáles son los errores más comunes al implementar HTTPS?

Infografía sobre errores HTTPS

Todos los datos estadísticos de este artículo han sido obtenidos de la investigación realizada por el equipo de SEMrush a partir de la herramienta “Site Audit”.

Gracias a la misma, hemos recogido datos anónimos de hasta 100.000 webs con el fin de averiguar con qué frecuencia se cometen errores en la implementación HTTPS.

En este sentido podemos señalar lo siguiente:

  • Análisis de sitios con protocolo HTTPS

En primer lugar, debemos aclarar que sólo el 45% de los sitios analizados cuentan con un soporte HTTPS, por lo que la información recabada sobre la frecuencia de errores, pertenece al análisis de dicho porcentaje de dominios seguros.

  • Sitios HTTP y login de acceso no seguros

En segundo lugar, remarcar que, según las últimas actualizaciones de Chrome (56) de Google, desde enero de 2017 las páginas con protocolo HTTP que recaben datos sobre contraseñas o tarjeas de crédito, serán marcadas como no seguras como parte de un plan de ciberseguridad a largo plazo.

Para identificar la frecuencia con la que se cometen errores de implementación, hemos analizado en detalle el 100% de los 100.000 dominios de nuestra base de datos, ya que Google ha impuesto estrictamente dichos requisitos sobre los sitios HTTP no seguros (todos ellos deben estar cifrados).

Por ahora, sólo un 9% de los sitios analizados contienen páginas no seguras con login a través de contraseña.

Además, Google ha aclarado expresamente que los posibles errores en el protocolo HTTPS deben ser evitados, esperando que con esta iniciativa se fomente la migración hacia el protocolo HTTPS.

¿Quieres saber de qué errores se trata y cómo solucionarlos?

¡Echemos un vistazo uno a uno!

Errores de Arquitectura Web

  • Contenido mixto

El contenido mixto se produce cuando una página carga a través de conexiones HTTPS seguras, pero contiene algunos elementos (como imágenes, links, IFrames, scritps, etc.), que no están protegidos por dicho protocolo.

En primer lugar, esto puede llevar a problemas de seguridad.

Además, los navegadores suelen avisar sobre la carga de contenidos no seguros de este tipo, lo que afecta también a la experiencia de usuario y repercute negativamente en la confianza sobre el sitio web en cuestión.

La magnitud de este problema es mayor de que lo puedas pensar, el 50% de los sitios web lo tienen y esto se debe a que es una cuestión difícil de analizar manualmente.

En otras palabras, se trata de un problema más que real.

  • Enlaces internos en HTTPS que redirigen a páginas HTTP

Todos los enlaces internos de una web, así como las imágenes, scripts, etc., deben apuntar hacia versiones HTTPS. Esto es algo realmente importante, se hayan implementado o no redireccionamientos HSTS (aunque especialmente cuando no se ha hecho).

Este error también se puede provocar al hacer una migración a HTTPS, que parece ser el más común (lo cometen el 50% de los casos que hemos estudiado), debido a que analizar todas las páginas manualmente requiere demasiado tiempo.

  • Canonicals o páginas que no redirigen de HTTP a HTTPS

Al hacer una migración, es fundamental hacer la correcta redirección de páginas canonical por diversas razones:

  1. Para aportar una experiencia web segura y estable.
  2. Para no impedir a los buscadores que puedan averiguar cuál es la página que se debe indexar y priorizar en los resultados de búsqueda.

Con ello, se producen muchos errores por canibalización entre páginas que compiten por posicionar, lo que conlleva a una pérdida sustancial de tráfico y caída en los rankings.

Por el contrario, el redireccionamiento (o canonización) bien implementado, puede mejorar considerablemente el posicionamiento web.

Este problema no afecta a los sitios web que utilizan HSTS, ya que éstos evitan la comunicación del navegador con el protocolo HTTP (por tanto, tampoco los hemos considerado en nuestro estudio).

Hemos descubierto que en un 8% de los sitios web analizados, excluyendo los que cuentan con HSTS, la versión de la página home en HTTP no corresponde con la versión en HTTPS (y esto sin contar con la cantidad de errores que habrá en el resto de páginas, ¡imagínate!). 

  • URLs HTTP en el sitemap.xml de un sitio HTTPS

Se trata de otro error que también se puede producir al hacer una migración.

En este sentido, Google nos advierte de que para evitar la indexación de la versión web incorrecta, se deben incluir en el sitemap las páginas en versión HTTPS, y no en HTTP.

Aunque esto parezca obvio, el 5,5% de los sitios web que hemos analizado cometen este error a la hora de realizar la migración.

Para ello, no es necesario crear otro archivo sitemap.xml para la versión HTTPS, únicamente hay que cambiar el protocolo en el mapa del sitio.

Te recomendamos revisar la guía de Fili Wiese para aprender a realizar esta migración adecuadamente.

Errores de Certificado de Seguridad

  • Certificado SSL expirado

El certificado SSL (Secure Socket Layer), se utiliza para establecer una conexión segura entre un servidor y un navegador, protegiendo con ello los datos susceptibles de ser robados.

Para algunos tipos de negocios o empresas que trabajan con datos confidenciales, como tarjetas de crédito y números de seguridad social, la caducidad de este certificado provoca una clara pérdida de credibilidad.

Además, cuando este certificado se caduca o expira, se activa un mensaje de advertencia visible para los usuarios, lo que también provoca un aumento en la tasa de rebote.

En nuestro estudio, hemos identificado un 2% de sitios web con el certificado SSL expirado.

  • Certificado SSL registrado en un nombre de dominio incorrecto

Este error se da cuando el nombre de dominio registrado en el certificado SSL no corresponde con el que realmente se muestra en la barra de direcciones, un error común en el 6% de los sitios analizados.

La mayor frecuencia respecto al error anterior, se debe a que hay una incorrecta concepción acerca de que un único certificado SSL (registrado para un dominio raíz “ejemplo.com”) es válido también para los subdominios (“subdominio.ejemplo.com”).

Para solucionar este problema, se debe contar con un certificado multi-dominio, el cual permita utilizar un mismo certificado para varios nombres de dominio o direcciones IP.

Hay que tener en cuenta que los nombres no cualificados, los hosts locales o las direcciones IP privadas pueden violar los requerimientos de este tipo de certificados.

Errores de Servidor

  • Incompatibilidad con el protocolo HSTS (HTTP Strict Transport Security)

El protocolo HSTS se encarga de informar a los navegadores web que tan sólo deben comunicarse con los servidores a través de conexiones seguras HTTPS.

Supongamos que un usuario escribe en la barra de direcciones el nombre tu dirección web con el protocolo HTTP.

En este caso, el protocolo HSTS se encargaría de darle las instrucciones al navegador para que directamente utilizase la versión HTTPS.

Este protocolo es una protección contra ataques de degradación y secuestro de cookies.

Una vía para proteger a los usuarios del conocido ataque “Man In The Middle” o ataque de intermediario.

Este tipo de ataques trata de interceptar el tráfico de un usuario (la víctima) utilizando un certificado inválido que espera ser aceptado.

HSTS no permite que los usuarios puedan interactuar con este tipo de certificados falsos.

En nuestro caso de estudio, el 86% de los sitios web eran incompatibles con HSTS.

Algo que no es de extrañar, ya que se trata de una tecnología bastante nueva que los navegadores han empezado a soportar recientemente.

Con suerte, el próximo año veremos un cuadro muy diferente y con una tendencia positiva.

  • Versión obsoleta del protocolo de seguridad (TLS 1.0 o anterior)

Los protocolos TLS (Transport Layer Security) y SSL (Secure Sockets Layer), que proporcionan una conexión segura entre un sitio web y un navegador, deben actualizarse regularmente de acuerdo a las nuevas versiones (1.1 o superiores).

Aquí no hay elección.

Se trata de una necesidad, dado que una versión desactualizada de un protocolo provoca que el robo de datos sea demasiado sencillo.

Sin embargo, es uno de los errores más comunes (se da en el 3,6% de los casos analizados), y significa que las empresas, incluso aquellas que tienen muy en cuenta la renovación a tiempo del certificado SSL, puedan olvidar actualizar la versión de su protocolo.

Así que, ya sabes, ¡no olvides revisar regularmente el estado de tu sitio web!

  • Incompatibilidad con la extensión SNI (Server Name Indication)

El servidor SNI, es una extensión del protocolo TLS (Transport Layer Security) y te permite alojar múltiples servidores y certificados bajo la misma dirección IP.

El uso de la extensión SNI solventa el problema del que hablábamos anteriormente, el certificado SSL registrado en un nombre de dominio incorrecto.

Pongámonos en el caso de que añades un nuevo subdominio, recibes la notificación de que la conexión es insegura porque el certificado SSL corresponde a un dominio diferente y es difícil (o incluso imposible) preveer todos los posibles nombres.

Pues para eso está la extensión SNI, que previene de errores como éste.

Podemos afirmar que sólo hemos descubierto ese tipo de errores en un 0,56% de las webs, debido a que no es un requerimiento estricto. 

Informe SEMrush de implementación HTTPS

Todos y cada uno de los errores que hemos comentado en este artículo, pueden ser detectados por nuestro informe de implementación HTTPS; un nuevo informe accesible a través de nuestra herramienta “Site Audit”.

En este sentido, queremos darte un par de datos más para que conozcas de qué manera funciona técnicamente este informe y cómo puedes detectar tus propios errores de implementación.

A la hora de detectar errores sobre la caducidad del certificado SSL, el informe de SEMrush no sólo muestra si está expirado o no, sino también la fecha límite.

Esto puede ayudar a prevenir el problema enviando una notificación acerca de la próxima fecha de expiración.

Si un certificado se ha registrado bajo un nombre de dominio incorrecto, el informe mostrará el nombre del subdominio para el que se emite el certificado, lo que ayuda también a detectar este otro tipo de errores.

Hablando sobre errores relacionados con el servidor, el informe te ofrecerá datos detallados sobre el subdominio exacto que necesita una actualización del protocolo de seguridad (especificando la versión actual) o las incompatibilidades HSTS o SNI.

Respecto a los errores relacionados con la arquitectura web, con este informe es posible detectar cualquier tipo de elemento HTTP, uno de los puntos más interesantes sobre contenido mixto.

Esto significa que el informe es apto para encontrar y detallar específicamente cualquier elemento inseguro.

Teniendo en cuenta lo laborioso que podría ser detectar un error de contenido mixto de forma manual, este informe supone una gran ayuda.

También encontrarás un símbolo que marca el grado de gravedad de los errores para, con ello, establecer un orden de prioridad a la hora de actuar sobre ellos.

Tipos de errores de implementación de HTTPS

Así que, podemos decir que estas nuevas implementaciones junto con la alta velocidad de rastreo, los 50 controles de página y otros aspectos técnicos de SEO, así como su amigable interfaz, hacen de “Site Audit” de SEMrush una de las herramientas más potentes del mercado para auditar y, definitivamente, entre las mejores de SEO.

¿Qué opinas?

Nos gustaría saber tus impresiones sobre el nuevo informe de HTTPS.

Y cuéntanos qué errores al implementar HTTPS te han causado mayores problemas y cómo los has superado.

Artículo original:  10 HTTPS Implementation Mistakes - SEMrush Study por Elena Terenteva.

Compartir
Author Photo
Rost es el Senior Digital Marketing Manager encargado de los procesos de marketing online en las regiones de España y America Latina