Qué es HTTPS: la guía definitiva para entender cómo funciona

Brian Harnish

feb 02, 202111 min de lectura
Qué es HTTPS

TABLA DE CONTENIDOS

Una definición rápida: HTTPS significa protocolo de transferencia de hiper texto seguro, y es la versión encriptada de HTTP. Se utiliza para una comunicación segura a través de Internet o de una red. El protocolo de comunicación se cifra mediante Transport Layer Security (TLS) o, anteriormente, Secure Sockets Layer (SSL). 


Nuestro viaje dentro de este artículo será una inmersión profunda en el mundo de HTTP frente a HTTPS, y su funcionamiento. Y te mostraremos cómo asegurarte de que tu sitio sobreviva cualquier problema técnico al migrar de un protocolo a otro. Esto es lo que cubriremos:

Al principio, los SEOs tenían HTTP, un protocolo utilizado para entregar páginas web a las masas. La web era simple y las migraciones de sitios web existían únicamente de un dominio a otro, o de un servidor a otro. No tenías que preocuparte mucho más allá de las redirecciones habituales y asegurarte de que la migración de tu sitio web se realizara sin problemas. Y luego vino HTTPS.

Las nuevas tecnologías siempre crean nuevas situaciones que hay que resolver para lograr los mismos (o mejores) resultados que antes.

HTTP y HTTPS: su importancia para la WWW

HTTP, o protocolo de transferencia de hiper texto, es la columna vertebral de la red mundial. Es el protocolo utilizado para procesar, representar y entregar páginas web desde un servidor al navegador de un usuario. HTTP es el medio a través del cual se muestra la mayor parte de la web.

HTTP y HTTPS funcionan a través de solicitudes. Estas solicitudes son creadas por el navegador del usuario cuando se realiza alguna interacción con un sitio web. Este es un elemento crítico en la representación de páginas, y sin él, no estaríamos utilizando la World Wide Web como existe hoy.

Cómo funciona: digamos que alguien busca "cómo hacer una migración de sitio web". La solicitud se envía al servidor, que luego envía otra solicitud con los resultados de búsqueda. Estos resultados se muestran en la SERP (página de resultados del motor de búsqueda) cuando completas la búsqueda.

Todo esto ocurre en milisegundos. Pero, esa es una explicación muy general de cómo funciona el protocolo de transferencia de hiper texto.

¿Qué es HTTP? 

HTTP es la sigla de protocolo de transferencia de hiper texto. Es el método principal por el cual los datos de las páginas web se transfieren a través de una red. Las páginas web se almacenan en servidores, que luego se envían al cliente cuando el usuario accede a ellas.

Y la red resultante de todas estas conexiones crea la red mundial tal como la conocemos hoy. Sin HTTP, la World Wide Web (WWW) no existiría tal como la conocemos.

No obstante, existe un problema importante con una conexión HTTP: los datos que se transfieren a través de una conexión HTTP no están encriptados, por lo que se corre el riesgo de que atacantes externos accedan, y roben, la información. Cualquier información transmitida a través de HTTP no es privada. Por lo que datos de tarjetas de crédito, o información confidencial, no deben compartirse en una página HTTP.

¿Qué es HTTPS? 

HTTPS es el protocolo de transferencia de hipertexto seguro. 

¿Cómo funciona HTTPS?

A diferencia de HTTP, HTTPS utiliza el certificado de un proveedor externo para asegurar, y proteger, una conexión y así verificar que el sitio sea legítimo. Este certificado de seguridad se conoce como certificado SSL.

SSL es la abreviatura para "Secure Sockets Layer” (“capa de sockets seguros” en español). Esto crea una conexión segura y cifrada entre un navegador y un servidor, y protege la capa de comunicación entre ambos.

Este certificado cifra una conexión con un nivel de protección designado en el momento de la compra de un certificado SSL. 

Un certificado SSL proporciona una capa adicional de seguridad para los datos confidenciales a los que no deseas que accedan atacantes al tu sitio para obtener información. Esta seguridad adicional puede ser extremadamente importante cuando se trata de sitios eCommerce.

Algunos ejemplos de su funcionamiento:

  • Cuando buscas proteger la transmisión de datos de tarjetas de crédito u otra información confidencial (como la dirección real y la identidad física de alguien). 

  • Cuando tienes un sitio web de generación de leads que se basa en la información real de alguien. En este caso deseas utilizar HTTPS para protegerte contra ataques maliciosos a los datos de usuarios.

HTTPS tiene muchos beneficios que valen la pena. Recuerda, si el certificado no está presente, un tercero podría escanear fácilmente la conexión en busca de datos confidenciales.

Cómo funciona HTTPS

¿Qué es TLS? Y cómo se aplica a HTTPS

TLS significa seguridad de la capa de transporte. Ayuda a cifrar HTTPS y se puede utilizar para proteger el correo electrónico y otros protocolos. Utiliza técnicas de cifrado que garantizan que los datos no hayan sido manipulados desde que se enviaron, y que las comunicaciones se realicen con la persona real para evitar que se vean datos privados.

El proceso comienza con un TLS Handshake, que inicia una sesión de comunicación con cifrado TLS. Aquí es donde tiene lugar la autenticación y se crean claves de sesión. Las claves de sesión nuevas se generan cuando dos dispositivos se comunican, a partir de dos claves diferentes que trabajan juntas. El resultado de esto es una comunicación más profunda y cifrada.

qué es TLS handshake

A continuación, te mostramos algunos errores que Google sugiere que evites.

Errores a evitar HTTPS

Un paso crítico para HTTPS: autenticar el servidor web

El paso más crítico para una conexión segura HTTPS es asegurarte de que un servidor web sea quien dice ser.

Y el certificado SSL es la parte más importante de esta configuración. Asegura que el propietario del servidor web sea quien dice ser. Funciona de manera muy similar a una licencia de conducir: confirma la identidad del propietario del servidor.

Existe una capa de protección contra ciertos tipos de ataques cuando se implementa HTTPS, que lo convierte en un elemento básico, y valioso, de tu sitio web.

HTTP frente a HTTPS: HTTPS genera confianza con tus usuarios

Un beneficio de HTTPS es que ayuda a generar confianza con tus usuarios. Para una eCommerce, el hecho de que aparezca un candado en tu sitio provee confianza a tus usuarios para realizar transacciones con tarjetas de crédito sin ser filtradas.

image.png

Ayudará a los usuarios a confiar en tu sitio mucho más que si fuera un sitio inseguro. También, los navegadores modernos advierten a los usuarios cuando los sitios no son "seguros".

Con HTTPS, los datos de las tarjetas de crédito, las contraseñas, los datos privados de los usuarios y los datos personales se cifran con una capa alta de seguridad. Y esta seguridad es lo que permitirá que tu sitio sea competitivo frente a otros en tu nicho.

Además de proteger los datos del usuario de miradas indiscretas, https:// ayuda a proteger tu reputación. Si regularmente tienes brechas de seguridad en tu sitio y los datos están expuestos, la gente no querrá usar tu sitio web. Esto dañaría irreparablemente tu reputación online.

Excepciones de HTTP

Si bien las excepciones son pocas hoy en día, todavía hay sitios web que no han realizado el cambio completo a https://. Para ciertos casos, esto tiene sentido: si no brindas servicios que regularmente requieren datos confidenciales para eCommerce u otras razones, probablemente no necesites una mayor seguridad.

En un mundo perfecto, cuando todo es igual en un sitio web, https:// es un factor de desempate para el posicionamiento. Sin embargo, rara vez vivimos en un mundo perfecto cuando se trata de SEO. Por lo tanto, aún puedes posicionarte cuando se trata de http://.

Si bien hay muchos beneficios de https://, John Mueller también ha dicho que HTTPS es un factor de posicionamiento liviano. No obstante, Google tiene constancia de que "cuando todo lo demás es igual, el beneficio de posicionamiento de HTTPS es un factor de desempate".

Problemas SEO en la migración: pasar de HTTP a HTTPS

Hay muchos beneficios al cambiar de HTTP a HTTPS desde una perspectiva SEO. Sin embargo, a menos que estés familiarizado con el proceso, se podría causar más daños que beneficios.

Debes informar a Google sobre la transición. Debes elegir el certificado que mejor se adapte a tu situación, configurar Google Search Console, configurar Google Analytics, actualizar los enlaces internos y actualizar las URLs relativas. Veamos cada uno de estos pasos un poco más de cerca:

Informa a Google sobre la transición y los errores que debes evitar

Este paso implica configurar otro perfil de Google Search Console. No desactives tu perfil de GSC no seguro. En su lugar, debes mantener activos todos los perfiles. Configura un nuevo perfil para la versión HTTPS de tu sitio y asegúrate de que continúe recopilando datos.

Además, en Google Analytics, debes asegurarte de configurar tu perfil seguro. De lo contrario, no rastreará los datos correctos.

No olvides actualizar los parámetros de recopilación de datos en Google Tag Manager cuando sea necesario. Además, si utilizas Bing Webmaster Tools, también necesitas actualizar de http:// a https:// durante la migración.

Te sorprenderías de la frecuencia con la que encontramos errores en las migraciones de http:// a https:// que fueron causados por una falta de supervisión en el desarrollo del proceso de transición, y por no actualizar los perfiles de seguimiento de datos críticos.

Este tipo de errores pueden llevar tanto a un reporte incorrecto de datos, los cuales pueden significar un desastre para la precisión de tus decisiones en una estrategia de SEO.

Elige el certificado de seguridad adecuado: certificados SSL y Wildcard

Hay certificados SSL para una variedad de propósitos. Uno para un solo dominio, otro para múltiples dominios, sin mencionar las Certificaciones Wildcard. Para sitios más pequeños, generalmente no es necesario una certificación Wildcard. Sin embargo, puede hacerte la vida mucho más fácil al trabajar para controlar la sintaxis de URL en tus sitios web.

Se emite un certificado SSL para un subdominio o para el dominio único. Un certificado SSL para varios dominios te permitirá proteger el nombre de dominio principal y hasta 99 SANs, o nombres alternativos.

La certificación Wildcard te permite proteger la URL de tu sitio web inicial y todos los subdominios ilimitados asociados a él. Esto significa que si configuras domain.maindomain.com y se crea con una certificación Wildcard, será automáticamente seguro. No tendrás que esforzarte más para asegurarte de que se ajuste a la seguridad existente de tu sitio. En otras palabras, te ahorrará muchos dolores de cabeza.

Claramente, la certificación Wildcard es el claro ganador aquí. Pero, como un certificado sólido con muchas características diferentes, cuesta más, por lo que tendrás que sopesar el gasto comercial adicional y compararlo con los beneficios que obtendrás.

Asegúrate de que todas las URLs se actualicen correctamente en todo el sitio

Algunos recomiendan usar solo URLs relativas para tus recursos. Suponiendo que puedas gestionar las necesidades continuas de tu sitio web, no es necesario que realices este paso. Solo debes asegurarte de que todo el contenido del sitio se adjunte mediante el protocolo correcto. ¡Y no olvides tu sitemap XML!

Te sorprenderás de la cantidad de auditorías que he realizado en sitios que no completan este paso: asegurarse de que todo el contenido sea seguro.

No importa si usas URLs relativas, o absolutas, siempre que se estén actualizadas en el sitio. Puedes cambiar a URLs relativas si lo prefieres, pero si tu sitio se basa en URLs absolutas, usa una opción de buscar y reemplazar con tu base de datos si tu sitio lo permite. Esto te ayudará a eliminar todas las instancias existentes de contenido mixto.

Asegúrate de que tus URLs estén correctamente precedidas por https:// después de realizar la transición, así no deberías experimentar ningún problema importante.

No evites que Google rastree tu nuevo sitio HTTPS

Debes asegurarte de que todos los elementos se puedan rastrear desde tu archivo robots.txt. A menos que tengas una carpeta que realmente no debería indexarse, entonces tiene sentido permitir que Google rastree todo en el sitio, incluso los archivos CSS y JS. Si tu sitio no permite la representación de archivos CSS y JS, puedes tener problemas.

Si no permites que un elemento CSS o JS crítico se muestre en la página, entonces Google no podrá comprender todo el contexto de la página, que es una parte importante para lograr posiciones más altas. Además, aproximadamente el 99% de los casos, no hay razón para excluir archivos CSS o JS de esta manera.

La herramienta de Auditoría del sitio es útil para la implementación de HTTPS. Te muestra cualquier problema que puedas tener y ofrece recomendaciones para solucionarlo. 

image.png

Verifica todo durante tu migración

El monitoreo regular de tu sitio es fundamental para lograr una migración exitosa a https://. Revisa Google Search Console, Google Analytics y vuelve a revisar cualquier otro software de informes que utilices. Si no has actualizado http:// a https://, debes hacerlo tan pronto como sea posible. De esa manera, no te encontrarás con más problemas que puedan dañar tus esfuerzos de SEO.

HTTP:// frente a HTTPS:// - ¿Cuál es realmente el mejor?

Para los que inician en SEO, es una tarea abrumadora descubrir los detalles detrás de elegir un protocolo seguro o inseguro. Aquí hay algunos puntos que pueden ayudarte para tomar una decisión:

¿Tienes una tienda eCommerce que utiliza información confidencial de tarjetas y datos personales? Entonces proteger tu sitio web con HTTPS es tu mejor opción. Ayudará a difundir la buena voluntad y la confianza entre tus clientes online, y garantizará que no cometas el error de estar demasiado abierto a los ataques web. Tu reputación online también tendrá un posicionamiento más positivo.

¿Qué sucede si no tienes tienda eCommerce, pero tratas con personas que envían su información (por ejemplo, a través de un sitio de generación de leads)? Entonces deberías usar HTTPS. Las personas cuentan con la seguridad de la web para protegerlos, junto con sus datos personales, para que no se vean comprometidos. Esta elección ayuda a agregar otra capa de confianza y legitima tu empresa.

¿Deberías utilizar la opción gratuita de Let's Encrypt? Eso depende. ¿Estás comenzando y no tienes presupuesto para ello? Entonces, esta es una buena opción. Pero si eres una empresa que está ganando muchos miles de dólares, sería mejor usar una opción más cara como GeoTrust o Comodo. Ambos hacen lo mismo cuando la implementación va bien, pero en marketing, la percepción es importante.

Si eliges permanecer en http:// o pasar a https:// depende de tí. Pero, cuando se trata de crear una web más segura, dar el salto a https:// es una excelente opción para aprovechar.

Más sugerencias sobre HTTPS de Google: HSTS y preguntas comunes

Youtube video thumbnail
Compartir
Author Photo
Brian has been doing SEO since before it was called SEO, back in 1998. Back then, SEO was known as "web development enhancements," and the marketing of the term was just beginning. He is proficient in web design, web development, and hands-on SEO. He currently works as a Sr. SEO Analyst with Bruce Clay, Inc.