Cuando abrimos una página web a través del navegador, éste busca la dirección IP que corresponde al sitio web y se conecta a ella asumiendo que pertenece al servidor indicado.
Pues bien, cuando se trata de una web con HTTP normal, no hay manera de verificar que estás conectado al servidor correcto.
Quizás piensas que estás en el sitio web de tu banco pero en realidad puede tratarse de una red comprometida en la que te has conectado a una página fraudulenta.
Y ya puedes imaginar la gravedad del asunto.
Por fortuna lo puedes evitar fácilmente si implementas el protocolo HTTPS en tu página web.
En esta entrada vamos a explicar lo que es el HTTPS y para qué sirve.
HTTPS significa Hypertext Transfer Protocol Secure (Protocolo de Transferencia de Hipertexto Seguro).
Se trata del mismo protocolo HTTP pero utiliza el cifrado SSL / TLS, que es lo que proporciona la seguridad entre el servidor y el navegador web.
SSL o Secure Socket Layer (Capa de Puertos Seguros) y TLS o Transport Layer Security (Seguridad en la Capa de Transporte) son dos protocolos para enviar paquetes cifrados a través de Internet.
TLS es una versión más actualizada de SSL, aunque ambos cumplen la función de encriptación de datos.
Cualquiera de las dos tecnologías se instala en el servidor web mediante un certificado (también llamado “certificado digital”), el cual proporciona tres capas fundamentales de seguridad:
El certificado dispone de una clave pública y otra privada, ambas compuestas por una larga cadena de números generados de forma aleatoria.
Cuando un navegador se conecta a un servidor, se genera un proceso que se denomina “juego de llaves” o “protocolo de enlace”: con la clave pública se cifra la información del navegador y se envía al servidor, quien lo descifra con la clave privada.
De esta manera se garantiza la seguridad en el tráfico de datos.
Se cifran todos los datos de HTTP.
Esto incluye no solo la página web sino la url completa, los parámetros, las cookies…
Por tanto, el HTTPS impide que alguien externo vea la página web que estamos visitando y además impide que pueda conocer las urls por las que nos movemos, los parámetros que enviamos, las cookies, etc.
Como ya hemos dicho, es importante tener HTTPS principalmente por la seguridad de los datos.
Con HTTPS, la información se encripta de tal forma que aunque los paquetes de datos sean rastreados o interceptados, aparecerán como caracteres sin sentido.
Lo mejor es que lo veamos con un claro ejemplo:
Texto antes de la encriptación:
This is a string of text that is completely readable
Texto después de la encriptación:
ITM0IRyiEhVpa6VnKyExMiEgNveroyWBPlgGyf3xMsJormzzXlwOyrCs+9XCPk63Y+z0=
Esto dificulta claramente su interpretación por espías o personas ajenas.
Google se toma muy en serio la seguridad en Internet.
Prueba de ello es que, desde hace unos años, está prestando más atención a los sitios web que tienen el certificado SSL y activado el protocolo HTTPS, y los premia con una mejora en el posicionamiento orgánico (SEO).
Por tanto, si estás trabajando en el SEO de tu sitio web y quieres posicionar en Google, activar el HTTPS debe estar entre tus primeras prioridades.
Con la llegada de la versión 62 del navegador Chrome en 2018, Google empezó a marcar las páginas web con dirección HTTP como “no seguras”, con un icono rojo poco agradable.
Esta medida de advertencia se introdujo para asustar a los usuarios y alentarlos a buscar otros sitios web más confiables. Y eso mismo fue lo que pasó.
Desde entonces, los sitios web con HTTP han aumentado considerablemente sus tasas de rebote, lo cual se ha traducido en pérdidas de conversiones y ventas.
Y todo porque los clientes no confían en el sitio web.
Es por ello que es necesario que actives el modo HTTPS.
¡Ojo! No garantiza que vayas a aumentar tus ventas, pero ya sabes que sin él corres el riesgo de perder clientes por la falta de confianza.
Y eso es algo que no nos podemos permitir.
Por último, y no por ello menos importante, para poder implementar una Progressive Web App en tu sitio web es obligatorio que tengas instalado el certificado SSL y activado el protocolo HTTPS.
Es una condición necesaria para que el Service Worker funcione, ya que recogen información muy comprometida.
Si no sabes lo que es el Service Worker y su papel en una PWA, te animo a que pases por esta entrada.
Cualquier individuo u organización que disponga de una página web donde se solicite, reciba, procese o almacene información confidencial, como por ejemplo:
Para saber si la página web en la que estás es segura o no, te recomiendo realizar las siguientes acciones:
Tener activado el protocolo HTTPS es fundamental para tu página web, no solamente porque mejora la seguridad encriptando los datos que se envían del navegador al servidor, sino porque sirve como medida para optimizar el posicionamiento orgánico de la página y también para poder implementar una Progressive Web App en tu página.
En el próximo post te enseñaremos cómo hacer para cambiar de HTTP a HTTPS en WordPress.
Verás que activar el HTTPS en tu sitio web no es difícil, lo podrás hacer de forma gratuita y solo requerirá unos pocos minutos de tu tiempo.
¡Nos vemos en el próximo post!