HTTPS (Protocolo de transferencia de hipertexto seguro) es un protocolo de comunicación de Internet que protege la integridad y confidencialidad de los datos entre la computadora del usuario y el sitio. Los usuarios esperan una experiencia en línea segura y privada cuando usan un sitio web. Lo alentamos a adoptar HTTPS para proteger las conexiones de sus usuarios a su sitio web, independientemente del contenido del sitio.
Los datos enviados mediante HTTPS se protegen mediante el protocolo de seguridad de la capa de transporte (TLS), que proporciona tres capas clave de protección:
- Cifrado: cifrar los datos intercambiados para mantenerlos seguros de los espías. Eso significa que mientras el usuario navega por un sitio web, nadie puede “escuchar” sus conversaciones, rastrear sus actividades en varias páginas o robar su información.
- Integridad de los datos: los datos no pueden modificarse ni corromperse durante la transferencia, intencionalmente o de otro modo, sin ser detectados.
- Autenticación: prueba que sus usuarios se comunican con el sitio web deseado. Protege contra ataques de hombre en el medio y genera confianza en el usuario, lo que se traduce en otros beneficios comerciales.
Mejores prácticas al implementar HTTPS
Use certificados de seguridad robustos
Debe obtener un certificado de seguridad como parte de habilitar HTTPS para su sitio. El certificado es emitido por una autoridad de certificación (CA), que toma medidas para verificar que su dirección web realmente pertenece a su organización, protegiendo así a sus clientes de ataques de intermediarios. Al configurar su certificado, garantice un alto nivel de seguridad eligiendo una clave de 2048 bits. Si ya tiene un certificado con una clave más débil (1024 bits), actualícelo a 2048 bits. Al elegir el certificado de su sitio, tenga en cuenta lo siguiente:
- Obtenga su certificado de una CA confiable que ofrezca soporte técnico.
- Decida el tipo de certificado que necesita: Certificado único para un origen seguro único (por ejemplo,
www.example.com
). Certificado de dominio múltiple para múltiples orígenes seguros conocidos (por ejemplo www.example.com, cdn.example.com, example.co.uk
co.uk). Certificado de tarjeta silvestre para un origen seguro con muchos subdominios dinámicos (por ejemplo a.example.com, b.example.com
).
Use redirecciones 301 del lado del servidor
Redireccione a sus usuarios y motores de búsqueda a la página o recurso HTTPS con redireccionamientos HTTP 301 del lado del servidor.
Verifique que Google pueda rastrear e indexar sus páginas HTTPS
- No bloquee sus páginas HTTPS con archivos robots.txt.
- No incluya etiquetas meta
noindex
en sus páginas HTTPS.
- Use Fetch as Google para probar que Googlebot puede acceder a sus páginas.
Soporte HSTS
Recomendamos que los sitios HTTPS sean compatibles con HSTS (HTTP Strict Transport Security). HSTS le dice al navegador que solicite páginas HTTPS automáticamente, incluso si el usuario ingresa http
en la barra de ubicación del navegador. También le dice a Google que sirva URL seguras en los resultados de búsqueda. Todo esto minimiza el riesgo de servir contenido no seguro a sus usuarios.
Para admitir HSTS, use un servidor web que lo admita y habilite la funcionalidad.
Aunque es más seguro, HSTS agrega complejidad a su estrategia de reversión. Recomendamos habilitar HSTS de esta manera:
- Despliegue sus páginas HTTPS sin HSTS primero.
- Comience a enviar encabezados HSTS con una corta edad máxima. Controle su tráfico tanto de usuarios como de otros clientes, y también el rendimiento de los dependientes, como los anuncios.
- Aumente lentamente la edad máxima de HSTS.
- Si HSTS no afecta negativamente a sus usuarios y motores de búsqueda, puede, si lo desea, solicitar que su sitio se agregue a la lista de precarga de HSTS utilizada por la mayoría de los principales navegadores.
Considere usar la precarga de HSTS
Si habilita HSTS, puede admitir opcionalmente la precarga de HSTS para mayor seguridad y rendimiento mejorado. Para habilitar la precarga, debe visitar hstspreload.org y seguir los requisitos de envío de su sitio.
Evite estas trampas comunes
Durante todo el proceso de asegurar su sitio con TLS, evite los siguientes errores:
Problema
Acción
Certificados vencidos
Asegúrese de que su certificado esté siempre actualizado.
Certificado registrado a nombre de sitio web incorrecto
Verifique que haya obtenido un certificado para todos los nombres de host a los que sirve su sitio. Por ejemplo, si su certificado solo cubre el dominio de ejemplo, un visitante que carga su sitio usando solo el dominio de ejemplo (sin el prefijo “www”) será bloqueado por un error de falta de coincidencia del nombre del certificado.
Falta el soporte de indicación de nombre de servidor (SNI)
Asegúrese de que su servidor web sea compatible con SNI y que su audiencia utilice navegadores compatibles, en general. Si bien SNI es compatible con todos los navegadores modernos, necesitará una IP dedicada si necesita admitir navegadores más antiguos.
Problemas de rastreo
No impida que su sitio HTTPS se rastree utilizando robots.txt
.
Problemas de indexación
Permita la indexación de sus páginas por los motores de búsqueda siempre que sea posible. Evite la metaetiqueta noindex
.
Versiones de protocolo antiguas
Las versiones antiguas del protocolo son vulnerables; asegúrese de tener las versiones más recientes y más recientes de las bibliotecas TLS e implemente las versiones de protocolo más recientes.
Elementos de seguridad mixtos
Incruste solo contenido HTTPS en páginas HTTPS.
Contenido diferente en HTTP y HTTPS
Asegúrese de que el contenido en su sitio HTTP y su HTTPS sea el mismo.
Errores de código de estado HTTP en HTTPS
Verifique que su sitio web devuelva el código de estado HTTP correcto. Por ejemplo, 200 OK
para páginas accesibles, o 404
o 410
para páginas que no existen.
Mas consejos
Consulte las Preguntas frecuentes sobre la migración HTTPS para obtener más consejos sobre el uso de páginas HTTPS en su sitio.
Migrar de HTTP a HTTPS
Si migra su sitio de HTTP a HTTPS, Google lo trata como un movimiento del sitio con un cambio de URL. Esto puede afectar temporalmente algunos de sus números de tráfico. Consulte la página de resumen de movimientos del sitio para obtener más información.
Agregue la propiedad HTTPS a Search Console; Search Console trata HTTP y HTTPS por separado; los datos de estas propiedades no se comparten en Search Console. Entonces, si tiene páginas en ambos protocolos, debe tener una propiedad de Search Console separada para cada una.