Proteger sitios con el protocolo HTTPS

HTTPS (HyperText Transfer Protocol Secure, protocolo seguro de transferencia de hipertexto) es un protocolo de comunicación de Internet que protege la integridad y la confidencialidad de los datos de los usuarios entre sus ordenadores y el sitio web. Como los usuarios esperan que su experiencia online sea segura y privada, te recomendamos que adoptes HTTPS para proteger sus conexiones con tu sitio web, independientemente de lo que este contenga.

El envío de datos mediante el protocolo HTTPS está protegido con el protocolo Seguridad en la capa de transporte (Transport Layer Security, TLS), que proporciona estas tres capas de seguridad principales:

  1. Cifrado: se cifran los datos intercambiados para mantenerlos a salvo de miradas indiscretas. Eso significa que, cuando un usuario está navegando por un sitio web, nadie puede "escuchar" sus conversaciones, hacer un seguimiento de sus actividades por las diferentes páginas ni robarle información.
  2. Integridad de los datos: los datos no pueden modificarse ni dañarse durante las transferencias, ni de forma intencionada ni de otros modos, sin que esto se detecte.
  3. Autenticación: demuestra que tus usuarios se comunican con el sitio web previsto. Proporciona protección frente a los ataques de intermediario y fomenta la confianza de los usuarios, lo que acaba creando otros beneficios empresariales.

Prácticas recomendadas para implementar el protocolo HTTPS

Utiliza certificados de seguridad eficaces

Para poder habilitar el protocolo HTTPS en tu sitio, debes obtener un certificado de seguridad. El certificado lo emite una autoridad de certificación (CA), que toma las medidas necesarias para verificar que tu dirección web pertenezca realmente a tu organización. De este modo, se protege a tus usuarios de cualquier ataque de intermediario. Al configurar el certificado, asegúrate de obtener un nivel de seguridad alto escogiendo una clave de 2048 bits. Si ya tienes un certificado con una clave más débil (de 1024 bits), cámbiala por una de 2048 bits. Cuando elijas el certificado de tu sitio, debes hacer lo siguiente:

  • Elegir el certificado de una CA de confianza que ofrezca asistencia técnica.
  • Decidir qué tipo de certificado necesitas:
    • Un certificado único para cubrir un único dominio seguro (como www.example.com).
    • Un certificado para varios dominios si tienes varios sitios seguros conocidos (como www.example.com, cdn.example.com, example.co.uk).
    • Un certificado comodín si se trata de un sitio seguro con muchos subdominios dinámicos (como a.example.com, b.example.com).

Utiliza redirecciones de servidor permanentes

Redirige a los usuarios y a los buscadores a la página o al recurso HTTPS con redirecciones de servidor permanentes.

Comprueba que Google pueda rastrear e indexar tus páginas HTTPS

  • Con la herramienta de inspección de URLs, puedes comprobar si el robot de Google puede acceder a tus páginas.
  • No bloquees las páginas HTTPS con un archivo robots.txt.
  • No incluyas etiquetas noindex en tus páginas HTTPS.

Adopta el mecanismo de seguridad HSTS

Recomendamos que los sitios HTTPS sean compatibles con la seguridad de transporte estricta mediante HTTP (HSTS). Este mecanismo de seguridad indica a los navegadores que soliciten páginas HTTPS automáticamente, aunque los usuarios introduzcan http en la barra de direcciones. También indica a Google que sirva URLs seguras en los resultados de búsqueda. Con estas medidas, se minimiza el riesgo de servir a los usuarios contenido que no esté protegido.

Para que tu sitio sea compatible con HSTS, elige un servidor web que admita este mecanismo y habilita sus funciones.

Aunque es más seguro, HSTS añade complejidad a la estrategia de restauración. Te recomendamos habilitarlo de la siguiente manera:

  1. Primero lanza el protocolo HTTPS en las páginas, sin el mecanismo HSTS.
  2. Empieza por enviar encabezados HSTS que tengan un parámetro max-age de corta duración. Monitoriza el tráfico de los usuarios y de otros clientes, así como el rendimiento de elementos dependientes, como los anuncios.
  3. Aumenta lentamente el valor del parámetro max-age de HSTS.
  4. Si HSTS no perjudica a tus usuarios ni a los buscadores, puedes añadir tu sitio a la lista de carga previa de HSTS, que utilizan la mayoría de los navegadores principales. De este modo, se aumenta la seguridad y mejora el rendimiento de tu sitio.

Evita errores habituales

Durante el proceso para hacer que tu sitio sea seguro mediante TLS, debes evitar cometer estos errores:

Errores habituales y sus soluciones
Certificados caducados Comprueba siempre que tu certificado esté actualizado.
Certificado registrado con un nombre de sitio web incorrecto Comprueba que hayas obtenido un certificado de todos los nombres de host que se publican en tu sitio. Por ejemplo, si tu certificado solo cubre www.example.com, se bloquearán todos los usuarios que accedan a tu sitio indicando solo example.com (sin el prefijo www.) porque el nombre no será el mismo que aparece en el certificado.
Falta de compatibilidad con la indicación de nombre de servidor (SNI) Comprueba que el servidor web sea compatible con SNI y que la audiencia utilice navegadores que sean compatibles habitualmente. Todos los navegadores modernos son compatibles con SNI, pero si quieres admitir navegadores más antiguos necesitarás una IP dedicada.
Problemas de rastreo No impidas que el sitio HTTPS se rastree mediante robots.txt. Más información
Problemas de indexación Debes permitir que los buscadores indexen tus páginas siempre que sea posible. No uses la etiqueta noindex.
Versiones del protocolo anterior Las versiones del protocolo anterior son vulnerables; comprueba que tengas las últimas versiones de las bibliotecas TLS e implementa las versiones de protocolo más recientes.
Elementos con diferentes niveles de seguridad Inserta únicamente contenido HTTPS en las páginas HTTPS.
Contenido diferente en HTTP y HTTPS Comprueba que el contenido de tus sitios HTTP y HTTPS sea el mismo.
Errores de código de estado HTTP en HTTPS Comprueba que el sitio web devuelva el código de estado HTTP correcto. Por ejemplo, 200 OK con páginas accesibles o con 404 o 410 en el caso de páginas que no existen.

Migrar de HTTP a HTTPS

Si migras tu sitio de HTTP a HTTPS, Google gestionará el cambio como un traslado de sitio con cambios de URLs, lo que puede afectar temporalmente a tu tráfico. Más información sobre las recomendaciones para trasladar sitios

Añade la nueva propiedad HTTPS a Search Console. Esta herramienta gestiona HTTP y HTTPS por separado, por lo que no se comparten datos entre propiedades en Search Console.

En las preguntas frecuentes de migración a HTTPS encontrarás otros consejos sobre el uso de páginas HTTPS en tu sitio.

Recursos adicionales sobre cómo implementar TLS

A continuación, se mencionan recursos adicionales sobre la implementación de TLS en tu sitio: