Proteger sitios con el protocolo HTTPS

¿Qué es HTTPS?

HTTPS (HyperText Transfer Protocol Secure, Protocolo de transferencia de hipertexto) es un protocolo de comunicación de Internet que protege la integridad y la confidencialidad de los datos de los usuarios entre sus ordenadores y el sitio web. Como los usuarios esperan que su experiencia online sea segura y privada, te recomendamos que adoptes HTTPS para proteger sus conexiones con tu sitio web, independientemente de lo que este contenga.

El envío de datos mediante el protocolo HTTPS está protegido con el protocolo Seguridad en la capa de transporte (Transport Layer Security, TLS), que proporciona estas tres capas de seguridad principales:

  1. Cifrado: se cifran los datos intercambiados para mantenerlos a salvo de miradas indiscretas. Eso significa que cuando un usuario está navegando por un sitio web, nadie puede "escuchar" sus conversaciones, hacer un seguimiento de sus actividades por las diferentes páginas ni robarle información.
  2. Integridad de los datos: los datos no pueden modificarse ni dañarse durante las transferencias, ni de forma intencionada ni de otros modos, sin que esto se detecte.
  3. Autenticación: demuestra que tus usuarios se comunican con el sitio web previsto. Proporciona protección frente a los ataques de intermediario y fomenta la confianza de los usuarios, lo que se traduce en otros beneficios empresariales.

Prácticas recomendadas para implementar el protocolo HTTPS

Utiliza certificados de seguridad eficaces

Para poder habilitar el protocolo HTTPS en tu sitio web, debes obtener un certificado de seguridad. El certificado lo emite una autoridad de certificación (CA), que toma las medidas necesarias para verificar que tu dirección web pertenezca realmente a tu organización. De este modo, se protege a tus usuarios de cualquier ataque de intermediario. Al configurar el certificado, asegúrate de obtener un nivel de seguridad alto escogiendo una clave de 2048 bits. Si ya tienes un certificado con una clave más débil (de 1024 bits), actualízala a una de 2048 bits. Cuando escojas el certificado de tu sitio debes hacer lo siguiente:

  • Escoger el certificado de una CA de confianza que ofrezca asistencia técnica.
  • Decidir qué tipo de certificado necesitas:
    • Un certificado único para cubrir un único dominio seguro (por ejemplo, www.example.com).
    • Un certificado para varios dominios si tienes varios sitios web seguros conocidos (por ejemplo, www.example.com, cdn.example.com, example.co.uk).
    • Un certificado comodín si se trata de un sitio web seguro con muchos subdominios dinámicos (p. ej. a.example.com, b.example.com)

Utiliza redirecciones 301 en el servidor

Redirige a los usuarios y a los buscadores a la página o al recurso HTTPS mediante redirecciones HTTP 301 en el servidor.

Comprueba que Google pueda rastrear e indexar tus páginas HTTPS

  • No bloquees las páginas HTTPS con un archivo robots.txt.
  • No incluyas etiquetas noindex en tus páginas HTTPS.
  • Con la herramienta de inspección de URLs, puedes comprobar si el robot de Google puede acceder a tus páginas.

Adopta el mecanismo de seguridad HSTS

Recomendamos que los sitios web HTTPS sean compatibles con la seguridad de transporte estricta de HTTP (HSTS). Este mecanismo de seguridad indica a los navegadores que soliciten páginas HTTPS automáticamente, aunque los usuarios introduzcan http en la barra de direcciones, y comunica a Google que sirva URL seguras en los resultados de búsqueda. Con estas medidas, se minimiza el riesgo de servir a los usuarios contenido que no esté protegido.

Para que tu sitio web sea compatible con HSTS, elige un servidor web que admita este mecanismo y habilita sus funciones.

Aunque es más seguro, HSTS añade complejidad a la estrategia de restauración. Te recomendamos habilitarlo de la siguiente manera:

  1. Primero lanza el protocolo HTTPS en las páginas, sin el mecanismo HSTS.
  2. Empieza por enviar encabezados HSTS que tengan un parámetro max-age de corta duración. Monitoriza el tráfico de los usuarios y de otros clientes, así como el rendimiento de elementos dependientes, como los anuncios.
  3. Aumenta lentamente el valor del parámetro max-age de HSTS.
  4. Si HSTS no perjudica a tus usuarios ni a los buscadores, puedes solicitar que se incluya tu sitio en la lista de carga previa de HSTS que utiliza la mayoría de los navegadores principales.

Implementa la carga previa de HSTS

Al habilitar HSTS, puedes admitir la carga previa para aumentar la seguridad y mejorar el rendimiento de tu sitio web. Para hacerlo, sigue los requisitos para enviar tu sitio web que se indican en hstspreload.org.

Evita errores habituales

Durante el proceso para hacer que tu sitio sea seguro mediante TLS, debes evitar cometer estos errores:

Problema Acción
Certificados caducados Comprueba siempre que tu certificado esté actualizado.
Certificado registrado con un nombre de sitio web incorrecto Comprueba que hayas obtenido un certificado de todos los nombres de host que se publican en tu sitio web. Por ejemplo, si tu certificado solo cubre www.example.com, se bloquearán todos los usuarios que accedan a tu sitio web mediante example.com (sin el prefijo "www.") porque el nombre del certificado no coincidirá.
Falta de compatibilidad con la indicación de nombre de servidor (SNI) Comprueba que el servidor web sea compatible con SNI y que la audiencia utilice navegadores que sean compatibles habitualmente. Todos los navegadores modernos son compatibles con SNI, pero si quieres admitir navegadores más antiguos necesitarás una IP dedicada.
Problemas de rastreo No impidas que el sitio web HTTPS se rastree mediante robots.txt.
Problemas de indexación Debes permitir que los buscadores indexen tus páginas siempre que sea posible. Procura no usar la etiqueta noindex.
Versiones del protocolo anterior Las versiones de protocolo anteriores son vulnerables; comprueba que tengas las últimas versiones de las bibliotecas TLS e implementa las versiones de protocolo más recientes.
Elementos con diferentes niveles de seguridad Inserta únicamente contenido HTTPS en las páginas HTTPS.
Contenido diferente en HTTP y HTTPS Comprueba que el contenido de tus sitios HTTP y HTTPS sea el mismo.
Errores de código de estado HTTP en HTTPS Comprueba que el sitio web devuelva el código de estado HTTP correcto. Por ejemplo, 200 OK con páginas accesibles, o bien 404 o 410 con páginas que no existen.

Más consejos

En las preguntas frecuentes de migración a HTTPS encontrarás otros consejos sobre el uso de páginas HTTPS en tu sitio web.

Hacer la migración de HTTP a HTTPS

Si migras tu sitio de HTTP a HTTPS, Google gestionará el cambio simplemente como un traslado de sitio con cambios de URL, lo que puede afectar temporalmente a tu tráfico. Puedes consultar más información al respecto en la página de descripción general sobre el traslado de sitios.

Añade la propiedad HTTPS a Search Console: ten en cuenta que este servicio gestiona HTTP y HTTPS por separado, por lo que cada una de esas propiedades tendrá sus propios datos en Search Console.

Consulta la sección de solución de problemas al trasladar sitemaps para solucionar problemas de migración.

Más información

Más información sobre la implementación de TLS en tu sitio: