Cómo proteger tu sitio con HTTPS

¿Qué es HTTPS?

HTTPS (protocolo seguro de transferencias de hipertexto) es un protocolo de comunicación por Internet que protege la integridad y la confidencialidad de los datos entre la computadora del usuario y el sitio. Los usuarios esperan tener una experiencia en línea segura y privada cuando visitan un sitio web. Te recomendamos que implementes HTTPS para proteger las conexiones de los usuarios a tu sitio web, independientemente del contenido del sitio.

Los datos que se envían a través de HTTPS están protegidos por el protocolo de seguridad de la capa de transporte (TLS), que ofrece tres capas clave de protección:

  1. Encriptación: Implica encriptar los datos intercambiados para protegerlos de los espías. Por ello, mientras el usuario navega por un sitio web, nadie puede "escuchar" sus conversaciones, hacer un seguimiento de sus actividades en varias páginas ni robar su información.
  2. Integridad de datos: No se podrán modificar ni dañar los datos durante la transferencia, intencionalmente o no, sin que se lo detecte.
  3. Autenticación: Demuestra que tus usuarios se comunican con el sitio web deseado. Protege contra los ataques de intermediarios y fomenta la confianza del usuario que, a su vez, genera otras ventajas empresariales.

Recomendaciones para la implementación de HTTPS

Usa certificados de seguridad robustos

Debes obtener un certificado de seguridad como parte de la habilitación de HTTPS para tu sitio. El certificado es emitido por una autoridad de certificación (CA), que toma medidas para verificar que tu dirección web realmente pertenezca a tu organización. De esta manera, protege a tus clientes contra los ataques de intermediarios. Al configurar tu certificado, elige una clave de 2048 bits para garantizar un nivel de seguridad alto. Si ya tienes un certificado con una clave más débil (1024 bits), actualízalo a 2048 bits. Cuando elijas el certificado del sitio, ten en cuenta lo siguiente:

  • Obtén tu certificado de una autoridad de certificación confiable que ofrezca asistencia técnica.
  • Decide el tipo de certificado que necesitas:
    • Certificado único para un origen seguro único (p. ej. www.example.com).
    • Certificado de varios dominios para varios orígenes seguros conocidos (p. ej. www.example.com, cdn.example.com, example.co.uk).
    • Certificado comodín para un origen seguro con varios subdominios dinámicos (p. ej. a.example.com, b.example.com).

Usa redireccionamientos 301 del servidor

Redirecciona a tus usuarios y los motores de búsqueda al recurso o la página HTTPS con los redireccionamientos HTTP 301 del servidor.

Verifica que Google pueda rastrear e indexar tus páginas HTTPS

  • No bloquees tus páginas HTTPS con archivos robots.txt.
  • No incluyas metaetiquetas noindex en tus páginas HTTPS.
  • Usa la Herramienta de inspección de URL para probar si Googlebot puede acceder a tus páginas.

Admite HSTS

Recomendamos que los sitios HTTPS ofrezcan compatibilidad con HSTS (HTTP con Seguridad de Transporte Estricta). HSTS le indica al navegador que solicite páginas HTTPS de manera automática, incluso si el usuario escribe http en la barra de ubicación del navegador. También le indica a Google que muestre URL seguras en los resultados de la Búsqueda. Todas estas medidas minimizan el riesgo de mostrar contenido no seguro a tus usuarios.

Para ofrecer compatibilidad con HSTS, usa un servidor web que admita la funcionalidad y habilítala.

Aunque es más seguro, HSTS aumenta la complejidad de tu estrategia de reversión. Recomendamos habilitar HSTS de la siguiente manera:

  1. Primero, implementa las páginas HTTPS sin HSTS.
  2. Comienza a enviar encabezados HSTS con una max-age corta. Supervisa el tráfico de los usuarios y de otros clientes, además del rendimiento de las dependencias, como los anuncios.
  3. Aumenta lentamente la max-age de HSTS.
  4. Si HSTS no afecta negativamente a tus usuarios ni a los motores de búsqueda, puedes pedir que se agregue tu sitio a la lista de precarga de HSTS que usan la mayoría de los navegadores principales, si lo deseas.

Usa la precarga de HSTS

Si habilitas HSTS, también puedes admitir la precarga de HSTS a fin de mejorar la seguridad y el rendimiento. Para habilitar la precarga, visita hstspreload.org y asegúrate de seguir los requisitos de envío para tu sitio.

Evita estos errores comunes

A lo largo del proceso de proteger tu sitio con TLS, evita los siguientes errores:

Problema Acción
Certificados vencidos Asegúrate de que tu certificado siempre esté actualizado.
Certificado registrado con un nombre del sitio web incorrecto Comprueba que tienes un certificado para todos los nombres de host que tu servidor publica. Por ejemplo, si tu certificado solo abarca www.example.com, un visitante que solo usa example.com (sin el prefijo "www.") para cargar tu sitio quedará bloqueado por un error de coincidencia de nombre del certificado.
Falta de compatibilidad con la indicación de nombre de servidor (SNI) Asegúrate de que tu servidor web admita SNI y de que tu público use navegadores compatibles, en términos generales. Aunque todos los navegadores modernos admiten SNI, necesitarás un IP dedicado si debes ofrecer compatibilidad con navegadores anteriores.
Problemas de rastreo No uses robots.txt para bloquear el rastreo de tu sitio HTTPS.
Problemas de indexación Permite que los motores de búsqueda indexen tus páginas, siempre que sea posible. Evita la metaetiqueta noindex.
Versiones de protocolo anteriores Las versiones de protocolo anteriores son vulnerables. Asegúrate de que tienes las versiones más recientes de las bibliotecas de TLS y, luego, implementa las versiones de protocolo más nuevas.
Elementos de seguridad mixta Incorpora solo contenido HTTPS en las páginas HTTPS.
Contenido diferente en HTTP y HTTPS Asegúrate de que el contenido en tu sitio HTTP y HTTPS sea el mismo.
Errores de código de estado de HTTP en HTTPS Comprueba que tu sitio web muestre el código de estado de HTTP correcto. Por ejemplo, 200 OK para páginas a las que se puede acceder y 404 o 410 para páginas que no existen.

Más sugerencias

Consulta las Preguntas frecuentes sobre la migración de HTTPS para obtener más sugerencias sobre el uso de páginas HTTPS en tu sitio.

Cómo migrar de HTTP a HTTPS

Si migras tu sitio de HTTP a HTTPS, para Google solo se trata de una transferencia de sitio con cambios de URL. Esta acción puede afectar temporalmente algunas de tus cifras de tráfico. Consulta la página de resumen de transferencia de sitio para obtener más información.

Agrega la nueva propiedad de HTTPS a Search Console: Search Console trata a HTTP y HTTPS por separado. Los datos no se comparten entre las propiedades de Search Console.

Consulta la página de solución de problemas de transferencias de mapa del sitio para resolver los problemas con la migración.

Más información

Más información sobre la implementación de TLS en tu sitio: