Cómo proteger tu sitio con HTTPS

HTTPS (protocolo seguro de transferencias de hipertexto) es un protocolo de comunicación por Internet que protege la integridad y la confidencialidad de los datos entre la computadora del usuario y el sitio. Los usuarios esperan tener una experiencia en línea segura y privada cuando visitan un sitio web. Te recomendamos que implementes HTTPS para proteger las conexiones de los usuarios a tu sitio web, independientemente del contenido del sitio.

Los datos que se envían a través de HTTPS están protegidos por el protocolo de seguridad de la capa de transporte (TLS), que ofrece tres capas clave de protección:

  1. Encriptación: Implica encriptar los datos intercambiados para protegerlos de los espías. Por ello, mientras el usuario navega por un sitio web, nadie puede "escuchar" sus conversaciones, hacer un seguimiento de sus actividades en varias páginas ni robar su información.
  2. Integridad de datos: No se podrán modificar ni dañar los datos durante la transferencia, intencionalmente o no, sin que se lo detecte.
  3. Autenticación: Demuestra que tus usuarios se comunican con el sitio web deseado. Protege contra los ataques de intermediarios y fomenta la confianza del usuario que, a su vez, genera otras ventajas empresariales.

Prácticas recomendadas para la implementación de HTTPS

Usa certificados de seguridad robustos

Debes obtener un certificado de seguridad como parte de la habilitación de HTTPS para tu sitio. El certificado es emitido por una autoridad certificadora (CA), que toma medidas para verificar que tu dirección web realmente pertenezca a tu organización, lo que protege a tus clientes contra los ataques de intermediarios. Al configurar tu certificado, elige una clave de 2048 bits para garantizar un nivel de seguridad alto. Si ya tienes un certificado con una clave más débil (1024 bits), actualízalo a 2048 bits. Cuando elijas el certificado del sitio, ten en cuenta lo siguiente:

  • Obtén tu certificado de una autoridad de certificación confiable que ofrezca asistencia técnica.
  • Decide el tipo de certificado que necesitas:
    • Certificado único para un origen seguro único (www.example.com)
    • Certificado de varios dominios para varios orígenes seguros conocidos (por ejemplo, www.example.com, cdn.example.com, example.co.uk)
    • Certificado comodín para un origen seguro con muchos subdominios dinámicos (por ejemplo, a.example.com, b.example.com)

Usa redireccionamientos permanentes del servidor

Redirecciona a tus usuarios y los motores de búsqueda al recurso o la página HTTPS con los redireccionamientos permanentes del servidor.

Verifica que Google pueda rastrear e indexar tus páginas HTTPS

  • Usa la Herramienta de inspección de URL para probar si Googlebot puede acceder a tus páginas.
  • No bloquees tus páginas HTTPS con archivos robots.txt.
  • No incluyas etiquetas noindex en tus páginas HTTPS.

Admite HSTS

Recomendamos que los sitios HTTPS ofrezcan compatibilidad con HSTS (HTTP con Seguridad de Transporte Estricta). HSTS le indica al navegador que solicite páginas HTTPS automáticamente, incluso si el usuario escribe http en la barra de ubicación del navegador. También le indica a Google que muestre URL seguras en los resultados de la Búsqueda. Todas estas medidas minimizan el riesgo de mostrar contenido no seguro a tus usuarios.

Para ofrecer compatibilidad con HSTS, usa un servidor web que admita la funcionalidad y habilítala.

Aunque es más seguro, HSTS aumenta la complejidad de tu estrategia de reversión. Te recomendamos que habilites HSTS de la siguiente manera:

  1. Primero, implementa las páginas HTTPS sin HSTS.
  2. Comienza a enviar encabezados HSTS con una max-age corta. Supervisa el tráfico de los usuarios y de otros clientes, además del rendimiento de las dependencias, como los anuncios.
  3. Aumenta lentamente la max-age de HSTS.
  4. Si HSTS no afecta negativamente a tus usuarios ni a los motores de búsqueda, puedes agregar tu sitio a la lista de precarga de HSTS que usan la mayoría de los navegadores principales. Esto mejora la seguridad y el rendimiento.

Evita estos errores comunes

A lo largo del proceso de proteger tu sitio con TLS, evita los siguientes errores:

Errores comunes y sus soluciones
Certificados vencidos Asegúrate de que tu certificado siempre esté actualizado.
Certificado registrado con un nombre del sitio web incorrecto Comprueba que tienes un certificado para todos los nombres de host que tu servidor publica. Por ejemplo, si tu certificado solo abarca www.example.com, un visitante que solo usa example.com (sin el prefijo www.) para cargar tu sitio quedará bloqueado por un error de coincidencia de nombre del certificado.
Falta de compatibilidad con la indicación de nombre de servidor (SNI) Asegúrate de que tu servidor web admita SNI y de que tu público use navegadores compatibles, en términos generales. Aunque todos los navegadores modernos admiten SNI, necesitarás un IP dedicado si debes ofrecer compatibilidad con navegadores anteriores.
Problemas de rastreo No uses robots.txt para bloquear el rastreo de tu sitio HTTPS. Más información
Problemas de indexación Permite que los motores de búsqueda indexen tus páginas, siempre que sea posible. No uses la etiqueta noindex.
Versiones de protocolo anteriores Las versiones de protocolo anteriores son vulnerables. Asegúrate de que tienes las versiones más recientes de las bibliotecas de TLS y, luego, implementa las versiones de protocolo más nuevas.
Elementos de seguridad mixta Incorpora solo contenido HTTPS en las páginas HTTPS.
Contenido diferente en HTTP y HTTPS Asegúrate de que el contenido en tu sitio HTTP y HTTPS sea el mismo.
Errores de código de estado de HTTP en HTTPS Comprueba que tu sitio web muestre el código de estado de HTTP correcto. Por ejemplo, 200 OK para páginas a las que se puede acceder y 404 o 410 para páginas que no existen.

Migración de HTTP a HTTPS

Si migras tu sitio de HTTP a HTTPS, para Google se trata de una transferencia de sitio con cambios de URL. Esta acción puede afectar temporalmente algunas de tus cifras de tráfico. Obtén más información sobre las recomendaciones para todos los traslados de sitios.

Asegúrate de agregar la nueva propiedad HTTPS a Search Console. Search Console trata a HTTP y HTTPS por separado. Los datos no se comparten entre las propiedades de Search Console.

Para obtener más sugerencias sobre el uso de páginas HTTPS en tu sitio, consulta las Preguntas frecuentes sobre la migración de HTTPS.

Más recursos para implementar TLS

A continuación, te ofrecemos recursos adicionales para implementar TLS en tu sitio: