Si navegas por Internet, habrás visto que tu navegador web habitual te indica cuando un sitio es seguro con el icono de un candadito en la barra de direcciones o que no es seguro, con el icono del candado tachado o algún otro tipo de advertencia. Y si te fijas un poco más, habrás visto que las conexiones que nuestro navegador marca como seguras comienzan por HTTPS, mientras que las que no lo son, lo hace por HTTP.
Quizás esto no te importe mucho, pero en realidad es muy importante así que vamos a explicarte todo lo que necesitas saber sobre el protocolo HTTPS y por qué es tan importante, ya seas un usuario de una web o el administrador de la misma.
Antes de nada, vamos a aclarar algunos términos, aunque sin entrar demasiado en tecnicismos, empezando por las siglas HTTP, que viene de Hypertext Transfer Protocol, que traduciríamos como Protocolo de Transferencia de Hipertexto. HTTP es el protocolo de transferencia que se utiliza para enviar y recibir información entre dispositivos conectados a una red, que en nuestro caso la red sería Internet y los dispositivos serían nuestro navegador web y un servidor web.
Cada vez que entras en una web, por ejemplo axarnet.es o Google.es, en realidad estás entrando en http://axarnet.es o http://google.es, aunque tú no lo veas o mejor dicho, tu navegador no lo muestre. La diferencia entre HTTP y HTTPS es que la "s" del final hace referencia a security, es decir seguridad. Así que parece algo evidente que el protocolo HTTPS es una evolución del protocolo HTTP, pero más seguro.
Qué diferencia hay entre HTTP y HTTPS
Vale, ya sabemos que es HTTP y que HTTPS es lo mismo, pero más seguro, pero ¿qué diferencia real existe entre estos dos protocolos? Obviamente la seguridad, pero vamos a tratar de explicarlo en un leguaje lo más humano posible.
Vamos a pensar que, por ejemplo, cuando entramos en una web y nos identificamos con nuestro nombre de usuario y contraseña para acceder a algún servicio, esa información "viaja" desde nuestro navegador, al servidor y viceversa, cuando el servidor responde a la información solicitada. Cuando se utiliza el protocolo HTTP esta información se transmite de forma plana, así que, en el caso de que alguien consiguiera interceptar esta transmisión de datos, podría verla sin ninguna dificultad. Esto es un problema de seguridad ya que la información que se transmite desde un sitio web al servidor suele ser sensible, como contraseñas, números de tarjetas de crédito, DNI, etc.
Para evitar esto se utiliza protocolo HTTPS, que, a diferencia del HTTP, este cifra el contenido se envía, tanto desde el navegador al servidor, como en el sentido contrario.
Qué significa que se cifra el contenido? Muy sencillo, en el caso de que un atacante consiguiera interceptar la comunicación, lo único que vería sería un conjunto de letras, números y símbolos sin sentido imposibles de descifrar.
Digamos que una comunicación usando el protocolo HTTP sería algo así:
EstaEsMiContraseñaUltraMegaSegura
Mientras que la misma comunicación enviada usando el protocolo HTTPS sería algo así:
Como el navegador web y el servidor ya han establecido una conexión segura utilizando el protocolo HTTPS, no tendrán problema en descifrar el contenido enviado y recibido, pero cualquier otro que esté "escuchando" la comunicación, sólo podrá ver un galimatías.
No hace falta seguir explicando la gran ventaja que tenemos al usar HTTPS en lugar de HTTP en cualquier tipo de comunicación online que hagamos, es más que evidente.
Qué necesito para poder utilizar el protocolo HTTPS
Ya tenemos claro que usar el protocolo HTTPS es mucho más seguro que no usarlo, pero seguramente te estarás preguntando ¿qué necesito para usar HTTPS en mi web?
Para poder utilizar el protocolo HTTPS es necesario tener emitido e instalado un certificado de seguridad SSL en el servidor, algo que seguramente también te suene un poco.
SSL son las siglas de Secure Sockets Layer y es el sistema que se encarga de cifrar y proteger los datos que se envían entre el navegador y la web. Sin un certificado SSL emitido el protocolo HTTPS no funciona, así que es algo imprescindible.
¡Ojo! Algo que tienes que tener muy en cuenta es que, aunque tengas instalado el certificado SSL en tu hosting, si el protocolo que se usa no es HTTPS, la información no será cifrada. Para que todo funcione correctamente, hay que usar el protocolo HTTPS con un certificado SSL instalado en el servidor.
Puede darse el caso de tener un certificado SSL instalado, pero no haber adaptado la web para que redirija todo el tráfico hacía el protocolo HTTPS, por lo que la conexión no será segura, ¡tenlo en cuenta!
Todos los navegadores actuales soportan el protocolo HTTPS sin tener que instalar o actualizar nada, eso sí, siempre que no sea un navegador web prehistórico.
¿SSL o TLS?
Si instalas un certificado SSL, lo más seguro es que veas por ahí también las siglas TLS.
SSL
Secure Socket Layers
TLS
Transport Layer Security
En realidad, todos los certificados actuales son TLS, ya que los protocolos de seguridad SSL son algo antiguos y están desactualizados. El motivo por el cuál seguimos llamando a los certificados TLS como SSL es una pura cuestión de costumbre y motivos comerciales por parte de las empresas que se dedican a emitir los certificados. Pero, salvo en sistemas muy antiguos y desactualizados, todos los certificados son en realidad certificados TLS.
Qué ventajas tiene usar el protocolo HTTPS
Ahora vamos a listar algunas cosas importantes sobre los beneficios de usar HTTPS en tus sitios web.
Seguridad Lo hemos visto en todo el artículo. Usar HTTPS es más seguro porque "blinda" las comunicaciones y esto es muy importante.
Posicionamiento Web (SEO) Sí, usar HTTPS mejora el SEO y el posicionamiento. Ten en cuenta que los buscadores como Google valoran la experiencia del usuario y aumentar la seguridad es positivo. Google pondera mejor los sitios que usan el protocolo HTTPS y, por lo tanto, aparecerán antes en los resultados de las búsquedas.
Confianza del usuario Ahora que sabes cuáles son las ventajas de usar HTTPS, ¿te atreverías a poner los datos de tu tarjeta de crédito en una web que no usara un protocolo seguro? Pues lo mismo les pasará a los usuarios que visiten tu web, que no sentirán confianza en el sitio.
Sitio seguro en los navegadores web Desde 2018 todos los navegadores web indican que un sitio no es seguro si no carga desde HTTPS. Esto no significa que el sitio deje de verse, pero un usuario puede decidir no acceder si su navegador le está advirtiendo que su información puede ser robada al acceder a su sitio web.
Teniendo todo esto en cuenta, si inicias un nuevo proyecto web, debes hacerlo contando con el protocolo HTTPS y si ya tienes un sitio web usando el protocolo HTTP, migrarlo hacía HTTPS lo antes posible.
Qué tengo que hacer para que mi web use el protocolo HTTPS
Ahora vamos a ver qué pasos tienes que dar para que tu sitio web use el protocolo HTTPS. Como hemos dicho anteriormente en el artículo, tenemos que instalar un certificado SSL antes de poder utilizar el protocolo HTTPS. En todos los alojamientos web que ofrecemos en Axarnet, tienes la posibilidad de emitir un certificado de seguridad SSL de forma gratuita (Let's Encrypt). O si lo prefieres, recurrir a una de las opciones SSL profesionales que ofrecemos, los cuales disponen de una cobertura económica en caso una posible negligencia a causa del certificado.
Para emitir uno de los certificados gratuitos, sólo tienes que acceder a tu área de cliente en axarnet.es, acceder a la suscripción y fijarte en el apartado de Seguridad > Certificado SSL/TLS.
En la siguiente pantalla podrás añadir un certificado SSL que ya hayas comprado o si lo prefieres, emitir uno gratuito con Let's Encrypt.
Después sólo tendrás que seleccionar el dominio o los subdominios que quieras proteger con el certificado SSL y hacer clic en el botón de Obténgalo gratis.
En unos instantes ya tendrás emitido tu certificado SSL en el dominio e instalado en tu hosting, así de fácil. Pero recuerda lo que hemos dicho antes, tener emitido el certificado SSL no implica “per se” que el sitio esté utilizando el protocolo HTTPS. Para comprobar esto puedes hacer una prueba muy sencilla. Sólo tienes que intentar cargar tu web con las dos URLs:
http://tudominio.com
https://tudominio.com
Si la web carga de las dos formas, el navegador web te indicará que una de ellas no es segura, así que lo que tienes que hacer es forzar el tráfico hacía HTTPS. Para hacer esto existen varias formas, pero la más habitual es añadir un código en el archivo .htaccess de tu web para redirigir a cualquiera que entre por HTTP, hacía HTTPS, por ejemplo:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Si tienes problemas con esto, recuerda que siempre puedes ponerte en contacto con el departamento de soporte técnico de Axarnet, desde donde te ayudarán en todo lo que necesites.
Conclusión
Seguro que ahora tienes más claro que es esto del HTTPS y lo importante que es para la seguridad de la web, tanto si eres un usuario, como si eres el administrador de un sitio web. Hoy en día y con todas las herramientas que te proporcionamos en Axarnet, no deberías tener ningún problema en utilizar el protocolo HTTPS en tus proyectos web.