Si recopila información confidencial en su sitio web (incluido el correo electrónico y la contraseña), debe estar seguro. Una de las mejores maneras de mantenerse seguro es habilitar un certificado HTTPS, también conocido como SSL (Secure Sockets Layers), para que toda la información que va y viene de su servidor se cifre automáticamente. Un certificado HTTPS evita que los piratas pirateen la información confidencial de sus usuarios mientras está almacenada en Internet. Se sentirán seguros cuando vean un certificado HTTPS al acceder a su sitio, sabiendo que está protegido por un certificado de seguridad.
Beneficios de un certificado
Lo mejor de un certificado SSL, al igual que HTTPS, es que es fácil de configurar y, una vez hecho esto, deberá indicar a las personas que usen un certificado HTTPS en lugar de HTTP. Si intenta acceder a su sitio colocando https:// delante de sus URL en este momento, obtendrá un error de certificado HTTPS. Esto se debe a que no ha instalado un certificado SSL HTTPS. Pero no te preocupes, ¡lo configuraremos de inmediato!
Sus visitantes se sentirán más seguros en su sitio cuando vean un certificado HTTPS al acceder a su sitio- saber que está protegido por un certificado de seguridad.
¿Qué es
HTTP o HTTPS se muestra al comienzo de la URL de cada sitio web en un navegador web. HTTP significa Protocolo de transferencia de hipertexto y la S en HTTPS significa Seguro. En general, esto describe el protocolo mediante el cual se envían los datos entre su navegador y el sitio web que está viendo.
Un certificado HTTPS garantiza que toda la comunicación entre su navegador y el sitio web que está viendo esté encriptada. Esto significa que es seguro. Solo las computadoras receptoras y emisoras pueden ver la información mientras se transfieren los datos (otros pueden acceder a ella, pero no pueden leerla). En sitios seguros, el navegador web muestra un icono de candado en el área de URL para notificarle.
HTTPS debe estar en cualquier sitio web que recopile contraseñas, pagos, información médica u otros datos confidenciales. Pero, ¿qué sucede si puede obtener un certificado SSL gratuito y válido para su dominio?
¿Cómo funciona la protección de sitios web?
Para habilitar el certificado de seguridad HTTPS, debe instalar SSL (Secure Socket Layer). Contiene la clave pública necesaria para iniciar la sesión de forma segura. Cuando se solicita una conexión HTTPS a una página web, el sitio envía un certificado SSL a su navegador. Luego inician un "apretón de manos SSL", que implica compartir "secretos" para establecer una conexión segura entre su navegador y el sitio web.
SSL estándar y extendido
Si el sitio utiliza un certificado SSL estándar, verá un icono de candado en el área de URL de su navegador. Si se utiliza un certificado de validación extendida (EV), la barra de direcciones o URL será verde. Los estándares EV SSL son superiores a los estándares SSL. EV SSL proporciona prueba de la identidad del propietario del dominio. Obtener una certificación EV SSL también requiere que los solicitantes pasen por un riguroso proceso de evaluación para verificar su autenticidad y propiedad.
¿Qué sucede si usa HTTPS sin un certificado?
Incluso si su sitio web no acepta ni comparte datos confidenciales, existen varias razones por las que podría querer tener un sitio web seguro y usar un certificado SSL gratuito y válido para su dominio.
Rendimiento. SSL puede mejorar el tiempo que lleva cargar una página.
Optimización de motores de búsqueda (SEO). El objetivo de Google es mantener Internet seguro y protegido para todos, no solo para aquellos que usan Google Chrome, Gmail y Drive, por ejemplo. La compañía dijo que la seguridad será un factor en la clasificación de los sitios en los resultados de búsqueda. Hasta ahora esto no es suficiente. Sin embargo, si tiene un sitio web seguro y sus competidores no, su sitio puede tener una clasificación más alta, lo que puede ser necesario para aumentar su popularidad en la página de resultados de búsqueda.
Si su sitio no es seguro y recopila contraseñas o tarjetas de crédito, los usuarios de Chrome 56 (lanzado en enero de 2017) verán una advertencia queque el sitio no es seguro. Los visitantes que no están familiarizados con la tecnología (la mayoría de los usuarios de sitios web) pueden alarmarse al ver un cuadro de "Error de certificado HTTPS" y abandonar su sitio simplemente porque no entienden lo que significa. Por otro lado, si su sitio es seguro, puede hacer que los visitantes se sientan más cómodos, haciéndolos más propensos a completar un formulario de registro o dejar un comentario en su sitio. Google tiene un plan a largo plazo para mostrar todos los sitios HTTP como inseguros en Chrome.
¿Dónde puedo obtener un certificado HTTPS gratuito?
Recibes un certificado SSL de una autoridad certificadora. Dichos certificados son válidos por 90 días, pero se recomienda una renovación de 60 días. Algunas fuentes gratuitas fiables:
- Cloudflare: Gratis para blogs y sitios web personales.
- FreeSSL: gratis para organizaciones sin fines de lucro y nuevas empresas en este momento; no puede ser un cliente de Symantec, Thawte, GeoTrust o RapidSSL.
- StartSSL: Los certificados tienen una validez de 1 a 3 años.
- GoDaddy: Certificados para proyectos de código abierto, válidos por 1 año.
El tipo de certificado y el período de validez dependen de la fuente. La mayoría de las autoridades ofrecen certificados SSL estándar de forma gratuita y cobran por los certificados EV SSL si los proporcionan. Cloudflare ofrece planes gratuitos y de pago y varias opciones adicionales.
Qué considerar al recibir¿Certificado SSL?
Google recomienda aquí un certificado con una clave de 2048 bits. Si ya tiene un certificado de 1024 bits más débil, se recomienda actualizarlo.
Tendrá que decidir si necesita uno, varios dominios o un certificado comodín:
- Se utilizará un certificado para un dominio (por ejemplo, www.example.com).
- El certificado multidominio se utilizará para varios dominios conocidos (p. ej., www.example.com, cdn.example.com, example.co.uk).
- El certificado comodín se utilizará para un dominio seguro con muchos subdominios dinámicos (por ejemplo, a.example.com, b.example.com).
¿Cómo instalo un certificado SSL?
Su proveedor de alojamiento web puede instalar un certificado de forma gratuita o pagando una tarifa. Algunos anfitriones tienen la opción de instalar Let's Encrypt en su cPanel personal, lo que facilita las cosas. Pregúntele a su host actual o encuentre uno que ofrezca soporte directo para Let's Encrypt. Si el host no brinda este servicio, la empresa de mantenimiento de su sitio web o el desarrollador pueden instalar el certificado por usted. Debe estar preparado para el hecho de que tendrá que renovar el certificado con mucha frecuencia. Verifique el plazo con el certificado.
¿Qué más hay que hacer?
Después de obtener e instalar un certificado SSL, debe aplicar SSL en el sitio. Nuevamente, puede preguntarle a su proveedor de alojamiento web, compañía de servicios odesarrollador para realizar esta acción. Sin embargo, si prefiere hacerlo usted mismo y su sitio funciona con WordPress, puede hacerlo descargando, instalando y usando el complemento. Con la última opción, asegúrese de comprobar la compatibilidad con su versión de WordPress.
Dos complementos populares de cumplimiento de SSL: SSLWP simple, complemento SSLSSL obligatorio. Asegúrese de hacer una copia de seguridad de su sitio y tenga mucho cuidado al hacerlo. Si configura algo incorrectamente, puede tener consecuencias desastrosas: los visitantes no podrán ver su sitio, las imágenes no se mostrarán, los scripts no se cargarán, lo que afectará el funcionamiento de algunas cosas en su sitio, como la tipografía y los colores. no se muestra correctamente. way.
Necesitas redirigir a los usuarios y motores de búsqueda a páginas HTTPS usando redireccionamientos 301 en el archivo.htaccess en la carpeta raíz del servidor. El archivo.htaccess es un archivo invisible, así que asegúrese de que su programa FTP esté configurado para mostrar archivos ocultos. En FileZilla, por ejemplo, vaya a Server> Forzar visualización de archivos ocultos. FileZillaAntes, antes de agregar redirecciones, sería una buena idea hacer una copia de seguridad de su archivo.htaccess. En el servidor, cambie temporalmente el nombre del archivo eliminando el punto (lo que lo hace invisible en primer lugar), descargue el archivo (que ahora estará visible en su computadora como resultado de la eliminación del punto), luego vuelva a agregar el punto a lo que hay en el servidor.
Cambiar configuraciónGoogle Analytics
Después de completar estos pasos, debe cambiar su URL preferida en su cuenta de Google Analytics para mostrar la versión HTTPS de su dominio. De lo contrario, sus estadísticas de tráfico se desactivarán porque la versión HTTP de la URL se trata como un sitio completamente diferente de la versión HTTPS del certificado. Google Search Console también trata a HTTP y HTTPS como dominios separados, así que agréguele una cuenta de dominio HTTPS. Recuerde, cuando cambia de certificado HTTP a HTTPS, si su sitio tiene botones de acceso especiales, el contador se reiniciará.
