Si deseas crear una página web segura, SSL/TLS y HTTPS son elementos im­pre­s­ci­n­di­bles. Pero, ¿qué si­g­ni­fi­can exac­ta­me­n­te estas siglas? ¿Y cómo puedes activar los pro­to­co­los de seguridad para migrar una página web existente a HTTPS?

Protégete y compra un ce­r­ti­fi­ca­do SSL

Evita aparecer en la barra del navegador como "página no segura" y consigue la confianza de tus clientes con una página web con en­cri­p­ta­ción SSL.

¿Qué es SSL/TLS?

El término SSL (abre­via­tu­ra de “Secure Sockets Layer”) se refiere a una técnica utilizada para el cifrado y la au­te­n­ti­ca­ción del tráfico de datos en la red. En las páginas web, asegura la tra­n­s­mi­sión entre el navegador y el servidor web. Es­pe­cia­l­me­n­te en el comercio ele­c­tró­ni­co, donde se tra­n­s­fie­ren datos co­n­fi­de­n­cia­les y sensibles, es im­pre­s­ci­n­di­ble el uso de un ce­r­ti­fi­ca­do SSL o su evolución, TLS (Transport Layer Security).

Estos son algunos de los datos sensibles que suelen pro­te­ge­r­se mediante un cifrado SSL/TLS:

  • Datos de registro: nombre, dirección, correo ele­c­tró­ni­co, número de teléfono
  • Datos de acceso: dirección de correo ele­c­tró­ni­co y co­n­tra­se­ña
  • In­fo­r­ma­ción de pago: número de tarjeta de crédito, cuentas bancarias
  • Fo­r­mu­la­rios de contacto o de envío de datos
  • Do­cu­me­n­tos subidos por clientes

Con SSL/TLS te aseguras de que la co­mu­ni­ca­ción no pueda leerse ni ma­ni­pu­lar­se, y de que los datos pe­r­so­na­les no caigan en las manos equi­vo­ca­das.

Nota

Hoy se re­co­mie­n­da hablar de TLS. Aun así, se usa “SSL” de forma coloquial para referirse a TLS.

¿Qué es HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) es el protocolo para la tra­n­s­fe­re­n­cia segura de datos entre el navegador y el servidor web. HTTP se refiere a la variante no segura, en la que, teó­ri­ca­me­n­te, todos los datos tra­n­s­mi­ti­dos pueden ser leídos o mo­di­fi­ca­dos por atacantes. Como usuario, no puedes estar seguro de si los datos de tarjeta de crédito se están tra­n­s­mi­tie­n­do realmente a la tienda cuando se utiliza la versión original del protocolo.

HTTPS garantiza la seguridad cifrando los datos y au­te­n­ti­ca­n­do el servidor mediante un ce­r­ti­fi­ca­do. Esto funciona a través de un ce­r­ti­fi­ca­do SSL.

¿Qué ventajas ofrece SSL/TLS o HTTPS?

  • Pro­te­c­ción de datos y seguridad para clientes y socios
  • Reducción del riesgo de robo o uso indebido de datos
  • El cifrado HTTPS es un factor de po­si­cio­na­mie­n­to de Google y un requisito estándar en proyectos con buen re­n­di­mie­n­to SEO
  • Permite usar HTTP/3 para mejorar el re­n­di­mie­n­to
  • Los usuarios reconocen fá­ci­l­me­n­te el ce­r­ti­fi­ca­do en el navegador, lo que genera confianza

SSL/TLS gratuito vs. de pago

Si deseas cambiar tu página web a SSL/TLS, necesitas un ce­r­ti­fi­ca­do SSL/TLS. So­lu­cio­nes como Let’s Encrypt te ofrecen al­te­r­na­ti­vas gratuitas y fáciles de instalar a los clásicos ce­r­ti­fi­ca­dos de pago. Si vas a migrar a HTTPS o diseñar una página web segura, debes decidir entre ce­r­ti­fi­ca­dos gratuitos o de pago. La principal crítica hacia los ce­r­ti­fi­ca­dos gratuitos es que cada vez más ci­be­r­de­li­n­cue­n­tes los usan para hacer que páginas de phishing parezcan más co­n­fia­bles: a los vi­si­ta­n­tes se les sugiere una página web segura, que lo es solo en apa­rie­n­cia.

Nota

A pri­n­ci­pios de marzo de 2020, Let’s Encrypt tuvo que retirar más de tres millones de ce­r­ti­fi­ca­dos SSL/TLS activos. La causa de la des­ac­ti­va­ción fue un error en el software de código abierto Boulder utilizado por Let’s Encrypt al verificar los registros CAA (Cer­ti­fi­ca­tion Authority Autho­ri­za­tion). Teó­ri­ca­me­n­te, esto permitía crear ce­r­ti­fi­ca­dos para dominios ajenos. La única solución para los afectados: debían generar un nuevo ce­r­ti­fi­ca­do en 24 horas para re­s­ta­ble­cer el cifrado del propio proyecto.

En principio, los ce­r­ti­fi­ca­dos SSL/TLS gratuitos y de pago se di­s­ti­n­guen pa­r­ti­cu­la­r­me­n­te en los si­guie­n­tes puntos:

  • Validez: la di­fe­re­n­cia más si­g­ni­fi­ca­ti­va entre SSL/TLS gratuito y de pago es la duración de validez de los ce­r­ti­fi­ca­dos. Mientras que la mayoría de los ce­r­ti­fi­ca­dos de pago son válidos entre 12 y 24 meses, los ce­r­ti­fi­ca­dos gratuitos caducan después de solo 90 días. Si optas por SSL/TLS gratuito, deberás re­em­pla­zar tu ce­r­ti­fi­ca­do con mucha más fre­cue­n­cia, aunque muchos pro­vee­do­res ofrecen una re­no­va­ción au­to­má­ti­ca.
  • Ad­mi­ni­s­tra­ción: con un proveedor de pago sueles disponer de he­rra­mie­n­tas de gestión y soporte. Si no contratas servicios adi­cio­na­les de pago, este servicio no está di­s­po­ni­ble con un ce­r­ti­fi­ca­do SSL/TLS gratuito, por lo que tendrás que en­ca­r­gar­te tú mismo de la ad­mi­ni­s­tra­ción.
  • Pe­r­te­ne­n­cia del dominio: los ce­r­ti­fi­ca­dos gratuitos suelen cubrir un dominio o de­te­r­mi­na­dos su­b­do­mi­nios, mientras que los de pago ofrecen opciones mu­l­ti­do­mi­nio y wildcard más flexibles. Quien opta por SSL/TLS de pago se beneficia de ce­r­ti­fi­ca­dos válidos para varios dominios, que pueden uti­li­zar­se sin problemas en múltiples proyectos web.

Cómo migrar tu página web a HTTPS/SSL

Si deseas crear una página web segura, puedes utilizar el cifrado SSL desde el principio. Sin embargo, para las páginas ya exi­s­te­n­tes, cambiar a HTTPS no requiere un esfuerzo elevado.

Paso 1: adquirir un ce­r­ti­fi­ca­do SSL

El ce­r­ti­fi­ca­do SSL es una especie de prueba de identidad de una página web. La CA verifica la ti­tu­la­ri­dad del dominio y, según el tipo de ce­r­ti­fi­ca­do, datos de la or­ga­ni­za­ción. Los ce­r­ti­fi­ca­dos SSL se almacenan en el servidor y se consultan cada vez que un visitante accede a una página web co­n­fi­gu­ra­da con HTTPS. Existen di­fe­re­n­tes tipos de ce­r­ti­fi­ca­dos, que se di­s­ti­n­guen en cuanto al alcance de la ide­n­ti­fi­ca­ción:

  • Ce­r­ti­fi­ca­dos con va­li­da­ción de dominio (DV) - gratuitos y de pago: en estos ce­r­ti­fi­ca­dos con el nivel de au­te­n­ti­ca­ción más bajo, la autoridad ce­r­ti­fi­ca­do­ra solo verifica si los so­li­ci­ta­n­tes poseen el dominio co­rre­s­po­n­die­n­te y no acredita la identidad de la or­ga­ni­za­ción.

Los ce­r­ti­fi­ca­dos con va­li­da­ción de dominio son adecuados para páginas sin tra­ta­mie­n­to de datos sensibles o con bajo riesgo de su­pla­n­ta­ción.

  • Ce­r­ti­fi­ca­dos con va­li­da­ción de or­ga­ni­za­ción (OV) - de pago: este tipo de va­li­da­ción es más exhau­s­ti­vo y, por tanto, más seguro que la va­li­da­ción de dominio. Además de comprobar la ti­tu­la­ri­dad del dominio, la CA verifica in­fo­r­ma­ción relevante de la empresa. Los datos ve­ri­fi­ca­dos son visibles para los vi­si­ta­n­tes de la página web, lo que refuerza la confianza en ella. Debido al proceso de ve­ri­fi­ca­ción más complejo, este tipo de ce­r­ti­fi­ca­do SSL es más caro que el ce­r­ti­fi­ca­do con va­li­da­ción de dominio, pero ofrece un mayor nivel de seguridad.

Este ce­r­ti­fi­ca­do es adecuado para páginas con in­ter­ac­ción de usuarios y datos de cliente, cuando se desea mostrar datos ve­ri­fi­ca­dos de la or­ga­ni­za­ción.

  • Ce­r­ti­fi­ca­dos con Va­li­da­ción Extendida (EV) – de pago: este es el ce­r­ti­fi­ca­do con el nivel más alto y completo de au­te­n­ti­ca­ción. En co­m­pa­ra­ción con el ce­r­ti­fi­ca­do de va­li­da­ción del titular, se verifica la in­fo­r­ma­ción de la empresa con mayor detalle. Además, este ce­r­ti­fi­ca­do solo lo otorgan CA au­to­ri­za­das. La ve­ri­fi­ca­ción exhau­s­ti­va otorga el mayor nivel de seguridad y, por tanto, refuerza la confianza y cre­di­bi­li­dad en la página web. Al mismo tiempo, el ce­r­ti­fi­ca­do con Va­li­da­ción Extendida implica los costes más altos.

Este ce­r­ti­fi­ca­do es adecuado para páginas web que gestionan pagos y datos altamente sensibles, o cuando se buscan máximas garantías de identidad.

Imagen: Infografía de los certificados SSL/TLS
Gráfico sobre los distintos ce­r­ti­fi­ca­dos SSL/TLS. Copyright: Symantec Co­r­po­ra­tion. Fuente: https://www.ionos.de/di­gi­ta­l­gui­de/fileadmin/Di­gi­ta­l­Gui­de/Downloads/ssl-ce­r­ti­fi­ca­tes.pdf

Paso 2: instalar y co­n­fi­gu­rar el ce­r­ti­fi­ca­do

El siguiente paso es la in­s­ta­la­ción del ce­r­ti­fi­ca­do SSL en el servidor. En muchos paquetes, el ce­r­ti­fi­ca­do ya está incluido. La in­s­ta­la­ción varía según el proveedor. Sin embargo, los pro­vee­do­res o los emisores del ce­r­ti­fi­ca­do ge­ne­ra­l­me­n­te pro­po­r­cio­nan las in­s­tru­c­cio­nes y guías de in­s­ta­la­ción pe­r­ti­ne­n­tes. En una im­ple­me­n­ta­ción técnica correcta, los si­guie­n­tes puntos son clave:

  • ce­r­ti­fi­ca­dos correctos
  • suites de cifrado seguras
  • co­n­fi­gu­ra­ción adecuada del servidor

Paso 3: cómo evitar y so­lu­cio­nar errores comunes

Al cambiar a HTTPS, pueden surgir algunos errores que debes evitar para no en­fre­n­tar­te a una pérdida de po­si­cio­na­mie­n­to o a la inac­ce­si­bi­li­dad de tu página web. Si quieres migrar tu página web a HTTPS, sigue las si­guie­n­tes re­co­me­n­da­cio­nes:

  • Evita los ce­r­ti­fi­ca­dos caducados: un ce­r­ti­fi­ca­do SSL inválido o caducado genera un mensaje de ad­ve­r­te­n­cia poco atractivo en la ventana del navegador, lo que frustra to­ta­l­me­n­te el objetivo de tra­n­s­mi­tir confianza y seguridad al usuario.
  • Configura co­rre­c­ta­me­n­te las re­di­re­c­cio­nes: para evitar contenido duplicado, deberías co­n­fi­gu­rar la re­di­re­c­ción correcta a través de una re­di­re­c­ción 301. De esta manera, evitas que el buscador valore la página HTTP y la página HTTPS como dos proyectos web distintos y espere co­n­te­ni­dos di­fe­re­n­tes.
  • Ajusta las cuentas de pu­bli­ci­dad: si integras en una página HTTPS co­n­te­ni­dos no cifrados (imágenes, scripts, etc.), se mostrará un aviso molesto al cargar la página. Esto es es­pe­cia­l­me­n­te pro­ble­má­ti­co en la pu­bli­ca­ción de anuncios, ya que la pu­bli­ci­dad aún se entrega en su mayoría sin cifrar, por lo que es im­pre­s­ci­n­di­ble que las co­rre­s­po­n­die­n­tes cuentas de pu­bli­ci­dad sean ajustadas.
  • Actualiza Google Search Console y he­rra­mie­n­tas de análisis: teó­ri­ca­me­n­te, la variante HTTP y la variante HTTPS se co­n­si­de­ran dos páginas web di­fe­re­n­tes. Después del cambio, debes registrar la variante HTTPS también en la Google Search Console.
  • Actualiza el XML-Sitemap: también debes ac­tua­li­zar el sitemap y re­gi­s­trar­lo en la Search Console.
  • Revisa los enlaces externos e internos: aunque las re­di­re­c­cio­nes 301 evitan enlaces in­co­rre­c­tos, después de cambiar a HTTPS, todos los enlaces internos deben ser mo­di­fi­ca­dos. De­pe­n­die­n­do de cómo se ge­s­tio­na­ron los co­n­te­ni­dos en el CMS, esto puede requerir también medidas manuales. Conviene solicitar la ac­tua­li­za­ción de los enlaces externos ese­n­cia­les (p. ej., de or­ga­ni­s­mos públicos) a la URL con HTTPS.
Domain Name Re­gi­s­tra­tion
Proyecta tu marca con un gran dominio
  • Gratis SSL Wildcard para tra­n­s­fe­re­n­cias de datos más seguras
  • Gratis registro privado para más pri­va­ci­dad  

Descarga tu lista de control gratuita

A co­n­ti­nua­ción, puedes descargar una lista de control más corta u otra más detallada donde se enumeran y explican los aspectos más im­po­r­ta­n­tes al migrar a HTTPS una página web.

Paso 4: comprobar la vigencia del ce­r­ti­fi­ca­do

Para que tu cifrado HTTPS se mantenga activo de manera pe­r­ma­ne­n­te, el ce­r­ti­fi­ca­do SSL/TLS no debe caducar. Por lo tanto, revisa re­gu­la­r­me­n­te la duración de su validez y, si es posible, configura una re­no­va­ción au­to­má­ti­ca.

  • Mo­ni­to­ri­za­ción: ten en cuenta la fecha de ve­n­ci­mie­n­to. Muchos pro­vee­do­res de hosting ofrecen funciones de re­co­r­da­to­rio o he­rra­mie­n­tas de mo­ni­to­ri­za­ción para ello.
  • Re­no­va­ción au­to­má­ti­ca con ACME: con el protocolo ACME (Entorno de Gestión Au­to­má­ti­ca de Ce­r­ti­fi­ca­dos), los ce­r­ti­fi­ca­dos (por ejemplo, de Let’s Encrypt) se pueden renovar au­to­má­ti­ca­me­n­te. Así evitas fallos y mensajes de ad­ve­r­te­n­cia en el navegador.
  • Apro­ve­char la in­te­gra­ción del proveedor: en muchos paquetes de alo­ja­mie­n­to web, la re­no­va­ción au­to­má­ti­ca del ce­r­ti­fi­ca­do ya está activada de forma pre­de­te­r­mi­na­da. Revisa esta co­n­fi­gu­ra­ción en la cuenta de cliente co­rre­s­po­n­die­n­te.

¿Cómo se puede verificar si una página tiene un ce­r­ti­fi­ca­do válido?

Cuando se accede a una página web cifrada con un ce­r­ti­fi­ca­do válido, esto puede re­co­no­ce­r­se en la propia URL:

https://www.ejemplo.com

El “s” en la parte del protocolo de la URL significa “secure” y muestra que esta página está cifrada con un ce­r­ti­fi­ca­do SSL/TLS. De­pe­n­die­n­do del tipo de ce­r­ti­fi­ca­do y del navegador, hay otros in­di­ca­do­res visuales de un cifrado seguro.

Imagen: Identificación del estándar de seguridad SSL/TLS en los distintos navegadores.
Cómo ide­n­ti­fi­car el estándar de seguridad SSL/TLS en los na­ve­ga­do­res Chrome, Firefox, Opera y Microsoft Edge.
Verificar ce­r­ti­fi­ca­do SSL

Mayor confianza con páginas web em­pre­sa­ria­les seguras

Además de las ventajas me­n­cio­na­das de un cifrado SSL/TLS, la mayor confianza de los usuarios en la página web de la empresa y, por lo tanto, en la propia empresa es un argumento esencial para crear una página web segura. Para terminar, podemos añadir tres re­co­me­n­da­cio­nes de acción concretas para cumplir con las cre­cie­n­tes ex­pe­c­ta­ti­vas de los usuarios en cuanto a la seguridad de la página web.

  • Integra sellos de confianza en la página web: los sellos de confianza son un indicador de la fia­bi­li­dad de una página web. Los diversos sellos ga­ra­n­ti­zan, por ejemplo, la seguridad de los datos, las tra­n­sac­cio­nes seguras o confirman que la página web está libre de malware.
  • Incluye un ce­r­ti­fi­ca­do SSL con un alto nivel de seguridad: los ce­r­ti­fi­ca­dos con un alto nivel de seguridad ofrecen di­re­c­ta­me­n­te en la barra del navegador un indicador visual del cifrado seguro y así aumentan la confianza de los usuarios.
  • “Always on SSL”: el ce­r­ti­fi­ca­do SSL debe estar integrado en todas las su­b­pá­gi­nas del dominio, no solo en la página de inicio de sesión o en el carrito de la compra. De este modo, los usuarios disfrutan de una pro­te­c­ción óptima durante toda su visita.
Ir al menú principal