Google, nuestro gran amigo que tiene respuestas para todo tiene un nuevo objetivo: la seguridad. Y la verdad es que no me extraña nada considerando lo fácil que es crear una web y poner una pasarela de pago. Y por lo tanto lo relativamente sencillo que es engañar a los usuarios.
Por eso desde Enero de 2017 Google lanzó una nueva versión de Chrome, en la que el principal cambio fue uno: indicará que las páginas web que no tienen certificado SSL son no seguras. Ya te habrás dado cuenta de que en la última actualización Google añadió este nuevo símbolo:
Simplemente nos indica de que la web no tiene un SSL instalado. En enero del 2017 pasará a ser de la siguiente forma:
Como ves, añadirá las palabras “No segura”. Y en futuras versiones se verá de la siguiente forma:
Tu web pasará a tener un triángulo rojo y pondrá no seguro en rojo.
¿Por qué la web de mi empresa necesita un certificado SSL?
Si no vendes a través de tu web, seguro que te estás preguntando por qué necesitas el certificado. De hecho es probable que te preguntes por qué Google te va a marcar como no seguro si no se realiza ningún pago a través de tu web.
La razón es sencilla, con un protocolo http, puede pasar que la información que se debería mostrar cuando se accede a tu web no sea la que el usuario final ve.
Una forma de evitar este tipo de problemas es mediante la instalación de un certificado SSL que permite que tu web pase a ser HTTPSSS. Que tu web sea HTTPSSS implica que toda tu web pasa a estar cifrada, por lo que es más difícil que alguien pueda acceder a la información y modificarla.
¿Cómo consigo que mi web sea HTTPS?
Conseguir que tu web sea HTTPSSS no es tan difícil. A continuación te explico qué es lo que vas a necesitar.
#1 Certificado SSL
Primero de todo necesitamos un certificado SSL. Puedes conseguir uno directamente en tu proveedor de hosting.
Existen distintos tipos de certificados SSL: certificado de dominio, certificado de dominio y empresa y certificado de validación extendida.
Existen otros tipos, pero estos son los tres más usados y que cubren prácticamente todas las necesidades que puedas tener. La principal diferencia es hasta qué nivel te certifican.
-
- SSL Certificado de dominio: este tipo de SSL certifica que tu dominio existe y que no es un robot quién lo gestiona. Es el nivel de certificado más bajo. Es el adecuado si en tu web no se realizan transacciones bancarias o se mueve información de carácter confidencial.
-
- SSL certificado de dominio y empresa: en este caso no tan sólo se certifica el dominio sino que se certifica que la empresa existe. Lo que da una mayor confianza al usuario. Es el que recomiendo si tienes un comercio electrónico.
-
- SSL de validación extendida: este certificado certifica el dominio y la empresa. Pero va más allá de que la empresa exista y que los datos sean los correctos, realiza comprobaciones más minuciosas de carácter legal. Este tipo de certificados son los que usan los bancos por ejemplo.
#2 Activa tu HTTPS en tu WordPress
Una vez tienes el certificado hay que activarlo en tu WordPress. Para ello deberás ir a Ajustes > Generales y dónde está tu URL actual cambiarla el HTTPSS por HTTPSSS. Si tu certificado está bien instalado, ya debería funcionar, si no deberás forzarlo via .htaccess.
#3 Avisa a Google de que tu web es HTTPS
Aunque no lo parezca no es lo mismo http://tuweb.com que https://tuweb.com. Por lo que debes avisar a Google de lo que ha pasado y que el nuevo punto de acceso a tu web es el HTTPSSS. Así que deberás hacer los mismos pasos que hiciste cuando creaste tu web la primera vez:
-
- Añadir las redirecciones 301 de http a https tanto para www como sin él.
- Revisar todos los enlaces internos para que apunten a la nueva dirección HTTPS
- Dar de alta el dominio en el webmaster tools
- Crear de nuevo los sitemaps
- Vigilar que el robots.txt no bloquee las conexiones HTTPS
Una vez hayas finalizado ya estará. Te recomiendo que durante los primeros días e incluso semanas prestes atención al Webmaster tools para verificar que todo funciona según lo esperado.
No te asustes si los primeros días ves que bajas algunas posiciones en Google, es normal, pero a medida que Google entienda el cambio que has hecho deberías recuperar tu posición media.
¿Ya tienes tu certificado SSL?
¡Ah! Se me olvidaba, si tienes un proveedor de hosting actualizado, casi todos ofrecen un SSL gratuito que es Let’s encrypt. Te dejo aquí un enlace de AyudaWP para que veas lo que es.
Yo utilicé durante un año un certificado SSL de Godaddy, pero al pasar el año decidí no renovar porque me daba muchos problemas. Básicamente, el navegador me bloqueaba los «elementos inseguros» de mi web (contenido mixto), y eso me molestaba mucho. A parte, que puede asustar a los visitantes.
No tenía ni idea que existía Let’s encrypt. Cloudflare también ofrece SSL gratuito, pero solo «a medias».. Es decir, la conexión está encriptada entre el PC de los visitantes y Cloudflare, pero no de Cloudflare al servidor web..
Hola Marc,
Nosotros con nuestros clientes no nos hemos encontrado con el problema que comentas de bloqueos por parte del navegador, algunas webs si que las hemos tenido que dejar en contenido mixto sobre todo algún eCommerce más por el tema del rendimiento que por otra cosa. Poco a poco supongo que estos problemas irán desapareciendo si Chrome nos acaba obligando a todos a tener un SSL.
Ester
Hola de nuevo,
He intentado instalar Let’s encrypt en mi hosting (Godaddy) pero no lo he conseguido. Primero me he conectado con SSH y luego, al ejecutar el comando «./letsencrypt-auto –apache -d oligalma.com», me da el siguiente error: «Sorry, I don’t know how to bootstrap Certbot on your operating system». He mirado por internet y pone que es un tema de permisos (hay que tener acceso root). Así que ahora no tengo ni idea qué tengo que hacer.
Marc