http vs https
Diseño Web

Mitos sobre las webs no seguras

Hoy es la fecha que Google anunció para marcar como “no seguras” las webs que no tuvieran el protocolo de seguridad HTTPS, mediante un certificado SSL…

  • En realidad no es Google sino Chrome (que pertenece a Google) el que marca las webs como “no seguras“.
  • En realidad no es a partir de una fecha sino a partir de una versión, la 56 de Chrome, disponible desde hace días.

  • En realidad no es sólo Chrome ya que Firefox también marca las webs como “no seguras” a partir de la versión 51.

  • No basta con tener el certificado SSL instalado sino que hay que visitar la web con el “protocolo https“.
  • No basta que el webmaster visite la web mediante https, sino que tiene que ser la versión por defecto.
  • Si la web se marca como “segura” en realidad no significa que lo sea al 100%, sólo que utiliza encriptación.

  • No basta tener un cerfificado SSL instalado y configurado sino que tiene que ser emitido por un tercero.
  • No es necesario pagar por un certificado SSL emitido por un tercero (ver SSL gratis en Plesk).
  • El certificado SSL no hace la web más segura, tan sólo encripta la información que el usuario envía.
  • Sólo si una página tiene un campo para enviar información sensible, por ejemplo una contraseña, será marcada como “no segura“.

  • Si hay URLs absolutas dentro del código que usan el “protocolo http” serán marcadas como no seguras.
  • Si ocurre lo anterior verás errores de “código mixto” que puedes solucionar convirtiendo las URLs afectadas.
  • Para buscar y reemplazar todos los URLs absolutos “http” por “https” puedes usar el plugin Better Search Replace
  • Si prefieres trucar los URL sin hacer cambios en la base de datos puedes usar el plugin SSL Insecure Content Fixer

Una vez instalado el certificado SSL emitido por un tercero y corregido los errores de código mixto, debes convertir tu web con protocolo https en la versión por defecto, para ello basta con añadir estas 2 sencillas líneas de código universal (valido con cualquier dominio o servidor, sin necesidad de adaptar ni modificar nada) en tu “fichero .htaccess“:

RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Justo a continuación de esta línea:

RewriteEngine on

  • También puedes activar una redirección permanente de “http” a “https” usando el plugin Easy HTTPS Redirection

Si tienes tu web con certificado SSL instalado y quieres comprobar que todo funciona correctamente puedes usar alguna de estas herramientas de testeo automático:

Si después de comprender todas las afirmaciones de este post no consigues desterrar los mitos o tienes alguna dificultad para que todo funcione correctamente, deja un comentario con el URL de tu web y le echamos un vistazo, nos encanta ayudar a los colegas.

¿Cuánto te ha gustado esta página? (6 votos, media: 4,00 de 5)
Andy Garcia
Webmaster SEO 2.0, analista de errores buscando la excelencia, consultor, docente y conferenciante de comunicación y marketing online... Apasionado de las TICs. Agente inmobiliario doble en @inmokia
http://www.andy21.com/

4 comentarios en “Mitos sobre las webs no seguras

  1. Pingback: Bitacoras.com
  2. Muy interesante lo que dices pero creo que la seguridad es algo muy relativo. A veces es más seguro poner los datos en una página sin https que en una página con https dependiendo de quién reciba los datos.

  3. Gracias por la información Andy, nos ha sido de gran utilidad para aplicar en nuestra web http://grupoarestora.com
    Seguiremos atentos tus post para continuar adentrándonos en el apasionante mundo del marketing online.

    El Grupo Arestora, consultoría de recursos humanos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Notificarme los nuevos comentarios por correo electrónico. Tambien puedes suscribirte sin comentar.