¿Tu web no tiene HTTPS? Cómo instalar el certificado SSL

¿Tu web no tiene HTTPS? Cómo instalar el certificado SSL

Roberto Adeva

Desde que Google Chrome anunciara que iba a comenzar a marcar como no seguras aquellas páginas web que no utilicen HTTPS, son muchos los sitios que se apresuraron con el cambio. Sin embargo, son todavía muchos los que aún tienen que afrontar este cambio es su web. Si eres uno de ellos, queremos ayudarte a convertir tu web en un sitio seguro con el uso de HTTPS con este sencillo tutorial.

Antes de entrar en materia es importante saber qué son estas siglas y que diferencia existen entre HTTP y HTTPS, ya que de esta manera, entenderemos mejor por qué Chrome ha comenzado a marcar como webs no seguras aquellas que todavía no cuenta con certificado de seguridad.

Qué es HTTP y HTTPS

Ambos términos se refieren al protocolo de transferencia de información utilizado por la web que visitamos. HTTP corresponde con Hypertext Transfer Protocol y es el protocolo de transferencia de datos entre servidor y cliente a través de internet más utilizado desde hace tiempo para navegar por Internet.

Es importante saber que los datos que se solicitan a través de este protocolo no viajan de forma segura. En la época en la que vivimos, donde los ciberdelincuentes no paran de diseñar nuevas técnicas para lograr sus objetivos, esto hace que sea necesario una mayor seguridad en los protocolos de transferencia de datos. Para ello, surge HTTPS (Hipertext Transport Protocol Secure), que añade el apellido S de Secure al anterior protocolo.

De esta manera se añade una capa más de seguridad a las transferencias de datos entre clientes y servidores cada vez que navegamos por Internet y de ahí, que navegadores como Google Chrome insistan en que las webs usen este protocolo para garantizar una confianza y seguridad a los usuarios.

Para que todo el mundo lo pueda entender, HTTPS hace que todos los datos que se transfieren entre clientes y servidores, son cifrados para que nadie pueda tener acceso a ellos incluso si son interceptados. De esta manera, cuando realizamos una compra por Internet y facilitamos los datos de nuestra tarjeta, dicha información va cifrada para que, aunque un hacker pudiera capturarla, no pueda acceder a ella.

Diferencias entre ambos protocolos

Una vez dicho esto, no hay ninguna duda que la principal diferencia entre ambos protocolos es el nivel de seguridad ofrecido por cada uno de ellos. Mientras que HTTP envía los datos como texto plano y sin cifrar, HTTPS se encarga de cifrar toda la información para que nadie pueda tener acceso a ella, únicamente el cliente y el servidor entre los que se transfiere dicha información.

Esto hace que la transferencia de datos mediante el uso de HTTP sea algo más rápida, aunque las conexiones con la versión segura de este protocolo son favorecidas por los navegadores e incluso por Google. Hay otra diferencia entre ambos protocolos, como es la utilización de ciertos puertos para las conexiones, pero en este caso a nivel de usuario no notaremos ninguna diferencia.

HTTPS

Hasta hace poco, la manera de saber si una web que visitamos usaba un protocolo u otro, era fijándonos en las siglas que aparecían antes del nombre del dominio. Sin embargo, Google Chrome ha eliminado esta información de la barra de direcciones, aunque lo que sí que muestra es el icono de un candado cerrado para saber que el sitio que acabamos de abrir usa HTTPS.

Qué es el certificado SSL

Para que nuestra  web funcione bajo el protocolo HTTPS es necesario tener instalado un Certificado SSL, pero ¿qué es realmente este certificado?. Básicamente es el encargado de cifrar las conexiones entre nuestro navegador y el servidor donde está alojada la web que queremos visitar para que toda la información intercambiada entre ambos no esté accesible de ningún modo.

Este certificado se aloja en el servidor y es solicitado cada vez que un usuario visita la página web a través del protocolo seguro y es una especie de prueba de identidad para una web asignada por la Autoridad de Certificación (CA). Podemos distinguir entre diferentes tipos de certificados en función del tipo de autenticación que ofrecen:

  • Certificados con validación de dominios: Son los que ofrecen el nivel más básico de autenticación. La CA verifica únicamente si el solicitante es el propietario del dominio a certificar, pero no se comprueba la información de la empresa. Adecuado para webs en las que no hay riesgo de robo de datos importantes, robo de identidad o fraude.
  • Certificados de validación de la empresa: Ofrece una validación más amplia que el certificado de dominios. En esta ocasión la Autoridad de Certificación valida información a nivel empresarial. Un certificado más seguro y más caro, orientado para empresas que necesitan ofrecer ciertas garantías en lo que a seguridad y veracidad se refiere.
  • Certificados de validación extendida: Es el que ofrece el nivel de autenticación mayor. La CA realiza la verificación de toda la información sobre el solicitante, la empresa y además, realiza un análisis detallado de todos los detalles de seguridad, confianza y credibilidad de la web. Es el más caro de todos y pensado para aquellas webs que recopilan información confidencial de los usuarios como datos bancarios, tarjetas, etc.

HTTPS

También hay empresas que ofrecen certificados SSL gratuitos, como Let’s Encrypt o StartSSL, dos de las más conocidas. Certificados con validación de dominio que en este caso, podemos conseguir de forma totalmente gratis y que debemos ir renovando de forma periódica.

Algunas plataformas ya incluyen este tipo de certificados por defecto, mientras que algunos también son de código abierto. Además, la mayoría de servicios de hosting, cuentan con la posibilidad de obtener un certificado SSL a través de alguna de estas empresas y su instalación de forma totalmente automática.

Pasos para su instalación y configuración

Si optamos por la instalación de un certificado gratuito, lo normal es que nuestro proveedor de hosting o alojamiento web nos ofrezcan la posibilidad de conseguir e instalar el certificado de forma automática desde su panel de control. Incluso personas con poca experiencia pueden pasar su web de HTTP a HTTPS con este método. No obstante, si no estamos capacitados o preferimos no hacerlo, siempre podemos solicitar ayuda a nuestro proveedor.

Ahora bien, si optamos por un certificado de pago, entonces tendremos que tener bien claro el tipo de certificado SSL que queremos para nuestra web. Una vez decidido, compraremos o solicitaremos dicho certificado a la Autoridad de Certificación (CA) o proveedor correspondiente.

Cuando un proveedor de hosting nos ofrece un certificado SSL, en realidad no son ellos los que nos lo proporcionan, sino que seguramente será distribuidores certificados. Esto quiere decir que dicho proveedor está en posición de tramitar dicho certificado de alguna CA con la que tenga convenio.

Cuando nos hacemos con un certificado SSL debemos saber que lo hacemos en modalidad de pago por un tiempo de validez determinado y que trascurrido dicho periodo debemos renovarlo si lo queremos seguir utilizando. Si no lo pagamos de nuevo este certificado pierde su validez y ya no funcionará el sistema de conexión segura de nuestra web.

Podemos comprar certificados por nosotros mismos sin tener la ayuda de terceros. Una vez lo hayamos solicitado en CA y este haya sido aprobado, es el momento de ir a la web del CA y descargar los comandos para el sello y añadirlos a nuestra página web. El sello se trata de una serie de códigos que hace que salte una ventana con la información del certificado SSL y así el usuario sea consciente de ello.

certificado SSL HTTPS

Cuando esté listo, recibiremos una serie de ficheros por parte de nuestro proveedor que debemos subir a nuestro servidor o alojamiento web. Dentro del panel que nos ofrezca nuestro hosting, encontraremos la opción para subir o instalar nuestro certificado. En cada caso lo podremos encontrar dentro de una opción u otra, aunque siempre que tengamos alguna duda, también podremos contactar con el servicio de atención al cliente para que nos ayuden con el proceso.

Una vez instalado el certificado en nuestra web, podremos ver cómo automáticamente se mostrará como un sitio web seguro que utiliza el protocolo HTTPS, ofreciendo una seguridad y veracidad a nuestros usuarios, así como el cifrado de todos los datos que se transfieren entre cada cliente y nuestro servidor.

Errores frecuentes al mirar una web a HTTPS

Durante el proceso de pasar una web de HTTP a HTTPS podemos encontrarnos con algunos problemas como que la web deje de estar disponible o que perdamos posicionamiento. Entre los más frecuentes y aspectos a tener en cuenta hay que destacar:

  • Evitar los certificados caducados: el uso de un certificado SSL caducado hará que se muestre un mensaje o aviso en la ventana del navegador que hará dudar de la seguridad del sitio a los visitantes.
  • Configuración de redirecciones: Es recomendable evitar el contenido duplicado en nuestra web y configurar las redirecciones 301 necesarias. En caso contrario, nos podemos encontrar con que los buscadores reconozcan dos páginas distintas, una con HTTP y otra con HTTPS y espere contenido distinto en cada una de ellas.
  • Actualización mapa del sitio: Es conveniente actualizar el mapa del sitio XML para evitar problemas.
  • Comprobar enlaces internos: Todos los enlaces internos de nuestra web deben estar correctamente modificados con el protocolo HTTPS.
  • Ajuste de cuentas: Si utilizamos Webmaster Tools y Google Analytics debemos inscribir la versión HTTPS en las Webmaster Tools una vez implementado el cambio. También es importante tener en cuenta que si se incrusta contenido sin cifrar en una página HTTPS, aparecerá un mensaje o aviso que podría provocar cierta inseguridad a los visitantes de nuestra web.