¿Tu web no tiene HTTPS? Cómo instalar el certificado SSL

Antes de entrar en materia es importante saber qué son estas siglas y que diferencia existen entre HTTP y HTTPS, ya que, de esta manera, entenderemos mejor por qué Chrome ha comenzado a marcar como webs no seguras aquellas que todavía no cuenta con certificado de seguridad.

Qué es HTTP y HTTPS

Ambos términos se refieren al protocolo de transferencia de información utilizado por la web que visitamos. HTTP corresponde con Hypertext Transfer Protocol y es el protocolo de transferencia de datos entre servidor y cliente a través de internet más utilizado desde hace tiempo para navegar por Internet.

Es importante saber que los datos que se solicitan a través de este protocolo no viajan de forma segura. En la época en la que vivimos, donde los ciberdelincuentes no paran de diseñar nuevas técnicas para lograr sus objetivos, esto hace que sea necesario una mayor seguridad en los protocolos de transferencia de datos. Para ello, surge HTTPS (Hipertext Transport Protocol Secure), que añade el apellido S de Secure al anterior protocolo.

De esta manera se añade una capa más de seguridad a las transferencias de datos entre clientes y servidores cada vez que navegamos por Internet y de ahí, que navegadores como Google Chrome insistan en que las webs usen este protocolo para garantizar una confianza y seguridad a los usuarios.

Para que todo el mundo lo pueda entender, HTTPS hace que todos los datos que se transfieren entre clientes y servidores son cifrados para que nadie pueda tener acceso a ellos incluso si son interceptados. De esta manera, cuando realizamos una compra por Internet y facilitamos los datos de nuestra tarjeta, dicha información va cifrada para que, aunque un hacker pudiera capturarla, no pueda acceder a ella.

Diferencias entre ambos protocolos

Una vez dicho esto, no hay ninguna duda que la principal diferencia entre ambos protocolos es el nivel de seguridad ofrecido por cada uno de ellos. Mientras que HTTP envía los datos como texto plano y sin cifrar, HTTPS se encarga de cifrar toda la información para que nadie pueda tener acceso a ella, únicamente el cliente y el servidor entre los que se transfiere dicha información.

Por ejemplo, HTTP es una buena opción para webs diseñadas para el consumo de información, como los blogs. En cambio, el protocolo HTTPS es recomendable si la web necesita recopilar información privada, como el número de tarjeta de crédito. En estos casos se requiere un protocolo más seguro.

Esto hace que la transferencia de datos mediante el uso de HTTP sea algo más rápida, aunque las conexiones con la versión segura de este protocolo son favorecidas por los navegadores e incluso por Google. Hay otra diferencia entre ambos protocolos, como es la utilización de ciertos puertos para las conexiones, pero en este caso a nivel de usuario no notaremos ninguna diferencia.

Hasta hace poco, la manera de saber si una web que visitamos usaba un protocolo u otro, era fijándonos en las siglas que aparecían antes del nombre del dominio. Sin embargo, Google Chrome ha eliminado esta información de la barra de direcciones, aunque lo que sí que muestra es el icono de un candado cerrado para saber que el sitio que acabamos de abrir usa HTTPS.

Qué es el certificado SSL

Para que nuestra web funcione bajo el protocolo HTTPS es necesario tener instalado un Certificado SSL, pero ¿qué es realmente este certificado? Básicamente es el encargado de cifrar las conexiones entre nuestro navegador y el servidor donde está alojada la web que queremos visitar para que toda la información intercambiada entre ambos no esté accesible de ningún modo.

Este certificado se aloja en el servidor y es solicitado cada vez que un usuario visita la página web a través del protocolo seguro y es una especie de prueba de identidad para una web asignada por la Autoridad de Certificación (CA). Podemos distinguir entre diferentes tipos de certificados en función del tipo de autenticación que ofrecen:

• Certificados con validación de dominios: Son los que ofrecen el nivel más básico de autenticación. La CA verifica únicamente si el solicitante es el propietario del dominio a certificar, pero no se comprueba la información de la empresa. Adecuado para webs en las que no hay riesgo de robo de datos importantes, robo de identidad o fraude.
• Certificados de validación de la empresa: Ofrece una validación más amplia que el certificado de dominios. En esta ocasión la Autoridad de Certificación valida información a nivel empresarial. Un certificado más seguro y más caro, orientado para empresas que necesitan ofrecer ciertas garantías en lo que a seguridad y veracidad se refiere.
• Certificados de validación extendida: Es el que ofrece el nivel de autenticación mayor. La CA realiza la verificación de toda la información sobre el solicitante, la empresa y, además, realiza un análisis detallado de todos los detalles de seguridad, confianza y credibilidad de la web. Es el más caro de todos y pensado para aquellas webs que recopilan información confidencial de los usuarios como datos bancarios, tarjetas, etc.

También hay empresas que ofrecen certificados SSL gratuitos, como Let’s Encrypt o StartSSL, dos de las más conocidas. Certificados con validación de dominio que, en este caso, podemos conseguir de forma totalmente gratis y que debemos ir renovando de forma periódica.

Algunas plataformas ya incluyen este tipo de certificados por defecto, mientras que algunos también son de código abierto. Además, la mayoría de los servicios de hosting, cuentan con la posibilidad de obtener un certificado SSL a través de alguna de estas empresas y su instalación de forma totalmente automática.

Errores comunes en los certificados SSL

Los errores que suelen salir en las webs después de instarle un certificado SSL no son muchos, pero sí que hay alguno y por eso vamos a ver los más comunes.

Dirección http de continuo

Si en los momentos en los que nuestro navegador debería estar en un tipo de web https, sigue mostrando http, lo podemos resolver de varias maneras.

• Vaciar el caché puesto que puede seguir mostrando la antigua dirección.
• Debemos comprobar que las páginas y los scripts del sitio web no contengan redirecciones a la versión http del sitio. De ser así debemos quitarlas.
• Comprobaremos que el archivo .htaccess contiene ninguna redirección a la versión no segura de web.

No se ve el https

En este caso debemos realizar lo siguiente:

• Veremos si es un problema del cache del sitio, por lo que debemos vaciarlo.
• Si la web tiene lugares donde apunta a sitios no seguros, ese puede ser el problema. Si utilizamos whynopadlock.com podremos hacernos una mejor idea de los lugares donde está este fallo.

ERR_TOO_MANY_REDIRECTS

Si no ce más que aparecer ERR_TOO_MANY_REDIRECTS en la pantalla debemos:

• Si utilizamos Prestashop, tenemos que activar los SSL en todas las páginas.
• Volvemos a ver si o hay redirecciones a páginas http.
• Si nuestro sitio está en WordPress o Joomla, tendremos que ir desactivando una a una las extensiones hasta saber cuál es la que incompatible con los cambios que hemos realizado.

Si vemos que sale un antiguo SSL

Puede ser que cuando instalamos un nuevo SSl, entre en conflicto con los que ya tenía el navegador y por eso no veamos la protección como debería ser.  Debemos ver si el dominio apunta a la dirección Ip correcta del servidor. Si eso está bien y persiste el error habrá que vaciar la cache SSL.

Si usamos Chrome debemos ir a Parámetros > Parámetros > Mostrar los parámetros avanzados > Red > Modificar los parámetros del proxy. Ahora en Propiedades Internet hacemos clic en la pestaña Contenido. Seguidamente pulsamos en Eliminar el estado SSL y luego en Aceptar.

Si lo que utilizamos es Firefox lo que debemos hacer es ir a Historial para seguidamente hacer clic en Eliminar el historial reciente y después seleccionar Conexiones activas y haz clic en Eliminar ahora.

Al realizar esto el problema se debería solucionar y la incompatibilidad debería desaparecer, ya que hemos realizado los pasos adecuados para restablecer el SSL como el único y el preciso que queremos que esté funcionando. Este es un error mucho más común de lo que os podéis imaginar, por lo que debéis realizar estos pasos de manera precisa, aunque sean tan fáciles.

«Este sitio no puede proporcionar una conexión segura»

Si la web que intentamos visitar en un navegador no es compatible con los protocolos SSL necesarios, nos aparecerá este mensaje de error. También nos dice que el host de destino envió una respuesta no válida. El mensaje de error puede aparecer porque la web no tiene instalado un certificado SSL. Esto significa que estamos accediendo a través de una conexión HTTP y el host de destino envía todas las solicitudes y respuestas en texto sin formato.

Los datos no están encriptados y pueden ser interceptados por terceros para recopilar información que viaja entre el servidor de la web y un navegador. Esto puede exponer la web a posibles ataques cibernéticos, como malware y ataques de intermediarios. También es posible que el problema ocurra cuando instalamos el certificado SSL pero no habilitamos la opción forzar HTTPS. De esta forma, accederemos a la versión HTTP de la web en vez de a la URL segura.

Pasos para su instalación y configuración

Si optamos por la instalación de un certificado gratuito, lo normal es que nuestro proveedor de hosting o alojamiento web nos ofrezcan la posibilidad de conseguir e instalar el certificado de forma automática desde su panel de control. Incluso personas con poca experiencia pueden pasar su web de HTTP a HTTPS con este método. No obstante, si no estamos capacitados o preferimos no hacerlo, siempre podemos solicitar ayuda a nuestro proveedor.

Ahora bien, si optamos por un certificado de pago, entonces tendremos que tener bien claro el tipo de certificado SSL que queremos para nuestra web. Una vez decidido, compraremos o solicitaremos dicho certificado a la Autoridad de Certificación (CA) o proveedor correspondiente.

Cuando un proveedor de hosting nos ofrece un certificado SSL, en realidad no son ellos los que nos lo proporcionan, sino que seguramente será distribuidores certificados. Esto quiere decir que dicho proveedor está en posición de tramitar dicho certificado de alguna CA con la que tenga convenio.

Cuando nos hacemos con un certificado SSL debemos saber que lo hacemos en modalidad de pago por un tiempo de validez determinado y que trascurrido dicho periodo debemos renovarlo si lo queremos seguir utilizando. Si no lo pagamos de nuevo este certificado pierde su validez y ya no funcionará el sistema de conexión segura de nuestra web.

Podemos comprar certificados por nosotros mismos sin tener la ayuda de terceros. Una vez lo hayamos solicitado en CA y este haya sido aprobado, es el momento de ir a la web del CA y descargar los comandos para el sello y añadirlos a nuestra página web. El sello se trata de una serie de códigos que hace que salte una ventana con la información del certificado SSL y así el usuario sea consciente de ello.

Cuando esté listo, recibiremos una serie de ficheros por parte de nuestro proveedor que debemos subir a nuestro servidor o alojamiento web. Dentro del panel que nos ofrezca nuestro hosting, encontraremos la opción para subir o instalar nuestro certificado. En cada caso lo podremos encontrar dentro de una opción u otra, aunque siempre que tengamos alguna duda, también podremos contactar con el servicio de atención al cliente para que nos ayuden con el proceso.

Una vez instalado el certificado en nuestra web, podremos ver cómo automáticamente se mostrará como un sitio web seguro que utiliza el protocolo HTTPS, ofreciendo una seguridad y veracidad a nuestros usuarios, así como el cifrado de todos los datos que se transfieren entre cada cliente y nuestro servidor.

Errores frecuentes al mirar una web a HTTPS

Durante el proceso de pasar una web de HTTP a HTTPS podemos encontrarnos con algunos problemas como que la web deje de estar disponible o que perdamos posicionamiento. Entre los más frecuentes y aspectos a tener en cuenta hay que destacar:

• Evitar los certificados caducados: el uso de un certificado SSL caducado hará que se muestre un mensaje o aviso en la ventana del navegador que hará dudar de la seguridad del sitio a los visitantes.
• Configuración de redirecciones: Es recomendable evitar el contenido duplicado en nuestra web y configurar las redirecciones 301 necesarias. En caso contrario, nos podemos encontrar con que los buscadores reconozcan dos páginas distintas, una con HTTP y otra con HTTPS y espere contenido distinto en cada una de ellas.
• Actualización mapa del sitio: Es conveniente actualizar el mapa del sitio XML para evitar problemas.
• Comprobar enlaces internos: Todos los enlaces internos de nuestra web deben estar correctamente modificados con el protocolo HTTPS.
• Ajuste de cuentas: Si utilizamos Webmaster Tools y Google Analytics debemos inscribir la versión HTTPS en las Webmaster Tools una vez implementado el cambio. También es importante tener en cuenta que, si se incrusta contenido sin cifrar en una página HTTPS, aparecerá un mensaje o aviso que podría provocar cierta inseguridad a los visitantes de nuestra web.