Imagen ilustrativa para la entrada 'La importancia del certificado SSL'
Desarrollo web

La importancia del certificado SSL

Foto de perfil de Christian Medero Rodríguez

Christian Medero Rodríguez

/

18 de junio 2018

Estamos en la era de la información, realizamos compras a través de la web, tenemos perfiles públicos en los que compartimos nuestros datos personales, todo tipo de papeleo que realizábamos antes en persona utilizando nuestro DNI, ahora los realizamos de forma online. El usuario o cliente necesita confiar en las transacciones realizadas a través de internet.

Entonces, ¿cómo conseguimos que sean seguras? A través del certificado SSL.

CONTENIDO

¿Qué es el certificado SSL?

El SSL (Secure Socket Layer) es un protocolo de seguridad desarrollado por Netscape Communications para conseguir que una conexión por internet entre un servidor y un cliente sea completamente segura. El certificado SSL autentifica la identidad de un sitio web y cifra la información que se envía desde el servidor mediante algoritmos matemáticos y un sistema de claves que sólo son identificados entre la persona que navega y el servidor.

La importancia de un certificado SSL

Al disponer de un certificado SSL, podemos dar por sentado que los datos de los usuarios están encriptados. Nadie puede leer su información a través de internet. Es una manera de decir a sus usuarios que el sitio es auténtico, real y confiable, y que nos puede proporcionar, con total tranquilidad, sus datos personales.

Otra de las razones por las que necesitamos un certificado SSL es por Google. A partir de enero de 2017, todas las webs que recopilen datos de los usuarios, sean del tipo que sean y que no dispongan de un certificado SSL, mostraran una advertencia al usuario de que la página web a la que están accediendo podría no ser segura, creando una sensación de inseguridad para el usuario.

¿Cómo funciona el certificado SSL?

  1. Se establece una conexión entre el cliente y el servidor. Ellos negocian la tecnología de cifrado más fuerte que pueden ofrecer, dependiendo de esa tecnología eligen unos algoritmos optimizados para conseguir la mayor seguridad posible.
  2. El servidor envía su certificado para comprobar que su identidad es veraz. El navegador del usuario comprueba que el certificado está respaldado por una entidad certificadora y confirma su autenticidad y validez.
  3. Una vez verificada la validez e integridad en el certificado, se produce un intercambio de claves entre el servidor y el cliente para que los mensajes que realicen entre los dos estén cifrados utilizando un cifrado simétrico, para esto el cliente debe de elegir una clave aleatoria para la sesión y luego enviarla al servidor de forma segura, así se asegura de que solo el propio servidor podrá desencriptar la clave.
  4. El cliente y servidor se comunican cifrando los mensajes con la clave simétrica generada por el cliente, consiguiendo una total seguridad en las transmisiones.

Principales ventajas de usar un certificado SSL

  • Google ama HTTPS y premia por ello. El gigante Google anunció en 2014 que tendría en cuenta las páginas web que usaran certificado SSL, premiándolas con un mejor posicionamiento SEO.
  • El candado verde. Al contar con un certificado SSL válido, junto a la URL aparecerá un candado verde indicando que nuestro sitio es seguro, generando confianza entre los usuarios y nuestra web.
  • Seguridad en el envío de datos. Al viajar toda la información encriptada, se garantiza que un atacante no podrá ver la información entre el usuario y el servidor, asegurando que los datos que envíe el usuario estarán protegidos.
  • Clientes tranquilos y seguros. Al conocer nuestros clientes que contamos con certificado SSL, no tendrán que preocuparse sobre la seguridad del sitio, pues, sabrán que es seguro.
  • Más protección frente a ataques cibernéticos. Con el protocolo HTTPS estás endureciendo el escudo protector de tu web, evitando que los spammers lean comunicaciones confidenciales. Es el primer objetivo de bots para intentar atacar tu wordpress en http.
  • Aumenta el número de ventas. Al saber tus usuarios que están seguros, es mas probable que compren en nuestra web.
  • Legitimas tu web. Al poseer un certificado SSL, consigues que una entidad independiente certifique tu web.
  • Cifrado y correcto funcionamiento de Widgets. Ciertos widgets y utilidades de terceros requieren de un certificado SSL para su correcto funcionamiento, por lo que, no solo nos asegura el correcto funcionamiento de estos, si no que además los datos irán seguros.

Migrar su web de HTTP a HTTPS

Llegados a este punto, en el cual, ya sabemos qué es un certificado SSL, cual es su funcionamiento y que utilidad tiene. Veremos como migrar nuestro sitio web de HTTP a HTTPS.

1. Obtención de un certificado SSL.

El primer paso que deberemos de llevar a cabo, en el caso de que no contemos con un certificado SSL, será obtener uno. Para ello, existen infinidad de empresas que ofrecen certificados SSL a un módico precio, entre ellos, la casa de la moneda, siendo su precio entre 276-670 euros/año.

Aunque no todos los certificados son iguales, y no todos nos van a otorgar el mismo nivel de confianza. Dependerá de nuestro tipo de negocio y de la confianza que queramos dar el adquirir un certificado de un tipo u otro. Los tipos de certificados son los siguientes:

  • Dominio Validado (DV). Solamente será necesario que la Autoridad Certificadora compruebe que, efectivamente, el usuario que solicita el certificado es la misma que administra el dominio. Con este tipo de certificado los usuarios verán el candadito verde en la barra de direcciones, aunque no verán información específica del usuario.
  • Organización Validada (OV). En este tipo de certificados, la Autoridad Certidicadora confirma que el negocio está registrado y es legítimo, haciendo que, cuando los visitantes hagan click en el icono del candado verde en el navegador aparezca el nombre del negocio.
  • Validación Extendida (EV). Este tipo de certificado requiere aún más documentación para que la Autoridad Certificadora valide la organización.

Una vez comprado, generado y descargado el certificado SSL, deberemos de instalarlo en nuestro servidor. El proceso de instalación variará según nuestro hosting, por lo que, no podemos daros pasos exactos, de modo que, si teneís alguna duda, os recomendamos que consulteis con vuestro proveedor de hosting.

2. Modificar la URL de nuestro sitio.

Bien, ya tenemos nuestro certificado comprado, generado, descargado e instalado en nuestro servidor. Sin embargo, con eso no basta. Ahora tendremos que realizar una serie de ajustes en nuestro WordPress para que todo comience a funcionar mediante HTTPS.

El primer cambio que haremos será en la URL, pero tranquilos, tan solo haremos que en vez de HTTP aparezca HTTPS en la barra de direcciones, un cambio por el que no hay que alarmarse mucho, aunque si que recomendamos que hagáis una copia de seguridad total, es decir, tanto del sitio de forma completa, como de la base de datos. Dicho esto, ¡manos a la obra!

  •  Accederemos al Panel de Administración de WordPress, y, una vez dentro, entraremos en Ajustes > General y modificaremos las dos URLs que aparecen en «Dirección de WordPress (URL)» y «Dirección del sitio (URL)» añadiendo la «s» faltante a HTTPS.
  • Es muy importante que hagáis este paso únicamente cuando contéis ya con el certificado SSL instalado, de lo contrario, si no tenéis una copia de seguridad, tendréis problemas.
  • Una vez guardados los cambios, lo mas probable es que WordPress cierre vuestra sesión y os mande a la página de inicio de sesión. No os preocupéis, es totalmente normal y es consecuencia de haber cambiado la URL del sitio, lo cual puede afectar a la sesión actual y  cookies.

¡Y ya tendríamos nuestro sitio en HTTPS! Cuando WordPress genere una URL, lo hará utilizando HTTPS. Aunque claro, ¿qué creéis que va a pasar con el contenido cuya URL no se genera de forma automática? 

Pues sí, éste seguirá en HTTP.

Imágenes, ficheros, enlaces que apunten a contenido de nuestra web, etc. Todo este contenido seguirá en HTTP y lo que es peor aún, si no lo pasamos a HTTPS, éste romperá nuestro candado verde al existir contenido HTTP en HTTPS.

Pero, ¡no os preocupéis! Existen infinidad de herramientas que pueden hacer este arduo trabajo. Una de ellas es el plugin Better Search Replace, el cual hará este trabajo en cuestión de segundos.

Plugin Better Search Replace

Su funcionamiento es muy sencillo. Tan solo debemos de:

  • Ir a Herramientas > Better Search Replace.
  • Introducir la url de nuestro sitio en HTTP en el apartado de «buscar»,
  • Escribimos la url, esta vez en HTTPS, en el apartado «sustituir».
  • Seleccionamos todas las tablas y hacemos click en «Run Search/Replace» con la opción de ¿Quieres ejecutar «en seco»? . Ésta hará un «simulacro» para que veamos qué datos serán modificados.

¡Ojo! Este proceso es muy peligroso y podría afectar negativamente a nuestra base de datos. Por ello, es necesario que sepáis bien lo que estáis haciendo y que dispongáis de una copia de seguridad reciente.

Una vez finalice el proceso, ya tendremos todo nuestro contenido en HTTPS.

3. Redirigir las páginas HTTP a HTTPS.

Finalmente, hay un punto muy importante que en muchas ocasiones olvidamos, y es el redirigir todas las URLS de HTTP a HTTPS. Esta tarea es muy importante por varios motivos, entre los cuales:

  • En el caso de que otros sitios enlacen nuestro contenido sin HTTP. Es importante que estos enlaces vayan a la página segura, para así no perder ningún punto en el SEO.
  • Evitar contenido duplicado. Si no hacemos la redirección, los usuarios podrían ver el mismo contenido tanto con HTTP como con HTTPS.

Así que, para evitar que esto ocurra, deberemos de añadir a nuestro fichero .htaccess las siguientes líneas:

RewriteEngine On
RewriteCond %{REQUEST_URI} !\.well-known/acme-challenge
RewriteCond %{HTTP:X-Forwarded-SSL} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Una vez añadido el código anterior, os recomendamos que incluyáis la siguiente línea al fichero wp-config.php de vuestro WordPress para forzar siempre que se use HTTPS:

define('FORCE_SSL_ADMIN', true);

Con estas líneas, nos aseguramos que tanto si se accede a nuestra web a través de HTTP como si lo hacen por HTTPS, siempre se redirigirá a la versión segura, es decir, a la versión con HTTPS.

4. Aspectos a considerar tras la migración a HTTPS.

Si has llegado hasta aquí, ¡enhorabuena! ya tienes tu sitio web migrado totalmente a HTTPS, de una manera correcta y profesional. Sin embargo, no está demás que leas este apartado pues, seguramente, te ahorre un quebradero de cabeza mas de una vez.

  • Si tu sitio web cuenta con un sitemap y la ruta de este está indicado en tu fichero robots.txt (lo cual recomendamos), deberás de cambiar la URL y poner HTTPS.
  • Te recomendamos que rehagas el sitemap y que lo vuelvas a enviar a Google para que tengan el contenido actualizado y puedan indexarlo correctamente.
  • También es recomendable que cambies la URL del sitio web dentro de Google Analytics.

Ahora que sabes qué son los Certificados SSL y cómo funcionan ¿Qué opinas sobre ellos? ¿Crees que los usuarios están más seguros con ellos? ¡Déjanoslo en los comentarios y comparte!

¿Cómo adaptar mi web a la nueva GDPR? Aprende seguridad resolviendo retos: Security High School 2018
Otros temas:
#Branding #Desarrollo web #Diseño gráfico #e-learning #Marketing Digital #Posicionamiento SEO #Publicaciones #Responsabilidad Corporativa #Tecnología #WordPress
Te puede interesar:
Security High School, seguridad informática en estado puro

Security High School, seguridad informática en estado puro

Actualizar WordPress ¿Cómo hacerlo correctamente?

Actualizar WordPress ¿Cómo hacerlo correctamente?

Qué son los Dark Patterns y cómo pueden sacarte dinero

Qué son los Dark Patterns y cómo pueden sacarte dinero