Por si no lo sabes, en 2017, Google planea favorecer el contenido con https como puedes ver aquí.

Pero empecemos por lo más básico, ¿qué es https?

HTTP es el protocolo que utilizan los navegadores y los servidores web para entenderse, literalmente significa «Hypertext Transfer Protocol» y como indica el nombre y al igual que los protocolos en la vida real, especifica como deben hacerse las cosas, en este caso, como deben comunicarse los navegadores y los servidores web para que el servidor le envíe al navegador los ficheros html, imagenes, etc y el navegador los muestre tan bonitos como los vemos.

La S de HTTPS significa protocolo HTTP seguro. Si te fijas en cualquier navegador, a la izquierda del https puedes ver un candado.

si haces click en ese candado podrás ver los detalles del certificado.

https

¿Pero qué es eso de un certificado?

Un certificado es un fichero que genera una organización «certificando» que esa web es autentica. Es lo que se llama en el argot una autoridad de certificación o CA (Certification Authority). Todo es una cadena, los navegadores confían en una lista de autoridades de certificación y los certificados que expiden dichas autoridades se consideran de confianza. Si el certificado no es expedido por una autoridad de confianza vemos esto

https-no-confiado

Sea con un certificado de confianza o no, la gran diferencia con el protocolo normal HTTP es que la comunicación es cifrada. Eso quiere decir que si alguien interceptara la comunicación no podría entenderla ya que no se vería un fichero de texto, o una imagen, sino un texto ininteligible que sólo se puede descifrar con una clave.

¿ Pero para qué necesitamos cifrar las comunicaciones ?

En el caso de una web frente p.ej. un email, puede parecer una tontería porque el contenido lo vemos en el navegador, pero si rellenas un formulario o envías los datos de tu tarjeta de crédito en una tienda online, es preferible que nadie los pueda interceptar.

Hay muchos tipos de certificados, ¿cuál escojo?

Como todo depende. Si no tienes una tienda online y tienes un blog, te recomendaría el uso de un certificado gratuito. Muchos hostings como el nuestro ofrecemos certificados gratuitos que se autorenuevan cada 3 meses.

Si quieres pasar a comprar un certificado de pago, los precios varían principalmente si quieres asegurar un solo dominio o varios dominios o subdominios. También varían en el nivel de seguridad que ofrecen al usuario, realizando más o menos verificaciones. Los más baratos solo exigen verificación por email, otros más caros exigen que se envíe documentación extra o verificación telefónica, etc.

Cuantas más verificaciones, más seguro será ese certificado y más caro será. Normalmente este tipo de certificados los compran empresas más grandes, si tienes un pequeño negocio, te interesarán los precios más económicos. También a cuanto mayor precio, mayor garantía que ofrece la autoridad de certificación. La garantía en los certificados SSL es la cobertura que ofrece el emisor del certificado en caso de negligencia (p.ej. que un hacker se hiciera con alguno de sus servidores y emitiera certificados válidos).

Como he comentado los principales tipos de certificados que puedes comprar para una web son:

  • DV (Domain Validation). Son los más básicos, suelen estar en torno a 5-9 euros al año y sólo valen para un dominio. Si tu dominio es mitienda.midominio.com, tendrás que comprar un certificado para ese dominio en concreto, no valdrá si el certificado es emitido para midominio.com
  • EV (Extended Validation). Serían como los anteriores, válidos para un dominio pero muestra la famosa barra verde en los navegadores. Los precios suelen ir del orden de 130 euros o más al año.
  • Multidominio. Si tienes varias webs, te puede interesar, cuanto más caro, más dominios puedes incluir. Los precios empiezan en unos 40-50 euros al año.
  • Wildcard. Te permite crear un certificado para varios subdominios. P.ej. www.midominio.com, mitienda.midominio.com, micorreo.midominio.com. Para organizaciones grandes con varios departamentos, sedes, puede ser interesante. Los precios empiezan en 50-60 euros al año.

Ahora mismo uso http, ¿debo hacerme un certificado ya?

Los algoritmos de Google son opacos, tampoco se sabe de que manera los va a favorecer, sólo lo que Google va explicando en sus comunicados. Pero si que es conveniente que lo vayas reflexionando.
Resumiendo:

  • Si tienes un blog con un formulario de contacto, yo abogaría por un certificado gratuito o uno DV.
  • Si tienes una tienda online, yo te recomendaría un certificado DV si tienes un presupuesto pequeño y estas comenzando. Una vez que hayas crecido puedes pasarte a un certificado tipo EV.
  • Si tienes varias sedes o varios departamentos con sus propios subdominios te puede interesar un certificado tipo Wildcard.
  • Si tienes varias webs te puede interesar tener un certificado multidominio, aunque a mi esta opción me parece poco útil porque la mayoría de los certificados EV individualmente son más baratos…