¿Debo pasar mi web a https?

Por si no lo sabes, en 2017, Google planea favorecer el contenido con https como puedes ver aquí.

Pero empecemos por lo más básico, ¿qué es https?

HTTP es el protocolo que utilizan los navegadores y los servidores web para entenderse, literalmente significa “Hypertext Transfer Protocol” y como indica el nombre y al igual que los protocolos en la vida real, especifica como deben hacerse las cosas, en este caso, como deben comunicarse los navegadores y los servidores web para que el servidor le envíe al navegador los ficheros html, imagenes, etc y el navegador los muestre tan bonitos como los vemos.

La S de HTTPS significa protocolo HTTP seguro. Si te fijas en cualquier navegador, a la izquierda del https puedes ver un candado.

si haces click en ese candado podrás ver los detalles del certificado.

https

¿Pero qué es eso de un certificado?

Un certificado es un fichero que genera una organización “certificando” que esa web es autentica. Es lo que se llama en el argot una autoridad de certificación o CA (Certification Authority). Todo es una cadena, los navegadores confían en una lista de autoridades de certificación y los certificados que expiden dichas autoridades se consideran de confianza. Si el certificado no es expedido por una autoridad de confianza vemos esto

https-no-confiado

Sea con un certificado de confianza o no, la gran diferencia con el protocolo normal HTTP es que la comunicación es cifrada. Eso quiere decir que si alguien interceptara la comunicación no podría entenderla ya que no se vería un fichero de texto, o una imagen, sino un texto ininteligible que sólo se puede descifrar con una clave.

¿ Pero para qué necesitamos cifrar las comunicaciones ?

En el caso de una web frente p.ej. un email, puede parecer una tontería porque el contenido lo vemos en el navegador, pero si rellenas un formulario o envías los datos de tu tarjeta de crédito en una tienda online, es preferible que nadie los pueda interceptar.

Hay muchos tipos de certificados, ¿cuál escojo?

Como todo depende. Si no tienes una tienda online y tienes un blog, te recomendaría el uso de un certificado gratuito. Muchos hostings como el nuestro ofrecemos certificados gratuitos que se autorenuevan cada 3 meses.

Si quieres pasar a comprar un certificado de pago, los precios varían principalmente si quieres asegurar un solo dominio o varios dominios o subdominios. También varían en el nivel de seguridad que ofrecen al usuario, realizando más o menos verificaciones. Los más baratos solo exigen verificación por email, otros más caros exigen que se envíe documentación extra o verificación telefónica, etc.

Cuantas más verificaciones, más seguro será ese certificado y más caro será. Normalmente este tipo de certificados los compran empresas más grandes, si tienes un pequeño negocio, te interesarán los precios más económicos. También a cuanto mayor precio, mayor garantía que ofrece la autoridad de certificación. La garantía en los certificados SSL es la cobertura que ofrece el emisor del certificado en caso de negligencia (p.ej. que un hacker se hiciera con alguno de sus servidores y emitiera certificados válidos).

Como he comentado los principales tipos de certificados que puedes comprar para una web son:

  • DV (Domain Validation). Son los más básicos, suelen estar en torno a 5-9 euros al año y sólo valen para un dominio. Si tu dominio es mitienda.midominio.com, tendrás que comprar un certificado para ese dominio en concreto, no valdrá si el certificado es emitido para midominio.com
  • EV (Extended Validation). Serían como los anteriores, válidos para un dominio pero muestra la famosa barra verde en los navegadores. Los precios suelen ir del orden de 130 euros o más al año.
  • Multidominio. Si tienes varias webs, te puede interesar, cuanto más caro, más dominios puedes incluir. Los precios empiezan en unos 40-50 euros al año.
  • Wildcard. Te permite crear un certificado para varios subdominios. P.ej. www.midominio.com, mitienda.midominio.com, micorreo.midominio.com. Para organizaciones grandes con varios departamentos, sedes, puede ser interesante. Los precios empiezan en 50-60 euros al año.

Ahora mismo uso http, ¿debo hacerme un certificado ya?

Los algoritmos de Google son opacos, tampoco se sabe de que manera los va a favorecer, sólo lo que Google va explicando en sus comunicados. Pero si que es conveniente que lo vayas reflexionando.
Resumiendo:

  • Si tienes un blog con un formulario de contacto, yo abogaría por un certificado gratuito o uno DV.
  • Si tienes una tienda online, yo te recomendaría un certificado DV si tienes un presupuesto pequeño y estas comenzando. Una vez que hayas crecido puedes pasarte a un certificado tipo EV.
  • Si tienes varias sedes o varios departamentos con sus propios subdominios te puede interesar un certificado tipo Wildcard.
  • Si tienes varias webs te puede interesar tener un certificado multidominio, aunque a mi esta opción me parece poco útil porque la mayoría de los certificados EV individualmente son más baratos…

6 comentarios en “¿Debo pasar mi web a https?”

  1. Muchas gracias por los consejos! Buscaré entonces un certificado DV para mi web, que aunque no tiene una tienda online propiamente dicha, sí vendo un infoproducto. Pero en mi caso, lo vendo sólo con Paypal, por lo que en el momento más delicado, el del pago, los clientes salen de mi página y entran en Paypal, con una seguridad a prueba de bombas. ¿En este caso sería necesario, o al menos conveniente, tener un buen certificado? Gracias y un saludo.

    1. Dependiendo del hosting que tengas, debería al menos de proporcionarte un certificado DV gratuito.

      Supongo que hay formularios en tu web de suscripción y de contacto, en esos casos si que sería importante tener un certificado.

      Pero el artículo en definitiva no va solamente del tema de la seguridad que por supuesto añade tener un certificado sino de que Google va a favorecer en sus algoritmos las webs que sean https, aunque todavía no se sabe muy bien de que forma va a favorecerlo.

  2. Gracias por el artículo. Tengo una pregunta que he hecho varias veces y obtenido respuestas varias: ¿Hay alguna diferencia entre los tipos de “proveedor” de certificados SSL? Tiene algún beneficio obtener el mas caro?

    Un saludo!

    1. Hola David! Gracias por comentar! Pues básicamente lo que indico en el artículo. Las garantías que te dan en caso de que haya alguna vulnerabilidad y alguien pueda suplantar tu web, las indemnizaciones. Por lo demás a igual tipo de certificado, no habría más diferencia.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio