¿Debo pasar mi web a https?

Por si no lo sabes, en 2017, Google planea favorecer el contenido con https como puedes ver aquí.

Pero empecemos por lo más básico, ¿qué es https?

HTTP es el protocolo que utilizan los navegadores y los servidores web para entenderse, literalmente significa “Hypertext Transfer Protocol” y como indica el nombre y al igual que los protocolos en la vida real, especifica como deben hacerse las cosas, en este caso, como deben comunicarse los navegadores y los servidores web para que el servidor le envíe al navegador los ficheros html, imagenes, etc y el navegador los muestre tan bonitos como los vemos.

La S de HTTPS significa protocolo HTTP seguro. Si te fijas en cualquier navegador, a la izquierda del https puedes ver un candado.

si haces click en ese candado podrás ver los detalles del certificado.

¿Pero qué es eso de un certificado?

Un certificado es un fichero que genera una organización “certificando” que esa web es autentica. Es lo que se llama en el argot una autoridad de certificación o CA (Certification Authority). Todo es una cadena, los navegadores confían en una lista de autoridades de certificación y los certificados que expiden dichas autoridades se consideran de confianza. Si el certificado no es expedido por una autoridad de confianza vemos esto

Sea con un certificado de confianza o no, la gran diferencia con el protocolo normal HTTP es que la comunicación es cifrada. Eso quiere decir que si alguien interceptara la comunicación no podría entenderla ya que no se vería un fichero de texto, o una imagen, sino un texto ininteligible que sólo se puede descifrar con una clave.

¿ Pero para qué necesitamos cifrar las comunicaciones ?

En el caso de una web frente p.ej. un email, puede parecer una tontería porque el contenido lo vemos en el navegador, pero si rellenas un formulario o envías los datos de tu tarjeta de crédito en una tienda online, es preferible que nadie los pueda interceptar.

Hay muchos tipos de certificados, ¿cuál escojo?

Como todo depende. Si no tienes una tienda online y tienes un blog, te recomendaría el uso de un certificado gratuito. Muchos hostings como el nuestro ofrecemos certificados gratuitos que se autorenuevan cada 3 meses.

Si quieres pasar a comprar un certificado de pago, los precios varían principalmente si quieres asegurar un solo dominio o varios dominios o subdominios. También varían en el nivel de seguridad que ofrecen al usuario, realizando más o menos verificaciones. Los más baratos solo exigen verificación por email, otros más caros exigen que se envíe documentación extra o verificación telefónica, etc.

Cuantas más verificaciones, más seguro será ese certificado y más caro será. Normalmente este tipo de certificados los compran empresas más grandes, si tienes un pequeño negocio, te interesarán los precios más económicos. También a cuanto mayor precio, mayor garantía que ofrece la autoridad de certificación. La garantía en los certificados SSL es la cobertura que ofrece el emisor del certificado en caso de negligencia (p.ej. que un hacker se hiciera con alguno de sus servidores y emitiera certificados válidos).

Como he comentado los principales tipos de certificados que puedes comprar para una web son:

DV (Domain Validation). Son los más básicos, suelen estar en torno a 5-9 euros al año y sólo valen para un dominio. Si tu dominio es mitienda.midominio.com, tendrás que comprar un certificado para ese dominio en concreto, no valdrá si el certificado es emitido para midominio.com
EV (Extended Validation). Serían como los anteriores, válidos para un dominio pero muestra la famosa barra verde en los navegadores. Los precios suelen ir del orden de 130 euros o más al año.
Multidominio. Si tienes varias webs, te puede interesar, cuanto más caro, más dominios puedes incluir. Los precios empiezan en unos 40-50 euros al año.
Wildcard. Te permite crear un certificado para varios subdominios. P.ej. www.midominio.com, mitienda.midominio.com, micorreo.midominio.com. Para organizaciones grandes con varios departamentos, sedes, puede ser interesante. Los precios empiezan en 50-60 euros al año.

Ahora mismo uso http, ¿debo hacerme un certificado ya?

Los algoritmos de Google son opacos, tampoco se sabe de que manera los va a favorecer, sólo lo que Google va explicando en sus comunicados. Pero si que es conveniente que lo vayas reflexionando.
Resumiendo:

Si tienes un blog con un formulario de contacto, yo abogaría por un certificado gratuito o uno DV.
Si tienes una tienda online, yo te recomendaría un certificado DV si tienes un presupuesto pequeño y estas comenzando. Una vez que hayas crecido puedes pasarte a un certificado tipo EV.
Si tienes varias sedes o varios departamentos con sus propios subdominios te puede interesar un certificado tipo Wildcard.
Si tienes varias webs te puede interesar tener un certificado multidominio, aunque a mi esta opción me parece poco útil porque la mayoría de los certificados EV individualmente son más baratos…

6 comentarios en “¿Debo pasar mi web a https?”

Agua
noviembre 27, 2016 a las 7:50 pm

Muchas gracias por los consejos! Buscaré entonces un certificado DV para mi web, que aunque no tiene una tienda online propiamente dicha, sí vendo un infoproducto. Pero en mi caso, lo vendo sólo con Paypal, por lo que en el momento más delicado, el del pago, los clientes salen de mi página y entran en Paypal, con una seguridad a prueba de bombas. ¿En este caso sería necesario, o al menos conveniente, tener un buen certificado? Gracias y un saludo.

Responder
1. Ibertrix
  noviembre 27, 2016 a las 8:15 pm
  
  Dependiendo del hosting que tengas, debería al menos de proporcionarte un certificado DV gratuito.
  
  Supongo que hay formularios en tu web de suscripción y de contacto, en esos casos si que sería importante tener un certificado.
  
  Pero el artículo en definitiva no va solamente del tema de la seguridad que por supuesto añade tener un certificado sino de que Google va a favorecer en sus algoritmos las webs que sean https, aunque todavía no se sabe muy bien de que forma va a favorecerlo.
  
  Responder
Arianna
marzo 24, 2018 a las 12:51 am

Excelente artículo, personalmente lo vengo aplicando en mis páginas web para brindar un mayor grado de seguridad a la vista de mis visitantes y clientes.

Saludos

Responder
1. ibertrix
  marzo 24, 2018 a las 11:07 am
  
  Gracias Arianna por tu comentario, ¿ Qué certificados sueles instalar ?
  
  Responder
David Palacios
noviembre 22, 2018 a las 8:25 pm

Gracias por el artículo. Tengo una pregunta que he hecho varias veces y obtenido respuestas varias: ¿Hay alguna diferencia entre los tipos de “proveedor” de certificados SSL? Tiene algún beneficio obtener el mas caro?

Un saludo!

Responder
1. ibertrix
  febrero 6, 2019 a las 10:25 pm
  
  Hola David! Gracias por comentar! Pues básicamente lo que indico en el artículo. Las garantías que te dan en caso de que haya alguna vulnerabilidad y alguien pueda suplantar tu web, las indemnizaciones. Por lo demás a igual tipo de certificado, no habría más diferencia.
  
  Responder

Responder a Agua Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Nombre*

Correo electrónico*

Web

Puedes consultar mi Política de privacidad
Ibertrix te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Ibertrix como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales que te solicito es para gestionar tu solicitud de información a través de este formulario. Legitimación: Consentimiento del interesado.El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no atender pueda tu solicitud. Como usuario e interesado te informo que los datos que me facilitas estarán ubicados en servidores propios dentro de la UE. Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en contacto@www.ibertrix.com así como el derecho a presentar una reclamación ante una autoridad de control. *