¿Por qué usar HTTPS?

Los navegadores marcan los sitios no HTTPS como "No seguro", una de las muchas buenas razones para asegurar un sitio web.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Resumir los cambios en el tráfico HTTPS
  • Explicar los mitos de HTTPS y la verdad
  • Entender las razones para usar HTTPS

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿En qué se diferencian HTTP y HTTPS?

HTTPS es HTTP con encriptación TLS. HTTPS utiliza TLS (SSL) para encriptar las solicitudes y respuestas HTTP normales, haciéndolas más seguras. Un sitio web que utiliza HTTPS tiene https:// al principio de su URL en lugar de http://, como https://www.cloudflare.com.

Entonces, ¿por qué los sitios web deben utilizar HTTPS?

Razón n.º 1: Los sitios web que utilizan HTTPS son más fiables para los usuarios.

Un sitio web que utiliza HTTPS es como un restaurante que muestra un certificado de "aprobación" del inspector local de seguridad alimentaria: los clientes pueden confiar en que no tendrán problemas si acuden a ese establecimiento. Y en los tiempos que corren, utilizar HTTP es básicamente como exhibir un certificado en el que se indique que no se ha superado la inspección de seguridad alimentaria: nadie puede garantizar que no le vaya a ocurrir algo terrible a un cliente.

HTTPS utiliza el protocolo SSL/TLS para encriptar las comunicaciones, de modo que los atacantes no puedan robar los datos. SSL/TLS también confirma que el servidor de un sitio web es quien dice ser, lo que evita las suplantaciones. Esto detiene múltiples tipos de ciberataques (al igual que la seguridad alimentaria previene las enfermedades).

Aunque algunos usuarios no sean conscientes de las ventajas de SSL/TLS, los navegadores modernos se aseguran de que sean conscientes de la fiabilidad de un sitio web de la manera que sea.

Chrome y otros navegadores marcan todos los sitios web HTTP como "no seguros."

Google lleva años dando pasos para impulsar que los sitios web incorporen HTTPS. Google también utiliza HTTPS como factor de calidad en la forma de devolver los resultados de las búsquedas; cuanto más seguro sea el sitio web, menos probable será que el visitante se equivoque al hacer clic en el enlace que Google le proporciona.

Desde julio de 2018, con el lanzamiento de Chrome 68, todo el tráfico HTTP no seguro se marca como "no seguro" en la barra de URL. Esta notificación aparece para todos los sitios web que no tengan un certificado SSL válido. Otros navegadores han seguido su ejemplo.

Razón n.º 2: HTTPS es más seguro, tanto para los usuarios como para los propietarios de los sitios web.

Con HTTPS, los datos se encriptan en tránsito en ambas direcciones: hacia y desde el servidor de origen. El protocolo mantiene las comunicaciones seguras para que las partes maliciosas no puedan observar qué datos se envían. Como resultado, los nombres de usuario y las contraseñas no se pueden robar en tránsito cuando los usuarios los introducen en un formulario. Si los sitios web o las aplicaciones web tienen que enviar datos sensibles o personales a los usuarios (por ejemplo, información sobre cuentas bancarias), la encriptación también protege esos datos.

Razón n.º 3: HTTPS autentifica los sitios web.

Los usuarios de aplicaciones de transporte compartido, como Uber y Lyft, no tienen que subirse a un coche desconocido y esperar que todo salga bien así como así, solo porque el conductor dice que está allí para recogerlos. En su lugar, las aplicaciones les dan información sobre el conductor, como su nombre y apariencia, el tipo de coche que conduce y el número de matrícula. El usuario puede comprobar estos datos y estar seguro de que se sube al coche correcto, aunque cada coche compartido sea diferente y nunca haya visto al conductor.

De forma similar, cuando un usuario navega a un sitio web, lo que está haciendo en realidad es conectarse a ordenadores lejanos que no conoce, gestionados por personas que nunca ha visto. Un certificado SSL, que permite el uso de HTTPS, es como esa información del conductor en la aplicación de viajes compartidos. Representa la verificación externa por parte de un tercero de confianza de que un servidor web es quien dice ser.

Esto evita los ataques en los que un atacante suplanta o falsifica un sitio web, al hacer creer a los usuarios que están en el sitio al que pretendían llegar cuando en realidad están en un sitio falso. La autenticación HTTPS también ayuda mucho a que el sitio web de una empresa parezca legítimo, y eso influye en la actitud de los usuarios hacia la propia empresa.

Mitos acerca del HTTPS

Muchos sitios web han tardado en adoptar el HTTPS. Para descubrir el motivo, tenemos que echar un vistazo a la historia.

Cuando empezó a extenderse el HTTPS, era difícil, caro y lento realizar una implementación adecuada; no era fácil implementarlo correctamente, ralentizaba las solicitudes de Internet y aumentaba los costes al requerir costosos servicios de certificados. Ya no hay ninguno de estos impedimentos, pero sigue habiendo un miedo persistente para muchos propietarios de sitios web, que ha impedido que algunos den el salto hacia una mejor seguridad. Exploremos algunos de los mitos sobre el HTTPS.

"No manejo información confidencial en mi sitio web, así que no necesito HTTPS"

Una razón habitual que dan los sitios web para no implementar la seguridad es porque piensan que es algo excesivo para lo que ellos quieren conseguir. Al fin y al cabo, si no tratas con datos confidenciales, ¿a quién le importa que alguien esté fisgoneando? Hay algunas razones por las que esta es una visión demasiado simplista de la seguridad web. Por ejemplo, algunos proveedores de servicios de Internet inyectan publicidad en los sitios web servidos por HTTP. Estos anuncios pueden estar o no en consonancia con el contenido del sitio web, y pueden llegar a ser ofensivos, aparte de que el proveedor del sitio web no tiene ninguna aportación creativa ni participación en los ingresos. Estos anuncios inyectados ya no son viables una vez que el sitio está protegido.

Los navegadores web modernos limitan ahora la funcionalidad de los sitios que no son seguros. Las funciones importantes que mejoran la calidad del sitio web ahora requieren HTTPS. La geolocalización, las notificaciones push y los service workers necesarios para ejecutar aplicaciones web progresivas (PWA) requieren una mayor seguridad. Esto tiene sentido, pues datos como los de la ubicación de un usuario son confidenciales y pueden utilizarse con fines maliciosos.

"No quiero perjudicar el rendimiento de mi sitio web al aumentar los tiempos de carga de mi página"

El rendimiento es un factor importante tanto en la experiencia del usuario como en la forma en la que Google devuelve los resultados de búsqueda. Lógicamente, el aumento de la latencia es algo que hay que tomar en serio. Por suerte, con el tiempo se han ido introduciendo mejoras en HTTPS para reducir la sobrecarga de rendimiento necesaria para establecer una conexión encriptada.

Cuando se produce una conexión HTTP, hay una serie de recorridos debe realizar la conexión entre el cliente que solicita la página web y el servidor. Aparte de la latencia normal asociada con un protocolo de enlace TCP (mostrado en azul a continuación), debe producirse un protocolo de enlace TLS/SSL adicional (mostrado en amarillo) para utilizar HTTPS.

Protocolo de enlace TCP

Se han implementado mejoras en TLS para reducir la latencia total de crear una conexión, incluyendo la reanudación de la sesión de TLS y el falso inicio de TLS.

Al utilizar la reanudación de la sesión, un servidor puede mantener activa una conexión durante más tiempo al reanudar la misma sesión para solicitudes adicionales. Mantener la conexión activa ahorra el tiempo dedicado a renegociar la conexión cuando el cliente requiere una búsqueda de origen sin caché, lo que reduce en un 50 % el RTT total.

Otra mejora en la velocidad de creación de un canal encriptado es la implementación de un proceso conocido como inicio falso de TLS, que reduce la latencia al enviar los datos encriptados antes de que el cliente haya terminado la autenticación. Para más información, explorar cómo funciona TLS/SSL en una CDN.

Por último, TLS 1.3 ofrece mejoras de rendimiento todavía más importantes. Los protocolos de enlace TLS en TLS 1.3 solo requieren un viaje de ida y vuelta, y si el cliente se ha conectado previamente, cero viajes de ida y vuelta. Registrarse en Cloudflare facilita la activación de TLS 1.3 para una propiedad web.

"Me resulta demasiado caro implementar HTTPS"

Puede que esto fuera cierto en algún momento, pero el coste ya no es un problema; Cloudflare ofrece a los sitios web la posibilidad de encriptar el tránsito de forma gratuita. Fuimos los primeros en ofrecer SSL sin coste alguno, y seguimos haciéndolo. Al mejorar la seguridad de Internet en general, podemos contribuir a mejorar la seguridad y la velocidad de Internet.

"Voy a perder posicionamiento en las búsquedas al migrar mi sitio a HTTPS"

Hay riesgos asociados a la migración de sitios web, y si no se hace adecuadamente es posible que tenga un impacto negativo en SEO. Los riesgos potenciales incluyen tiempo de inactividad del sitio web, páginas web no rastreadas y penalización por duplicación de contenidos cuando existen dos copias del sitio al mismo tiempo. Dicho esto, los sitios web pueden migrar de forma segura a HTTPS siguiendo las mejores prácticas.

Dos de las prácticas de migración más importantes son:

1) usar redirecciones 301 y 2) colocar de forma correcta las etiquetas canónicas. Al utilizar redirecciones 301 del servidor en el sitio HTTP para que apunte a la versión HTTPS, un sitio web indica a Google que se traslade a la nueva ubicación para todo lo relacionado con búsquedas e indexación. Al colocar etiquetas canónicas solo en el sitio HTTPS, los rastreadores como Googlebot sabrán que el nuevo contenido seguro debe considerarse canónico de ese momento en adelante.

Si tienes un gran número de páginas y te preocupa que el rastreo tarde demasiado, ponte en contacto con Google y diles cuánto tráfico estás dispuesto a hacer pasar por tu sitio web. Los ingenieros de red aumentarán la velocidad de rastreo para ayudar a analizar tu sitio rápidamente y conseguir que se indexe.