Entonces, ¿qué es esto de https que sigo viendo una y otra vez? El nombre HTTPS deriva de Hyper Text Transfer Protocol Secure, el nombre original del protocolo es HTTP, la letra clave aquí es la «s» en HTTPS que significa seguro.
Cuando envía y recibe datos a través de su navegador, debe hacerlo de 2 maneras. Cualquiera Estándar o Asegurado. Cuando visita sitios que utilizan HTTP estándar, significa que su comunicación con el servidor viaja sin cifrar. En la mayoría de los casos, esto está bien, ya que probablemente solo esté leyendo el contenido proporcionado por un sitio web, sin proporcionar datos privados valiosos.
Pero en los casos en los que proporciona información personal (especialmente datos de facturación, bancarios o de identificación), esto no es óptimo porque un posible atacante podría interceptar ese contenido y cámbielo sobre la marcha. Lo que a su vez puede dar lugar a intentos de piratería o robo. Esto significa que para las empresas en línea y los sitios web seguros de comercio electrónico, el uso de HTTP es absolutamente no aceptable.
El intercambio de datos privados, como las transacciones con tarjetas de crédito, exige HTTPS, pero con el aumento actual de las actividades de piratería, la demanda de lo que llama Google. HTTPS en todas partes está creciendo día a día.
Por qué HTTPS se está volviendo más importante
Ahora que sabe qué es HTTP, es importante comprender por qué es importante. Para simplificar demasiado: HTTPS ayuda a mantener seguras sus actividades de navegación web.
Un sitio HTTP que funciona sin cifrar puede ser más susceptible a los ataques. Los sitios pirateados también pueden provocar la instalación de software malicioso en ellos, lo que afecta a los lectores, ya que el malware también afectará a los navegadores. Esta situación se ha convertido en una preocupación creciente con los intentos de piratería automatizados que tienen lugar en todo el mundo. El uso de HTTPS ayudaría a negar muchos de estos ataques al convertir todas las transferencias de datos en conexiones cifradas, que son mecanismos de cifrado más difíciles de romper.
El uso de HTTPS podría conducir a una web más segura y protegida. Pero hasta ahora ha sido un largo camino y todavía queda mucho por hacer antes de que HTTPS se vuelva universal. Además, es importante recordar que HTTPS no es el único factor a considerar en la creación de sitios web seguros; hay muchos otros pasos que los administradores web deben implementar para la seguridad de los blogs.
HTTPS tuvo muchos defectos en el pasado
¿Por qué HTTPS se está volviendo más importante? ahora? En el pasado, HTTPS ha tenido problemas para ganar tracción desde Certificados SSL (los documentos web reales responsables de la creación de mecanismos de cifrado) fueron no gratuito. En su lugar, debían ser emitidos por Autoridades de Certificación específicas para ser válidos.
Entonces, la única otra opción para las personas con restricciones presupuestarias han sido los certificados «autofirmados». Éstos no son una alternativa viable ya que arrojan un advertencia en su navegador. La advertencia de los certificados autofirmados es suficiente para evitar que sus lectores intenten acceder a su sitio, ya que puede parecer demasiado peligroso para ignorarlo. Esto hace que los certificados «autofirmados» sean inútiles para cualquier intento serio de aumentar su presencia en línea. Sin embargo, siguen siendo una opción cuando solo se usan para sitios web que forman parte de su propia red y se accede a ellos internamente, pero nuevamente, eso no hace mucho para hacer crecer su marca en línea.
Esta ha sido una gran desventaja para los blogueros y las pequeñas empresas de todo el mundo. Si bien las empresas más grandes no tienen problemas con el costo, los blogueros con un presupuesto limitado que aún no están generando un ingreso suficiente de su sitio web simplemente no pueden permitirse pagar dichos certificados. Y sin una alternativa confiable, han sido SOL para SSL.
Además de todo, una vez que un sitio web se cargó con HTTPS, el tiempo de carga de dicho sitio sufrió. Esto se debió a la sobrecarga adicional que el servidor tuvo que soportar al tener que cifrar todos los datos antes de enviarlo. No es en absoluto un proceso eficiente si estuviera dispuesto y pudiera pagarlo en primer lugar.
La versión 3 de SSL ahora está obsoleta
Para colmo de males, los certificados SSL válidos habían estado operando en una plataforma obsoleta. La última versión de SSL llamada versión 3 que comenzó en 1996 tenía cada vez más fallas expuestas, tanto que el El Grupo de Trabajo de Ingeniería de Internet (IETF) decidió hacerlo obsoleto
El nuevo protocolo TLS es mucho más seguro en todos los sentidos, lo que ha provocado que la totalidad de SSLv3 se prohíba en los principales navegadores.
Más potencia de CPU, Let’s Encrypt, TLS y HTTP / 2 han cambiado el juego
Con la llegada de nuevo hardware, procesadores más rápidos, servidores web más rápidos (como nginx y lighttpd) y mecanismos de almacenamiento en caché más rápidos (como barniz), la sobrecarga para admitir HTTPS se ha reducido mucho. Esto significa que los nuevos usuarios de SSL no deben preocuparse por tiempos de carga lentos.
Además, el nuevo TLSv1.2 El protocolo introducido para SSL ha hecho que SSLv3 sea obsoleto y ha allanado el camino para una adopción de SSL más rápida.
Además de eso, el reciente lanzamiento de HTTP / 2 va a ser el último clavo en el ataúd para los partidarios de HTTP. HTTP / 2 es un protocolo mejorado sobre el HTTP original que ha sido pensado y desarrollado para el día de hoy. HTTP sin cifrar es un protocolo más antiguo que funciona bien, pero no está tan optimizado para las necesidades actuales (no se preocupe, hablaremos más sobre HTTP / 2 en un próximo artículo).
HTTP / 2 utiliza multiplexación para mejorar el rendimiento sobre HTTP tradicional. Imagen cortesía de CloudFlare
Estos factores (y más) juntos reducen el impacto de tener un sitio que se ejecuta en HTTPS casi a cero. Pero ¿qué pasa con el costo? Esta última pregunta ha sido modificada por una variable y se llama: Vamos a cifrar.
Vamos a cifrar
Vamos a cifrar es un certificado gratis autoridad. Eso significa que puede emitir certificados gratuitos con una duración válida de 90 dias y la implementación de los certificados no cuesta nada. Let’s Encrypt salió recientemente de Beta y ha funcionado perfectamente bien desde entonces. Esta última pieza del rompecabezas ha hecho que todo el «HTTPS en todas partes» de Google esté un paso más cerca de realizarse. El principal problema que tiene Google en este momento es adopción.
Afortunadamente, Let’s Encrypt tiene varias formas de emitir un certificado, ya sea a través de la web ZeroSSL, mediante un complemento de wordpress a través de WP-Cifrar o por servidor con los nuevos paquetes en Debian y otras distribuciones de Linux llamados Certbot.
Complemento gratuito de WordPress WP Encrypt
El libre Complemento WP Encrypt WordPress facilita la instalación y la gestión de su certificado SSL Let’s Encrypt gratuito. Puede usar el complemento para crear un certificado, registrarlo y mover su sitio web a HTTPS. Pero la mejor parte es que el complemento renovará automáticamente su certificado cada 90 días, por lo que siempre tendrá un certificado SSL válido.
Vamos a cifrar el alojamiento compatible
La segunda forma fácil de agregar Let’s Encrypt es a través de su empresa de alojamiento. Muchos hosts populares han estado integrando Let’s Encrypt con sus paquetes para que sea fácil y asequible para sus clientes agregar SSL a sus sitios de WordPress. Algunos de nuestros favoritos incluyen Cloudways, WP Engine y Flywheel. Estos primeros usuarios han hecho de la adición de SSL una parte fácil de sus ya simples procesos de configuración de sitios web.
Google ya está impulsando HTTPS con SEO Ranking Boost
Google ya había comenzado a considerar la adopción de HTTPS como parte de su propio algoritmo de clasificación de SEO en 2015. Luego, en 2016, anunciaron que iban a implementar un menor aumento de clasificación a todos los sitios web que cambian de HTTP a HTTPS. Según Google, esto actualmente no es lo suficientemente fuerte como para afectar las clasificaciones de una manera significativa, pero es una indicación de lo que vendrá.
Como puede ver, Google ya ha realizado cambios reveladores en 2015 y 2016, y ahora van a traspasar los límites aún más en 2017.
Habrá una advertencia en Google Chrome en 2017
Con el protocolo HTTP / 2 ahora ampliamente adoptado y tal vez incluso la proliferación de usuarios de Let’s Encrypt que ahora se cuentan en millones en todo el mundo, Google ha comenzado a dar su próximo paso. Google anunció recientemente que comenzarán a mostrar un signo de exclamación para todos los sitios que no estén encriptados, comenzando con su Actualización de Google Chrome.
Luego, a partir de enero de 2017, planean marcar sitios web HTTP que transmiten datos confidenciales del usuario (como contraseñas, información de tarjetas de crédito, etc.) con una señal de advertencia roja. Sin duda, esto comenzará a generar desconfianza en todos aquellos sitios que no hagan el cambio.
El movimiento es audaz, estoy seguro de eso, pero dice algo sobre hacia dónde se dirige la web. Con más y más sitios cambiando a HTTPS y el aumento en el uso de Internet en todo el mundo, HTTPS será el estándar de facto en los próximos años.
Resumen
Finalmente han llegado nuevas tecnologías para hacer HTTPS mucho más atractivo. Con la inclusión de servidores web más rápidos, CPU más rápidas, mejores mecanismos de cifrado de protocolo a través de TLSv1.2, el protocolo HTTP / 2 recientemente lanzado y Let’s Encrypt que otorga certificados gratuitos a cualquiera que los desee, se ha allanado el camino para una adopción HTTPS más rápida. Además de la aplicación del cambio por parte de Google mediante actualizaciones futuras, hay otro impulso hacia HTTPS.
Pero no se preocupe, como se mencionó en el primer artículo de esta publicación, en el caso de blogs y revistas, no debe sentirse presionado a apresurarse a utilizar HTTPS. Debe pensar detenidamente en su cambio de HTTP a HTTP, ya que podría afectar su clasificación en los motores de búsqueda. Pero para los sitios web de comercio electrónico y membresías, necesitará HTTPS habilitado y activo en sus páginas de inicio de sesión y pago para evitar que los usuarios vean una advertencia en 2017.
¿Te di suficientes razones para cambiarte? En mi próximo artículo, voy a examinar cómo hacer el cambio a HTTPS en WordPress usando complementos, cómo agregar su certificado en cPanel, Vesta o su VPS personalizado con nginx. ¡Manténganse al tanto!
