Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal

Proteger sitios web con el protocolo HTTPS

Protege tu sitio web y sus usuarios

¿Qué es HTTPS?

HTTPS (HyperText Transfer Protocol Secure, Protocolo de transferencia de hipertexto) es un protocolo de comunicación de Internet que protege la integridad y la confidencialidad de los datos de los usuarios entre sus ordenadores y el sitio web. Puesto que el usuario espera que su experiencia online sea segura y privada, te recomendamos que implementes el protocolo HTTPS para proteger la conexión entre él y el sitio, sea cual sea el contenido.

El envío de datos mediante el protocolo HTTPS está protegido mediante el protocolo Seguridad en la capa de transporte (TLS), que proporciona las tres capas de seguridad clave que se detallan a continuación:

  1. Cifrado: se cifran los datos intercambiados para mantenerlos a salvo de miradas indiscretas. Ello significa que cuando un usuario está navegando por un sitio web, nadie puede "escuchar" sus conversaciones, hacer un seguimiento de sus actividades por las diferentes páginas ni robarle información.
  2. Integridad de los datos: los datos no pueden modificarse ni dañarse durante las transferencias, ni de forma intencionada ni de otros modos, sin que esto se detecte.
  3. Autenticación: garantiza que tus usuarios se comuniquen con el sitio web previsto. Proporciona protección frente a los ataques "man-in-the-middle" y contribuye a la confianza de los usuarios, lo que se traduce en otros beneficios empresariales.

Prácticas recomendadas para implementar el protocolo HTTPS

Utiliza certificados de seguridad potentes

Para poder habilitar el protocolo HTTPS en tu sitio web, debes obtener un certificado de seguridad. El certificado lo emite una autoridad de certificación (CA), que toma las medidas necesarias para verificar que tu dirección web pertenezca realmente a tu organización y, por lo tanto, protege a tus usuarios de cualquier ataque "man-in-the-middle". Al configurar el certificado, asegúrate de obtener un nivel de seguridad alto escogiendo una clave de 2048 bits. Si ya tienes un certificado con una clave más débil (de 1024 bits), actualízala a una de 2048 bits. Cuando escojas el certificado de tu sitio debes hacer lo siguiente:

  • Escoger el certificado de una CA de confianza que ofrezca asistencia técnica
  • Decidir qué tipo de certificado necesitas:
    • Un certificado único para un origen seguro único (p. ej. www.example.com).
    • Un certificado para varios dominios para varios orígenes seguros conocidos (p. ej., www.example.com, cdn.example.com y example.co.uk).
    • Un certificado comodín para un origen seguro con muchos subdominios dinámicos (p. ej., a.example.com y b.example.com)

Utiliza redireccionamientos 301 de servidor

Redirige a los usuarios y a los motores de búsqueda a la página o al recurso HTTPS mediante redireccionamientos HTTP 301 de servidor.

Comprueba que Google pueda rastrear e indexar tus páginas HTTPS

  • No bloquees las páginas HTTPS con un archivo robots.txt.
  • No incluyas metaetiquetas del tipo noindex en las páginas HTTPS.
  • Utiliza la herramienta Explorar como Google para comprobar si el robot de Google puede acceder a tus páginas.

Admite las directivas de seguridad de HSTS

Los sitios web HTTPS deberían ser compatibles con HSTS (HTTP Strict Transport Security o seguridad de transporte HTTP estricta). Este mecanismo de seguridad indica al navegador que solicite páginas HTTPS automáticamente, aunque el usuario escriba http en la barra de direcciones. También le indica a Google que proporcione URL seguras en los resultados de búsqueda. Todo esto minimiza el riesgo de proporcionar a los usuarios contenido que no esté protegido.

Utiliza un servidor web que admita HSTS y comprueba que el mecanismo esté activado.

 Como HSTS añade complejidad a la estrategia de restauración, te recomendamos habilitarlo de la siguiente manera:

  1. Primero implementa el protocolo HTTPS en las páginas, sin el mecanismo HSTS.
  2. Empieza por enviar cabeceras HSTS con un parámetro max-age de corta duración. Supervisa el tráfico de los usuarios y de otros clientes, y el rendimiento de elementos dependientes, como los anuncios.
  3. Aumenta paulatinamente el parámetro max-age de HSTS.
  4. Si HSTS no perjudica a tus usuarios ni a los motores de búsqueda, puedes pedir que se incluya el sitio web en la lista de carga previa de HSTS de Chrome.

Utiliza la lista de carga previa de HSTS

Con HSTS habilitada, puedes activar la carga previa para incluir una capa de seguridad adicional. Si quieres habilitarla, sigue los requisitos para enviar tu sitio web que se indican en hstspreload.org.

includeSubDomains

La carga previa de HSTS requiere que configures la directiva includeSubDomains en el encabezado de HSTS. Si el sitio web www.example.com tiene una cabecera HSTS con el parámetro includeSubDomains, se aplicará a los diferentes dominios como se indica en esta tabla:

Con el parámetro "includeSubDomains" del sitio web "www.example.com" en "true"
URL ¿Se incluirá en la carga previa?
www.example.com
foo.www.example.com
example.com No
foo.example.com No

Evita errores habituales

Durante el proceso para hacer que tu sitio sea seguro mediante TLS, debes evitar cometer estos errores:

Problema Acción
Certificados caducados Comprueba siempre que tu certificado esté actualizado.
Certificado registrado a nombre de un sitio web incorrecto Comprueba que hayas registrado tu certificado al nombre de host correcto. Por ejemplo, si registras el certificado para www.example.com y el sitio web está configurado para utilizar "example.com", tendrás un error de discordancia de nombre de certificado.
Falta de compatibilidad con la indicación de nombre del servidor (SNI) Comprueba que el servidor web sea compatible con SNI y que la audiencia utilice navegadores que sean compatibles habitualmente. Todos los navegadores modernos son compatibles con SNI, pero si quieres admitir navegadores más antiguos necesitarás una IP dedicada.
Problemas de rastreo No bloquees el sitio HTTPS mediante un archivo robots.txt para que no pueda rastrearse.
Problemas de indexación Debes permitir que los motores de búsqueda indexen tus páginas siempre que sea posible. Evita la metaetiqueta noindex.
Versiones de protocolo anteriores Las versiones de protocolo anteriores son vulnerables; comprueba que tengas las últimas versiones de las bibliotecas TLS e implementa las versiones de protocolo más recientes.
Elementos de seguridad mezclados Inserta únicamente contenido HTTPS en las páginas HTTPS.
Contenido diferente en HTTP y HTTPS Comprueba que el contenido de tus sitios HTTP y HTTPS sea el mismo.
Errores de código de estado HTTP en HTTPS Comprueba que el sitio web devuelva el código de estado HTTP correcto. Por ejemplo, 200 OK para páginas accesibles, o 404 o 410 para páginas que no existen.

Más consejos

En las preguntas frecuentes de migración a HTTPS encontrarás otros consejos sobre el uso de páginas HTTPS en tu sitio web.

Hacer la migración de HTTP a HTTPS

Si migras tu sitio web de HTTP a HTTPS, Google gestionará el cambio como un traslado de sitio web con un cambio de URL, lo que puede afectar de forma temporal a algunas cifras relacionadas con el tráfico del sitio. Consulta la visión general sobre el traslado de sitios web para obtener más información al respecto.

Añade la propiedad HTTPS a Search Console. Ten en cuenta que este servicio gestiona HTTP y HTTPS por separado, y que los datos de estas propiedades no se comparten en Search Console. Si tienes páginas con ambos protocolos activados, deberás tener una propiedad de Search Console para cada uno de ellos.

Más información

Más información sobre la implementación de TLS en tu sitio:

¿Te ha sido útil este artículo?
¿Cómo podemos mejorar esta página?