Proteger sitios web con el protocolo HTTPS

Protege tu sitio web y sus usuarios

¿Qué es HTTPS?

HTTPS (HyperText Transfer Protocol Secure, Protocolo de transferencia de hipertexto) es un protocolo de comunicación de Internet que protege la integridad y la confidencialidad de los datos de los usuarios entre sus ordenadores y el sitio web. Dado que los usuarios esperan que su experiencia online sea segura y privada, te recomendamos que adoptes HTTPS para proteger sus conexiones con tu sitio web, independientemente de lo que este contenga.

El envío de datos mediante el protocolo HTTPS está asegurado mediante el protocolo de seguridad de la capa de transporte (TLS), que proporciona las tres capas clave de seguridad siguientes:

  1. Cifrado: se cifran los datos intercambiados para mantenerlos a salvo de miradas indiscretas. Eso significa que cuando un usuario está navegando por un sitio web, nadie puede "escuchar" sus conversaciones, hacer un seguimiento de sus actividades por las diferentes páginas ni robarle información.
  2. Integridad de los datos: los datos no pueden modificarse ni dañarse durante las transferencias, ni de forma intencionada ni de otros modos, sin que esto se detecte.
  3. Autenticación: demuestra que tus usuarios se comunican con el sitio web previsto. Proporciona protección frente a los ataques "man-in-the-middle" y contribuye a la confianza de los usuarios, lo que se traduce en otros beneficios empresariales.

Prácticas recomendadas para implementar el protocolo HTTPS

Utiliza certificados de seguridad potentes

Para poder habilitar el protocolo HTTPS en tu sitio web, debes obtener un certificado de seguridad. El certificado lo emite una autoridad de certificación (CA), que toma las medidas necesarias para verificar que tu dirección web pertenezca realmente a tu organización. De este modo, se protege a tus usuarios de cualquier ataque "man-in-the-middle". Al configurar el certificado, asegúrate de obtener un nivel de seguridad alto escogiendo una clave de 2048 bits. Si ya tienes un certificado con una clave más débil (de 1024 bits), actualízala a una de 2048 bits. Cuando escojas el certificado de tu sitio debes hacer lo siguiente:

  • Escoger el certificado de una CA de confianza que ofrezca asistencia técnica
  • Decidir qué tipo de certificado necesitas:
    • Un certificado único para un origen seguro único (p. ej. www.example.com).
    • Un certificado para varios dominios para varios orígenes seguros conocidos (p. ej., www.example.com, cdn.example.com y example.co.uk).
    • Un certificado comodín para un origen seguro con muchos subdominios dinámicos (p. ej., a.example.com y b.example.com)

Utiliza redirecciones 301 de servidor

Redirige a los usuarios y a los motores de búsqueda a la página o al recurso HTTPS mediante redirecciones HTTP 301 de servidor.

Comprueba que Google pueda rastrear e indexar tus páginas HTTPS

  • No bloquees las páginas HTTPS con un archivo robots.txt.
  • No incluyas metaetiquetas del tipo noindex en las páginas HTTPS.
  • Utiliza la herramienta Explorar como Google para comprobar si el robot de Google puede acceder a tus páginas.

Admite el mecanismo de seguridad HSTS

Recomendamos que los sitios web HTTPS sean compatibles con la seguridad de transporte estricta de HTTP (HSTS). Este mecanismo de seguridad indica a los navegadores que soliciten páginas HTTPS automáticamente, aunque los usuarios introduzcan http en la barra de direcciones. También indica a Google que muestre URL seguras en los resultados de búsqueda. De este modo, se minimiza el riesgo de ofrecer a los usuarios contenido que no esté protegido.

Para que tu sitio web sea compatible con HSTS, usa un servidor web que admita este mecanismo y habilita sus funciones.

Aunque es más seguro, HSTS añade complejidad a la estrategia de restauración. Te recomendamos habilitarlo de la siguiente manera:

  1. Primero implementa el protocolo HTTPS en las páginas, sin el mecanismo HSTS.
  2. Empieza por enviar cabeceras HSTS con un parámetro max-age de corta duración. Supervisa el tráfico de los usuarios y de otros clientes, y el rendimiento de elementos dependientes, como los anuncios.
  3. Aumenta lentamente el parámetro max-age de HSTS.
  4. Si HSTS no perjudica a tus usuarios ni a los motores de búsqueda, puedes solicitar que se incluya tu sitio web en la lista de carga previa de HSTS que usan la mayoría de los navegadores principales.

Utiliza la lista de carga previa de HSTS

Al habilitar HSTS, puedes admitir la carga previa para aumentar la seguridad y mejorar el rendimiento de tu sitio web. Para hacerlo, accede a hstspreload.org y haz que tu sitio web cumpla los requisitos de envío.

Evita errores habituales

Durante el proceso para hacer que tu sitio sea seguro mediante TLS, debes evitar cometer estos errores:

Problema Acción
Certificados caducados Comprueba siempre que tu certificado esté actualizado.
Certificado registrado con un nombre de sitio web incorrecto Comprueba que hayas obtenido un certificado de todos los nombres de host que se publican en tu sitio web. Por ejemplo, si tu certificado solo cubre www.example.com, se bloquearán todos los usuarios que accedan a tu sitio web mediante example.com (sin el prefijo "www.") porque el nombre del certificado no coincidirá.
Falta de compatibilidad con la indicación de nombre de servidor (SNI) Comprueba que el servidor web sea compatible con SNI y que la audiencia utilice navegadores que sean compatibles habitualmente. Todos los navegadores modernos son compatibles con SNI, pero si quieres admitir navegadores más antiguos necesitarás una IP dedicada.
Problemas de rastreo No bloquees el sitio HTTPS mediante un archivo robots.txt para que no pueda rastrearse.
Problemas de indexación Debes permitir que los motores de búsqueda indexen tus páginas siempre que sea posible. Evita la metaetiqueta noindex.
Versiones de protocolo anteriores Las versiones de protocolo anteriores son vulnerables; comprueba que tengas las últimas versiones de las bibliotecas TLS e implementa las versiones de protocolo más recientes.
Elementos con diferente seguridad Inserta únicamente contenido HTTPS en las páginas HTTPS.
Contenido diferente en HTTP y HTTPS Comprueba que el contenido de tus sitios HTTP y HTTPS sea el mismo.
Errores de código de estado HTTP en HTTPS Comprueba que el sitio web devuelva el código de estado HTTP correcto. Por ejemplo, 200 OK para páginas accesibles, o 404 o 410 para páginas que no existen.

Más consejos

En las preguntas frecuentes de migración a HTTPS encontrarás otros consejos sobre el uso de páginas HTTPS en tu sitio web.

Hacer la migración de HTTP a HTTPS

Si migras tu sitio web de HTTP a HTTPS, Google gestionará el cambio simplemente como un traslado de sitio web con cambios de URL, lo que puede afectar de forma temporal a algunas cifras relacionadas con el tráfico del sitio. Consulta la visión general sobre el traslado de sitios web para obtener más información al respecto.

Añade la propiedad HTTPS a Search Console. Ten en cuenta que este servicio gestiona HTTP y HTTPS por separado, y que los datos de estas propiedades no se comparten en Search Console.

Consulta la página de solución de problemas de traslado de sitemaps para solucionar problemas relacionados con la migración.

Más información

Más información sobre la implementación de TLS en tu sitio:

¿Te ha sido útil este artículo?
¿Cómo podemos mejorar esta página?