CategoriasPodcast

1. ¿Cómo puedo hacer para que mi web utilice un certificado de seguridad?

Aunque es un tema que ya se ha tratado en el blog, siguen habiendo dudas al respecto, así que he pensado que sería un buen tema para inaugurar el nuevo podcast sobre hosting, dominios y desarrollo de negocios.

En este primer capítulo, doy respuesta a las preguntas más comunes sobre:

  • ¿Qué es un certificado?
  • ¿Por qué es tan importante?
  • Ventajas que aporta al visitante.
  • Cómo hacer el cambio en WordPress.
  • Problemas que pueden surgir
  • Cómo hacerlo en otras webs.
  • ¿Tiene algún inconveniente?
  • Dile a Google que prefieres https.

Si todavía te ha quedado alguna duda o quieres dar alguna idea para próximos programas, puedes dejarlo a continuación.

Canción de la intro: Wonderland de x50music

Transcripción completa

¡Muy buenas!

En este primer programa de este nuevo podcast, voy a tratar un tema que ya he tratado en el blog y en el vídeo que subí a Youtube, pero por la dificultad del mismo creo conveniente explicar un poco más.

¿Cómo puedo hacer para que mi web utilice un certificado de seguridad?

Bueno, primero que nada, hay que entender lo que es un certificado de seguridad: es un fichero más, que se instala en el servidor y qué dice que es esa página web. Normalmente hay una tercera entidad que ha verificado previamente de alguna forma que esos datos son correctos.

El certificado, además de verificar, transmite la información cifrada, quiere decir que si un cliente entra en nuestra web y está poniendo datos de tarjeta o datos comprometidos rellenando cualquier tipo de formulario, pues lo va a hacer de forma cifrada.

La comunicación entre el su equipo y el servidor va a estar de forma cifrada, con lo cual si hay alguien entre medias, hay un virus o hay alguien queriendo captar esos datos, pues lo va a tener un poco más difícil.

Los certificados de seguridad no son algo nuevo que haya salido ahora. Sí que es verdad que desde hace más o menos medio año, se está oyendo hablar y la gente está más interesada en utilizar un certificado.

Esto es principalmente porque Dios Google, al que todos adoramos, decidió que a partir de un momento iba a mostrar un aviso de «esta web no es segura» en las páginas que no utilizarán certificado de seguridad.

Con eso lo que pretenden es evitar un poco todo el tema de phishing, paginas que se hacen pasar por otras y todo el tema de estafas que hay en internet. No sé si personalmente, egoístamente o les beneficia de otra forma, pero lo cierto es que es una buena práctica que tendríamos que haber estado haciendo desde hace años y que la mayoría de páginas web no estaban utilizando.

Los certificados de seguridad son importantes no sólo porque ahora a Google le apetezca poner el aviso de que la web no es segura, sino porque los datos que se transmiten entre tu cliente y servidor se hace de forma cifrada: mejora la seguridad frente a alguien que esté en medio en la red intentando captar esos datos.

Para el visitante, la principal ventaja que le aporta es saber que los datos que está poniendo ahí, se están enviando a quién se supone que se están enviando. Cuando tenga dudas y hay algo que no le cuadra en una página web, puede comprobar el icono de arriba a la izquierda de la dirección de navegador y puede ver los datos de la empresa y de la entidad que asegura esos certificados.

El punto importante que parece que no comenté en el vídeo de Youtube, pero que sin embargo, sí que está en la guía del blog que te dejo aquí en los comentarios y bueno, lo voy a enlazar directamente.

Para hacer el cambio en WordPress es relativamente fácil, por lo menos al principio, vale vamos a ir paso a paso, lo digo porque es el sistema que más se utiliza para páginas web y que personalmente voy a estar hablando en este podcast. Aunque esto se puede hacer parecido en muchos otros gestores.

Primero que nada tendrá que está instalado en el servidor, eso es algo que solo puedo hacer tu empresa de hosting o que tiene que haber habilitado una sección dentro de tu panel de control para que tú lo puedas hacer.

Lo normal es que la empresa de hosting ya tenga un certificado instalado o alguna forma de facilitar esta tarea. Yo por ejemplo, los planes que ofrezco llevan de serie el certificado de seguridad (gratis), con lo cual el cliente no tiene que hacer nada. Simplemente puede empezar a utilizar la dirección con https y ya está, pero vamos a lo importante: tenemos que hacer que nuestra página web que hasta ahora está funcionando con una dirección sin HTTPS, empiece a utilizar siempre en todas las peticiones HTTPS delante de la dirección.

Para hacer esto tenemos que entrar en los ajustes como administrador, dentro del panel de administrador de WordPress y entrar en la pestaña de ajustes generales. Ahí es donde nosotros le hemos dicho WordPress la dirección principal que queremos utilizar y la URL que utiliza para los enlaces internos. Veremos que seguramente tengamos https:// y nuestro dominio. Pues el cambio es tan sencillo como después de la http añadir una s después y darle a guardar cambios.

Y ya está, no tienes que hacer nada más dentro de WordPress. A partir de ahora, cuando le des a guardar cambios verás que te va a intentar cargar la dirección de acceso con https. Tendrás que volver a identificarte. Aunque WordPress ya esté funcionando con https, ahora te va a tocar revisar todos los enlaces y toda la estructura interna que hayas podido crear a mano. Eso es, si tú hace 4 meses que gastes un artículo y en el enlace de este artículo al otro no pusiste HTTPS (que será lo más normal) entonces tendrás que modificarlo a mano.

Si es una web pequeña, acabas antes haciendolo a mano pero, si es una web muy grande, es una tarea muy grande. Yo he utilizado hasta ahora dos formas: una que sería con un plugin de terceros que te lo tienes en el artículo de ¿Cómo hacer el cambio de WordPress? y la otra opción es un poco más complicada. Bajándote toda la base de datos, haciendo una búsqueda y reemplazo SQL.

Si no te quieres complicar, no eres desarrollador y quieres algo rápido, yo te recomiendo que uses este plugin dónde le vas a decir que te busque siempre en la cadena HTTP y te la sustituya por HTTPS. Es importante que hagas este paso porque si tienes parte de web que utiliza HTTPS pero hay otra parte que no la utiliza, en el aviso del navegador te mostrará que esta página web es «segura pero contiene algunos enlaces que no lo son entonces». Eso casi que puede ser incluso peor, porque da más que sospechar por qué dices: bueno a ver donde entró.

Todos los enlaces que tenga tu página web tienen que ir con https. Unos problemas que pueden surgir es que, aunque te hayas cambiado la dirección en la configuración de WordPress, que la hayas cambiado en todos los enlaces internos, hay enlaces externos de tu página web hacia redes sociales de terceros que no estén usando HTTPS.

Si esas direcciones están codificadas en el código fuente de tu página web, vas a tener que meterte a mano y editarlo o buscar alguna forma para que se mantengan en las siguientes actualizaciones. Pero en la mayoría de los casos con los cambios que te digo, con el de la sección de ajustes generales y luego cambiando los enlaces con el plugin better search replace ya lo tendrías.

En el caso de que no utilices WordPress y estés usando otros gestores de contenidos, pues lo primero que te digo es piénsatelo bien, mira a ver si no te iría mejor utilizando WordPress, porque a nivel de posicionamiento web mejora, vas a tener mucha más variedad de temas gráficos, de comunidad, etc.

Hay una industria por detrás que está dando soporte a WordPress (entre los que me incluyo) y te va a ayudar mucho en la utilización y la expansión de tu página web.

Lo más normal es que tengas que modificar casi todos los ficheros de la web para cambiar la ruta interna.

Una pregunta lógica que te puedes hacer es, bueno si esto del certificado de seguridad es tan bueno, porque no la hemos estado haciendo hasta ahora, pues una de las razones es porque era más difícil de lo que es ahora instalar un certificado.

Antes era bastante más complicado. Los procesos se han simplificando hasta el punto de que son casi automáticos. También, con los certificados la navegación era un poco más lenta, porque al enviar y recibir datos cifrados pues eso ralentizaba. Porque consume capacidad de cálculo y ralentiza un poco la navegación.

Hoy en día, ya con los planes de hosting que tenemos, los servidores que tenemos, la red que tenemos, pues el certificado no se nota, es totalmente transparente y no hay ningún problema.

Y si has estado escuchando hasta ahora, te voy a dar un pequeño consejo que no se suele comentar y que mucha gente se olvida de hacer, pero que es muy importante: es decirle a Google que tu dirección preferida, la dirección favorita, la que tiene que utilizar a partir de ahora es con https.

¿Cómo se hace esto? bueno, primero tienes que identificarte en el centro de webmaster de Google Webmaster tool. Tienes que hacer una serie de procesos para verificar que eres el propietario del dominio, no es muy complicado.

Hay varias formas pero tienes que poner un fichero en el dominio, que es lo más cómodo o verificar con el email. Yo lo que suelo hacer es la subida del fichero, porque es la más rápida.

Una vez que ya le he dicho a Google oye que esta web es mía ¿vale? yo soy el administrador le vas a decir que de todas las direcciones de tu web, que utilice HTTPS.

Con el tiempo, Google actualizará su base de datos y las visitas que te enviará siempre serán al HTTPS. Tu página web es segura y se puede confiar en ella y los visitantes pueden navegar tranquilos.

Espero que con este primer podcast haya podido aclarar alguna duda más. Si tienes alguna duda adicional, sobre este tema o sobre cualquiera, te animo a que lo dejes en los comentarios.

Ha sido el primer podcast, con lo cual va a ser el peor programa de la serie, o por lo menos ¡eso espero! Te animo a que me envíes comentarios sobre posibles temas, cualquier cuestión que te pueda ayudar sobre hosting, dominios, WordPress o desarrollo de negocio y puedes contactarme en info@honesting.es

Un abrazo y ¡hasta el próximo programa!

Publicado por Aitor Serra Martín

Administrador de servidores y desarrollador de páginas web.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *