Contenido del artículo:
En el 2014 Google anunció por medio del blog oficial para webmasters que el uso del HTTPS sería una señal positiva para el algoritmo, esto provocó como era de esperarse que muchos sitios instalaran certificados SSL para mejorar su posicionamiento.
Un año después anunciaron que las páginas HTTPS se indexarían de forma predeterminada si se encontraban disponibles y recientemente desde el blog oficial de seguridad se anunció que las futuras versiones de Chrome mostrarán una advertencia de sitio no seguro cuando las páginas bajo HTTP soliciten información sensible como contraseñas y tarjetas de crédito.
Esto comenzará a suceder a partir de la versión 56 que se lanzará de forma estable en enero de 2017 y en el futuro se planea que todas las páginas HTTP muestren la advertencia.
Dos opciones para tener el HTTPS de forma gratuita
Opción 1: Let’s Encrypt: es una nueva entidad que ofrece certificados gratuitos y que el propio Google recomienda. Su instalación se realiza de forma casi automática accediendo por SSH a distintos webservers como Apache o Nginx, incluso hay servicios de hosting que ya ofrecen estos certificados para ser instalados con un sólo clic.
El servicio es cada vez más utilizado superando en octubre de 2016 los 10 millones de certificados activos:
We’re now managing over 10M active certificates! pic.twitter.com/cH2tIvAApE
— Let’s Encrypt (@letsencrypt) 18 de octubre de 2016
Se debe tener en cuenta que los certificados SSL para funcionar de forma adecuada tienen que estar correctamente configurados. Una herramienta que facilita esta comprobación es SSL Server Test de Qualys, se recomienda obtener una puntuación de A o A+.
Otras herramientas que permiten escanear los certificados TLS/SSL son https://www.htbridge.com/ssl/ y https://www.sslshopper.com/ssl-checker.html.
En esta página del centro de ayuda de Google se pueden encontrar algunos errores comunes que se suelen comenter al utilizar el HTTPS. Vale la pena darle una buena mirada.
Un error frecuente que he visto es configurarlos para un dominio como example.com y olvidar hacerlo para las variantes como www.example.com.
También es común tener bajo un mismo servidor varios sitios con HTTPS, esto no genera problemas pero lo ideal es que cada dominio tenga su propia IP para evitar un error de compatibilidad con SNI, este error no es crítico pero provoca advertencias del certificado en los sistemas más antiguos (como IE8 en XP) y puede generar una pérdida de tráfico ya que los visitantes se suelen asustar al ver la advertencia y no acceder al sitio.
Lo bueno es que ya casi nadie utiliza Windows XP, por lo cual el porcentaje de usuarios afectados suele ser mínimo. En el caso de tener un servidor VPS o dedicado, el sitio configurado como primario no presentaría este problema de compatibilidad, sólo se generaría con el resto de los sitios que estén allí alojados.
Opción 2: Universal SSL de CloudFlare: es tal vez la forma más sencilla de obtener el HTTPS con las ventajas propias de CloudFlare y sus múltiples servidores distribuidos por todo el mundo. En mi otro blog spamloco.net (un blog de tecnología y seguridad) comenté hace algún tiempo los pasos para configurarlo en un sitio con WordPress.
Aún con el plan gratuito de CloudFlare es posible activar el HTTPS, aunque se debe tener en cuenta que se genera el error antes comentado de la compatibilidad con SNI.
Migración segura a nivel SEO de HTTP hacia HTTPS
El cambio de protocolo es como un cambio de dominio para Google y por lo tanto se debe realizar de forma correcta para evitar una pérdida del posicionamiento. Recomiendo leer este artículo del centro de ayuda sobre los cambios de dominio.
La siguiente es una lista de puntos que se deben chequear al realizar la migración:
- 301 desde http hacia https
- revisar las etiquetas canonical para que apuntan hacia https
- revisar el robots.txt de la versión https (no debe responder como 404)
- agregar la versión https en la Search Console
- subir nuevamente el archivo de desautorización de enlaces si se utilizaba
- volver a configurar los Parámetros de URL si se habían personalizado
- enviar dos Sitemaps, uno con URLs antiguas y otro con las nuevas con el last modified actualizado si se utilizaba
- actualizar Google Analytics
- actualizar URL de todos los recursos internos para evitar errores de Mixed content
- actualizar enlaces internos en el sitio y también los externos que sean posibles
Tener en cuenta además que una migración hacia HTTPS se puede realizar por partes, en general si la migración se realiza de forma adecuada no se generan pérdidas de posicionamiento.
Para ofrecer mayor seguridad, también se puede habilitar HSTS (HTTP Strict Transport Security) que evita que se hagan peticiones sobre el protocolo HTTP. Si bien esto es muy sencillo de habilitar, desde Google recomiendan (lectura altamente recomendada) dejar en funcionamiento el HTTPS y activar HSTS con tiempos de expiración cortos para testear el impacto en el tráfico y posicionamiento, y finalmente enviarlo a la preload list de Chrome HSTS https://hstspreload.appspot.com.