¿Su sitio recopila información sensible del visitante tal como contraseñas, información de la tarjeta de crédito, o datos personales? Si es así, tenga en cuenta: a finales de enero de 2017, Google Chrome comenzará a marcar los sitios sin HTTPS como no seguros. Dicho de otra manera; Chrome requerirá HTTPS para los sitios que recopilen información confidencial. Si aún no lo ha hecho, proteja a sus visitantes y su sitio con un certificado SSL y migre a HTTPS.

Reel It Back – ¿Qué es HTTPS?

HTTP (HyperText Transfer Protocol) y HTTPS (HyperText Transfer Protocol Secure) son protocolos o lenguajes para pasar información entre servidores web y clientes. Todo lo que necesita saber es que HTTPS es una conexión segura, mientras que HTTP no es seguro. Con una conexión HTTP estándar, es posible que las partes no autorizadas observen la conversación entre su dispositivo informático y el sitio.

Esta «conversación» suele ser mundana, a menos que esté ingresando información confidencial como su contraseña, información de tarjeta de crédito o número de seguro social en un sitio web. Una conexión HTTPS agrega una manta de seguridad sobre esa conversación usando un protocolo SSL / TSL (Secure Sockets Layer y Transport Layer Security). Esta conexión cifra los datos para evitar la escucha indebida, protege la integridad de los datos para evitar la corrupción en la transferencia y proporciona autenticación para garantizar la comunicación sólo con el sitio web previsto. En resumen: HTTP no es seguro, y usted nunca debe confiar en su información sensible a tal sitio. HTTPS es seguro y se está convirtiendo en el estándar web.

Los usuarios esperan una experiencia en línea segura y privada al usar un sitio web; Al penalizar las conexiones HTTP, Google está tomando medidas para asegurarse de que lo obtengan.

¿Qué está cambiando?

Actualmente, Chrome indica conexiones HTTP únicamente con un «indicador neutral», marcado con un símbolo de información. Haga clic en él y verá una advertencia suave de que «su conexión a este sitio no es segura» y «no debe introducir ninguna información confidencial en este sitio (por ejemplo, contraseñas y tarjetas de crédito) porque podría ser robada por los hackers.»

Por el contrario, las conexiones HTTPS están marcadas con un símbolo de bloqueo junto a la palabra «Seguro». Haga clic para obtener más información y verá que el sitio está clasificado como seguro y «su información (por ejemplo, contraseñas y tarjetas de crédito) Es privado cuando se envía a este sitio.»

Según el blog de seguridad de Google, esta clasificación neutral actual para HTTP «no refleja la verdadera falta de seguridad para las conexiones HTTP. Cuando se carga un sitio web a través de HTTP, alguien más en la red puede mirar o modificar el sitio antes de que llegue a usted. «En una era donde las preocupaciones sobre la seguridad de la información están aumentando y la necesidad de proteger los datos personales se vuelve primordial, Las indicaciones permitirán a los usuarios tomar una decisión informada sobre qué sitios confiar en información confidencial, como contraseñas y credenciales de pago.

A finales de enero de 2017, la última versión de Chrome (Chrome 56) hará que las páginas HTTP con contraseña o tarjeta de crédito formen campos como «no seguros»:

Este cambio es sólo el primer paso en la búsqueda de Google para usuarios más informados en una web más segura. Google anunció que las futuras versiones de Chrome marcarán las páginas HTTP como «no seguras» al navegar en modo incógnito. En el futuro, Chrome etiquetará todas las páginas HTTP con un triángulo rojo para llamar la atención sobre la naturaleza insegura de la conexión.

¿Donde nos encontramos ahora?

Google informa que más del 50% de todas las cargas de páginas de escritorio son conexiones HTTPS, un máximo histórico. La mayoría de los 100 principales sitios en todo el mundo ejecutan HTTPS modernos, incluyendo Amazon, Facebook, Twitter, Wikipedia y todos los sitios de Google. Hay muchos sitios de alto tráfico que no lo hacen, incluyendo eBay y Microsoft. Puede encontrar una lista actualizada en el Informe de transparencia de Google.

Para habilitar HTTPS en su sitio web, primero debe obtener un certificado SSL de una autoridad de certificación (CA). Este certificado hace un par de cosas. Uno, que permite a su sitio para comunicarse con los usuarios utilizando datos cifrados, no corruptibles. El certificado también actúa como un sello de aprobación de parte de confianza (en este caso, la CA) que dice que su sitio es legítimo y seguro. Let’s Encrypt ofrece certificados SSL / TSL gratuitos, mientras que una red de distribución de contenido (CDN) como CloudFlare proporciona un certificado SSL compartido con su paquete gratuito.

Ahora que tiene su certificado SSL, hay algunos pasos que necesita tomar para realizar la migración. Debe aprobar el certificado, realizar una copia de seguridad completa de su sitio, cambiar todos sus vínculos internos, consultar bibliotecas de códigos, actualizar todos los enlaces externos que pueda y crear una redirección 301. No olvide actualizar sus URL en Google (Search Console Analytics), AdWords y en cualquier otro lugar en el que ejecute ayudas pagadas, en todos sus perfiles sociales y en todas sus citas principales. Tony Messer juntos una gran guía para SEJ a finales del año pasado para caminar a través de la migración HTTPS paso a paso. También puede encontrar instrucciones útiles de la Ayuda de Google Search Console. Preocupado por perder acciones sociales? Glenn Gabe te guía a través del ahorro de acciones sociales en WordPress después de la migración HTTPS usando el complemento Social Warfare. Combinados, estos consejos y trucos deben guiarlo a través de una migración HTTPS perfecta.

Todavía no estoy convencido – ¿Por qué hacer el cambio?

La protección de datos es, con mucho, la mayor ventaja de HTTPS, pero no es la única. Los sitios HTTPS también se cargan significativamente más rápido. En una prueba en HTTP vs HTTPS.com, la versión no segura de la página se carga 334% más lento que HTTPS. Pruebe la prueba en su propio dispositivo y compruebe cómo se comparan.

Eso no es todo. En 2014, Google trató de persuadir a los webmasters para que hicieran el cambio a HTTPS e hicieron del protocolo seguro una señal de ranking más fuerte como motivación. Google dijo que empezarían a dar preferencia a los sitios con un SSL en 2014. Desde ese momento, los sitios encriptados han ganado un impulso en los rankings sobre sus homólogos no garantizados. Dado que ese poco de motivación no proporcionó suficiente estímulo para que los sitios cambiaran, ahora Google está forzando el problema. En lugar de incentivar HTTPS, Google puede incluso penalizar los sitios HTTP.

Conclusión:

HTTPS es el estándar principal actual para los sitios seguros, y cualquier webmaster vacilante a migrar está perdiendo terreno por el día, por no mencionar poner en peligro la confianza de sus usuarios. Chrome que marca los sitios HTTP como inseguros es sólo un paso en una larga lista de cambios que vendrán pronto para proteger mejor la privacidad y la seguridad de la información confidencial. Simplemente no hay razón para retrasar HTTPS por más tiempo.

Fuente: Search Engine Journal