¿Quién no se ha sentido tranquilizado por el candado que se muestra en el navegador cuando realizamos una compra online? Ahora parece una locura ofrecer una experiencia de compra no segura a los clientes, pero… hay de todo en este mundo. Muestras recientes de Google tienden a confirmar que los sitios sin este seguro serán penalizados de alguna manera por el buscador o premiará a los que sí lo tengan lo que viene a ser lo mismo. Entonces, ¿qué pasa si no tienes el candadito en verde? Seas una tienda o no, lo necesitas y desde principios de este año ya el navegador Google Chrome si no lo tienes dice “Sitio no seguro” … ¿Qué le estamos dando a entender exactamente a nuestros clientes o posibles clientes?
Candadito = HTTPS
Antes de embarcarse en la búsqueda del candadito, lo mejor es entender de lo que estamos hablando. Transport Layer Security (TLS o anteriormente SSL) es un protocolo de intercambio de seguridad entre el usuario y el servidor. Publicado por un tercero del huésped o el editor del sitio, se garantiza al usuario que todos los datos intercambiados son seguros (por ejemplo, entradas en formularios de contacto o en una página de pago) a través de un sistema que codifica los datos introducidos. Lo que garantiza que nadie está “escuchando” los datos que se están intercambiando entre el usuario y el servidor. Por lo tanto su sitio tiene el derecho a ese pequeño candado junto a la URL, y también la “S” que se añade a HTTP (hiper text transfer protocol se transformar en hiper text transfer protocol secure).
¿Por qué tener un sitio seguro?
En primer lugar, desde la perspectiva del usuario, parece esencial confirmar que su navegación es segura – ¿Quieres poner tus joyas en un banco que no tiene puerta de seguridad o alarma? En internet, es el mismo, como esperamos que un usuario nos proporcione información sensible o no, eso lo juzga cada cual, sin garantizar que sus datos están protegidos. Para las tiendas online es imprescindible, a día de hoy muchísimos bancos no te permiten disponer de TPV virtual si no tienes el famoso certificado TLS (antes SSL).
Desde una perspectiva de mercado, es también una gran manera de aumentar la tasa de conversión: un visitante es principalmente un cliente potencial. Entre dos sitios que ofrecen un producto similar, el comprador favorecerá la que es segura. Varios casos de estudio dan fe esto: un estudio reciente de la empresa Comodo mostró un aumento en la tasa de conversión de 11% en un sitio de comercio electrónico utilizando un certificado EV.
Por último, y esto es el corazón del tema de hoy, la razón principal es Google. Puede sonar dogmático y particularmente problemático responder a la voluntad de Google, pero su enfoque es encomiable. En cualquier caso, la empresa de Mountain View quiere ofrecer una experiencia de calidad a los usuarios y, para Google, esto significa un sitio seguro. Cuando se sabe que Google representa más del 94% del mercado de los motores de búsqueda en España, y que el navegador Chrome es ahora el número 1 en número de usuarios, tenemos que seguir sus “recomendaciones”. Google pone las reglas y nosotros las aplicamos…. así es.
Esta posición de Google con respecto a la seguridad no nació ayer, pero la última versión de su navegador Chrome muestra esta orientación mediante la visualización clara de que un sitio no es seguro. ¿Quién va a impedir que Google termine de restringir el acceso a su sitio, ya que no es seguro?
En 2017 la tendencia en posicionamiento SEO es claramente HTTPS.
Cómo cambiar de http a https
El primer paso es la obtención de un certificado. En Entorno Web los ofrecemos de manera gratuita gracias a la iniciativa Let, ofreciendo un certificado libre sin necesidad de una IP fija. Sin embargo, para algunos sitios, depende de sus funcionalidades, pueden ser un coste de hasta 800 € / año. Por otra parte, hay que distinguir dos tipos de certificados:
– El certificado de DV (o dominio validado) que garantiza la validez del campo
– El certificado de validación (o validación extendida) que garantiza la existencia del editor de negocios del sitio (el nombre del editor se muestra en otro lugar al lado del candado de la barra de direcciones)
También es necesario evaluar sus necesidades: un solo certificado puede ser suficiente para asegurar un solo dominio, pero en el caso de varios subdominios, se recomienda un certificado comodín o multi-dominio.
Antes de hablar de URL, o redirigir, piensa primero en la estructura. Al igual que muchos sitios, sucede que el tuyo hace uso de muchos recursos de terceros (atención a los iframe que puede plantear problemas): si tan sólo uno de estos recursos no es seguro, olvídate del candado! ya que es imprescindible que todo el contenido del sitio donde queremos el candado vaya bajo peticiones https. Del mismo modo, si obtienes beneficios económicos de ciertos lugares en tu sitio, asegúrate de hacer una lista de estos y comprobar que se ajustan a este principio. El impacto será principalmente financiero, algunos anuncios ya no se podrán mostrar, así que antes de hacer ningún cambio ten en cuenta esto y saca la calculadora.
A continuación, evaluar si solamente una reescritura del .htaccess es suficiente o si algunas URLs están codificadas. Esto va junto con el establecimiento de las reglas 301 desde su HTTP a HTTPS. También recuerda no bloquear la indexación del https desde el archivo de robots.txt, o no asignar el el meta “noindex”. En cualquier caso, lo ideal es el uso de URLs relativas de todos los recursos en tu sitio.
¿Estás anunciando en redes sociales o de AdWords? Asimismo, recuerda cambiar tu dirección URL copiando los anuncios (con el fin de no perder el historial de rendimiento, en lugar de modificar).
Por último, la adición de la nueva propiedad al Search Console de Google es esencial.
Conclusión al configurar un certificado TLS
Esto no es lo más difícil de lo que tendrás que hacer en la vida, pero tampoco es lo más fácil. En cualquier caso hay que hacerlo. No se hace por la mitad, o se hace del todo o no se hace. Cuanto antes mejor, pero como dice el dicho “Vísteme despacio que tengo prisa” así que recuerda: Haz una lista de todas las molestias, una lista de verificación y proceder paso a paso.