google chrome 56 ssl
Sobre Google

Novedades de Google Chrome 56 y SSL

¡Buenos días! ¿Cómo lo llevas? Yo la verdad que como siempre: aprendiendo cosas nuevas, investigando y aclarando dudas y siendo consciente de lo mucho que me queda por aprender y de la falta de horas que tengo por día… ¡Qué bien iría un botón para parar el tiempo! Pero como desgraciadamente no existe, sólo queda respirar hondo, empezar por un tema e ir avanzando. En ocasiones llego a la conclusión de que muchas veces veo que tengo demasiadas prioridades a la vez, y claro, siempre se queda alguna de ellas en la cola. Llega a ser un poquitín frustrante, pero es que quiero abarcar tantas cosas y aprender tantos conceptos… ¡Quiero el botón del tiempo! 😛 Bueno, bromas a parte… El otro día estaba en un debate con varias personas comentando sobre la novedad de Google Chrome 56 y la importancia del SSL. Y cómo no, tema interesante que sale a debate, tema que quiero indagar, conocer y si es el caso, dominar. Así que el artículo de esta semana va sobre el nuevo Google Chrome 56 y el certificado SSL. ¡Vamos a verlo!

¡NUEVO GOOGLE CHROME 56!

Ya sabemos que Google es un fanático de los cambios y mejoras en todos sus productos y herramientas para que sus usuarios tengan una experiencia óptima y satisfactoria. Por un lado es genial puesto que siempre es para mejorar, pero por otro lado provoca que tengas que estar al tanto de dichos cambios ya que algunos pueden afectar a otros apartados, como es el caso del próximo Google Chrome 56, que saldrá en Enero del 2017. 

Normalmente suelen ser cambios de interfaz, mejoras de velocidad, reducción de datos de carga por navegador y dispositivo… Pero en esta ocasión, el nuevo Google Chrome 56 viene con un cambio más grande todavía: “la importancia del certificado SSL.” No es algo nuevo saber que una de las prioridades de Google es la seguridad, y por ello todos los servicios de Google utilizan el protocolo HTTPS (Hipertext Transfer Protocol Secure), así los usuarios saben que cuando utilizan cualquiera de sus herramientas como Gmail, el buscador, Webmaster Tools, Drive… lo están haciendo mediante conexión segura.

Pero a Google eso no le es suficiente, ya que se preocupa tanto por sus usuarios que está poniendo todo su esfuerzo e interés en garantizar que todos los sitios web a los que se acceden a través de Google sean seguros. Sí, como lees, eso te incluye a ti si tienes una página web, como a mí con mi blog. Hasta ahora era algo que afectaba únicamente a los sitios de venta online o que requerían datos como contraseñas, y aún así, no todos estos sitios hacían uso del HTTPS. Pero ahora será algo necesario ya no sólo para los ecommerce o páginas con passwords de usuarios sino para todos los sitios web que haya en internet. ¿Obligatorio? Pues como tal no explícitamente, pero vamos… ya te digo que te conviene ponerlo. Ahora te explico porqué.

DIFERENCIA ENTRE SSL Y HTTPS

Para que tengas claro estos 2 conceptos y puedas entenderlo mejor, te explicaré que son cada uno:

SSL -> Son las iniciales de Secure Socket Layer (Capa de Conexión Segura). El certificado SSL es una pieza esencial para la seguridad de los sitios web, pues es lo que permite el flujo de datos a través de internet cifrando la información que se envía, ya sean datos personales, tarjetas de crédito, transferencias de archivos vía FTP… Proporciona el servicio de seguridad cifrando los datos intercambiados con un algoritmo de cifrado simétrico, el cual puede haber de 128 bits, 256 bits, 1024 bits y 2048 bits. (Éste último es el recomendado por Google.) Cuando mayor sea, mayor complejidad y más seguridad. Disponer del certificado SSL hace prácticamente imposible para un hacker conseguir la información cifrada. Uno de los ataques más comunes para conseguir la información, son los llamados “man in the middle”. Lo que hacen éstos es que cuando el cliente (web) manda la información al servidor, se coloca en medio haciendo creer que es el receptor/emisor, pero con la información encriptada, no pueden hacer nada con ella.

HTTPS -> Iniciales de Hipertext Transfer Protocol Secure (Protocolo de Transferencia de Hipertexto Seguro) lo que indica es que todos los datos transmitidos entre el sitio web y el navegador están cifrados para que los hackers no puedan acceder a la información. Con la terminación HTTP-S lo que le muestras al usuario es que tu sitio web es totalmente seguro para poder pasar datos personales o bancarios sin tener que preocuparse de robo de información. Si el sitio web no cuenta con el certificado SSL, el HTTP-S sería imposible de utilizar.

Se puede decir pues que el Certificado SSL es utilizado para protocolos de comunicación, y el HTTPS se utiliza únicamente dentro de las páginas web.

PORQUÉ DEBES TENER EL HTTPS EN TU WEB

A partir de Enero del 2017, el nuevo Google Chrome 56 empezará a indicar qué páginas son seguras y cuáles no. Actualmente, imagino que te habrás fijado, aparece una i rodeada de un círculo en la parte izquierda de la url. Si haces clic en el icono, se te abrirá el “inspeccionar elementos” y te indicará que esta página no dispone del certificado SSL.

google chorme 56 ssl

google chrome 56 https

Hasta ahora yo no me había preocupado de tener el HTTPS puesto que yo no hago ningún intercambio de datos privados como contraseñas ni datos bancarios, pero eso es momento de arreglarlo. Ya no sólo porque luego dicho icono irá empeorando con especificaciones claras de “no seguro” y cambiando la i por un triángulo de “alerta“, y claro, no es algo que tranquilice ver ni al usuario ni ver tu en tu propia página. Mira cómo aparecerá (incluso en las páginas de incógnito):

google chrome ssl

google chrome 56 https

Desde el equipo de Seguridad de Google Chrome han indicado que cuando Google Chrome 56 empiece a trabajar el próximo Enero 2017, empezará a agregar la etiqueta “no seguro” como te indicaba más arriba. Con el tiempo, todas las páginas HTTP que no tengan el certificado SSL, acabarán mostrando el temido “triángulo rojo”.  Dicho icono, es el que actualmente Google utiliza para los sitios web que disponen de HTTPS pero que están rotos o caídos.

Google Chrome 56 empezará marcando las páginas como “no seguras” aquellas que transfieran contraseñas o datos bancarios. Pero no lo dejes de lado, ya que como dije, al final todas las páginas acabarán por estar “señaladas”. El plan de Google es que empiece por las páginas con más riesgo, como un ecommerce, y a medida que vayan saliendo versiones posteriores, ir ampliándolo hasta llegar a todas las webs http de internet.

Cuando hagas el cambio de HTTP a HTTPS, Google gestionará el cambio como un traslado de sitio web con un cambio de URL, así que es importantísimo que te acuerdes de hacer todas redirecciones 301 de la versión http a la versión https con y sin www. (Mediante htaccess podrás configurar automáticamente todas las redirecciones.) Si no las redireccionas, Google las considerará páginas diferentes esperando recibir información diferente, y lo que encontrará será contenido duplicado, con lo que significa posible penalización. Además de tener que revisar todos los internal links para dirigirlos a la versión https, dar de alta los nuevos dominios en Webmaster Tools, sitemaps… Como si fuera una web nueva. ¡No te olvides!

Es posible que cuando realices la migración, experimentes una fluctuación temporal en las posiciones del buscador, pero no te preocupes, en cuanto Google lo rastree y lo vuelva a indexar, deberías volver a la posición media que tenías antes de hacer el cambio. La rapidez con la que el crawler de Google procese las url’s transferidas dependerá de la cantidad de páginas de tu sitio web y la rapidez del servidor. Siempre podrás forzar un poco “la máquina” generando de nuevo los sitemaps a través del Search Console y utilizando el “Explorar como Google” para facilitar la detección de tu sitio web por secciones o páginas.

Los sitios web con el protocolo HTTPS podrían obtener una clasificación mejor que otro que no tenga el certificado SSL, pero tampoco será una diferencia significativa. Es una de las muchas señales que Google utiliza para la clasificación en la serp pero de momento, (y dudo que altere el orden), da más valor a un sitio con un contenido de calidad alto que a que tenga el HTTPS. Por ahora no ofrece beneficios notables en cuanto al SEO por el hecho de trasladar tu sitio web a https, pero es posible que en un futuro Google lo incentive más. Así que no está de más estar en el listado de los que sí tienen el SSL. ¿No te parece?

Pero… ¿Cómo se hace la migración de HTTP a HTTPS?

Tienes 3 opciones disponibles:

  • Si adquieres el certificado SSL en el mismo servidor de tu Hosting, es bien probable, en un 99% que ellos mismos se encarguen de hacer la migración.
  • Si adquieres el certificado SSL en un sitio externo a tu servidor, te enviaran un mail con la información que has de pasarle a tu servidor para que te haga la migración. Aunque también es probable que debas hacerlo tu mediante unas pautas que te daría tu servidor y que no suele ser muy complicado. Aquí te pongo un ejemplo en el caso de migración con un certificado Secure Socket Layer externo a OVH.
  • Si adquieres el certificado SSL y es tu empresa (o tu mismo) quien se encarga del servidor, deberá ser el Administrador de Sistemas o alguien que entienda sobre ello, quien se encargue de hacer la migración.

Algunos consejos básicos para empezar son:

  • Decidir el tipo de certificado que necesitas.
  • Utilizar a ser posible certificados de 2048 bits.
  • Escoger un certificado con una CA (Certification Authority) autoridad de certificación de confianza.
  • Redireccionar las páginas HTTP a HTTPS mediante 301.
  • No bloquear el rastreo del sitio HTTPS mediante el archivo robots.txt.

TIPOS DE CERTIFICADOS SSL

Aquí te indico 6 tipos de certificados que según el tipo de servicio, puedes seleccionar el que más te convenga. Los precios que te indico por tipo de certificado son para hacerte una idea, pues todo depende de la empresa donde lo contrates. Yo cogí la información de GoDaddy.

Certificados Compartidos (Shared Certificates)

Generalmente estos certificados son gratuitos y son apropiados para asegurar la conexión con un site o el servidor de un sitio web, pero que no son usados por todos los usuarios, como podría ser el área administrativa de la web. Estos tipos de certificados no son los más adecuados para un ecommerce, pues son más convenientes los certificados privados.

Certificados de Validación de Nombre de Dominio (Domain Validated Certificate)

Estos certificados son los más básicos que se enfocan a la validación únicamente del nombre del dominio. Adecuado para páginas en las que el usuario tiene que ingresar en zonas seguras con usuario y contraseña, correo electrónico o hacer pagos con tarjeta de crédito. Les diferencia de los Certificados Compartidos que éstos no son objetos de mensajes de advertencia por parte de los navegadores. Ideales para cualquier sitio web que quiere asegurar la comunicación entre el sitio web y el usuario y puede adquirirlo cualquier persona. Puede rondar los 10€/año.

Certificados de Validación de Compañías (Company Validated Certificate)

Son similares a los certificados de Validación de Dominios pero con la diferencia de que para éstos es necesario validar datos de la propia compañía y no sólo el dominio. Con más validaciones, más seguridad. Para una empresa, sería cuestión de reputación si se quiere, pues aunque sea de alguna manera un poco superficial, el hecho de que valide la empresa a parte del dominio, genera más confianza a los usuarios. Lo encontrarás por unos 50€/año.

Certificado de Validación Extendido (Extended Validation Certificates “EV” )

Estos certificados son los más solicitados. El proceso de verificación es aún más completo, pues necesita verificar una buena cantidad de datos tanto del sitio web como de la empresa que lo administra incluyendo cuestiones jurídicas de manera bastante minuciosa. La barra verde es exclusiva de este certificado. Por unos 80€/año.

Certificados Wildcard (Wildcard Certificates)

Estos certificados se pueden usar en múltiples subdominios usando un único certificado SSL, como por ejemplo: miweb.com, blog.miweb.com, contacto.miweb.com, etc. Los hay por unos 290€/año.

Certificados Multi-dominio (Mult-domain Certificates)

Son similares a los Certificados Wildcard pero con la diferencia que en este caso son usados para dominios, en vez de subdominios: miweb.com, miweb.net, miweb.es… Rondaría unos 150€/año.

Como ves, según el tipo de necesidad que tengas, puedes utilizar desde certificados gratuitos hasta certificados de pago para múltiples dominios y subdominios. Lo importante es acabar teniendo el HTTPS en tu dominio para que no te aparezca el incómodo mensaje de “Página No Segura”.

¡Listo! ¡Ya puedes ir preparándote para el nuevo Google Chrome 56!

¡Nos vemos en el próximo artículo! 😉

Publicaciones anteriores Siguiente publicación

También puede interesarte

6 Comentarios

  • Responder Milena 3 diciembre, 2016 at 7:44 pm

    hola Vannesa, gracias por tu artículo, me gustaria saber cual es la fuente que usaste, he buscado alguna notificacion oficial de google sobre sus acciones sobre paginas sin ssl y no encuentro, agradezco si lo tienes, me lo facilites.

    • Responder Vanessa Tejada 3 diciembre, 2016 at 8:04 pm

      Hola Milena! ¡Muchas gracias por tu comentario! 😉 Toda la información que busco siempre la confirmo a través de muchísimas fuentes (tanto en ES como EN), pues necesito corroborar que el concepto que yo entiendo es correcto. Una de las fuentes que me gusta ver, ¡cómo no! es el blog de Google y de Google Developers. Siempre te dan la información muy clara. El de este artículo por ejemplo, uno de los sitios donde me informé fue en https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html
      ¡Espero haberte aclarado la consulta! Saludos.

  • Responder Jordi Grasiot Ruiz 16 noviembre, 2016 at 3:22 pm

    Gran artículo Vanessa!!! Minucioso y esclarecedor.
    Gracias

    • Responder Vanessa Tejada 17 noviembre, 2016 at 9:01 am

      ¡Muchísimas gracias Jordi! Me alegro que te haya gustado. 😉 Un saludo!

    • Responder Milena 5 diciembre, 2016 at 1:08 am

      Perfecto Vannesa, Muchas gracias por tomarte el tiempo para responderme. Estoy en la tarea ahora, de buscar SSL, he leido que algunos antivirus como Avast o Kaspersky bloquean los SSL básicos, y que la única manera de que no se generen conflictos es obteniendo SSL con EV (validación extendida), tu sabes al respecto?. Nuevamente te agradezco

      • Responder Vanessa Tejada 5 diciembre, 2016 at 9:18 am

        ¡Buenos días Milena! Sobre el “inconveniente” respecto a los SSL básicos, la verdad es que no tenía conocimientos de que se bloquearan por ciertos antivirus. He estado buscando información al respecto, y salvo algunas características que pueden dar error, como por ejemplo tener una versión antigua del sistema operativo o tener la fecha mal programada en el ordenador… (que no sé a ciencia cierta si esto es correcto) no he visto nada que haga referencia a lo que me comentas. Sólo se me ocurre que con la empresa que vayas a contratar el certificado SSL le consultes a ver si tienen información al respecto. No descartes el hecho de que eso del bloqueo no sea como piensas. Quizá es debido a otra incidencia que no tenía nada que ver con el AV.
        ¡Un saludo! 🙂

    Deja una respuesta