Después de meses de charlas y especulaciones, Google finalmente ha comenzado a avanzar con su plan para proteger la web mediante la imposición de HTTPS. Aunque HTTPS anteriormente sólo había sido una preocupación para los sitios de comercio electrónico, esta última actualización afecta significativamente a más sitios. La gran mayoría de los sitios web tienen una página de contacto (o algo similar) que contiene un formulario de contacto o de suscripción. Esos formularios casi siempre contienen campos de entrada de texto contra los que Google advierte. La advertencia «NO SEGURO» ya ha aparecido en sitios inseguros no protegidos, que recogen información de pago o contraseñas.
Ahora que esta advertencia se mostrará para un porcentaje mucho mayor de la web, los webmasters no pueden postergar una aplicación HTTPS por más tiempo. Desafortunadamente, el consejo de Google a los webmasters para resolver este problema es tan vago e inútil como podrías imaginar.
Según nos indican desde PrositiosWeb.com, implementar HTTPS no es un proceso simple. El Washington Post publicó un blog en el que describía su migración HTTPS de 10 meses en 2015, y numerosos sitios (incluyendo Moz) reportaron haber experimentado grandes fluctuaciones de tráfico después de sus migraciones. El tiempo y los recursos necesarios para migrar a HTTPS no son una inversión menor; estamos hablando de una importante revisión del sitio web. A pesar de estos obstáculos, Google ha mostrado poca simpatía por la difícil situación de los webmasters.
El foco singular de Google en esta área es proporcionar una mejor experiencia de usuario a los visitantes de la web mejorando la seguridad de Internet. En principio, no hay nada de malo en esto, pero sin embargo, el desprecio evidente de Google por las complejidades que esto crea para los webmasters deja un sabor poco agradable
En este post, vamos a ver los pros y los contras de varios servicios HTTPS.
- Implementación tradicional de HTTPS
- Encriptación
- Cloudflare
Tabla de contenido
Certificado tradicional de HTTPS
Una implementación HTTPS tradicional comienza con la compra de un certificado SSL de un proveedor de confianza, como 1&1 o Comodo.
(* NOTA: Google acaba de anunciar esta semana que ya no confiará en los certificados emitidos por Symantec, que incluye las marcas Thawte, VeriSign, Equifax, GeoTrust y RapidSSL).
Después de eso, deberás verificar el certificado que compraste con la Autoridad de certificación a través de una solicitud de firma de certificado (CSR); esto sólo demuestra que diriges el sitio que dices estar llevando. En este momento, tu certificado SSL será validado, pero todavía tendrás que implementarlo en tu sitio.
Namecheap tiene un gran artículo sobre la instalación de certificados SSL en función de tu tipo de servidor. Una vez que el certificado SSL se ha instalado, tu sitio será protegido, y podrás tomar medidas adicionales para habilitar HSTS o forzar reescrituras HTTPS.
Pros de certificados HTTPS tradicionales
- Seguridad completa. Con un certificado SSL completamente validado instalado en tu servidor raíz, no existe la posibilidad de tener una conexión comprometida entre tu servidor y sitio, o entre tu sitio y el visitante del sitio.
- Personalizable. Una de las características de una implementación SSL completa es que puedes adquirir un certificado SSL Extended Validation (EV). Esto no sólo proporciona el candado verde en la barra del navegador, sino que también incluye el nombre de tu empresa, para proporcionar mayor seguridad a los visitantes de que tu sitio es seguro.
- Más fácil de implementar en múltiples subdominios. Si tienes varios subdominios, lo que probablemente necesites para tu implementación HTTPS es un certificado SSL independiente para cada subdominio o un certificado comodín para todas las variaciones de tu dominio. Un servicio SSL tradicional es a menudo la forma más fácil de configurar un certificado comodín si necesitas asegurar varias variaciones.
Contras de certificados HTTPS tradicionales
- Costoso. Aunque los certificados SSL básicos pueden estar disponibles para tan poco como 150€, dependiendo de la complejidad de tu sitio, estos costes pueden aumentar rápidamente, si necesitas más características avanzadas de seguridad, una mejor red CDN, etc. Esto no incluye el coste de tener desarrolladores para implementar el certificado SSL, que puede ser costoso también.
- Tiempo para implementar. Como se mencionó anteriormente, al Washington Post le llevó 10 meses completar su migración HTTPS. Otras compañías han informado plazos similares, especialmente para sitios web más grandes y más complejos. Es muy difícil saber de antemano qué tipo de problemas tendrá que resolver con la configuración de tu sitio, qué tipos de contenido mixto puede encontrar, etc., así que planea un montón de tiempo extra para resolver estos problemas si vas con una implementación estándar.
Certificado de seguridad Let’s Encript
Let’s Encrypt es un servicio gratuito sin fines de lucro proporcionado por Internet Security Research Group para promover la seguridad web mediante la entrega de certificados SSL gratuitos. Implementar Let’s Encrypt es muy similar a una implementación HTTPS tradicional. Aún es necesario validar la Autoridad de Certificado, instalar el certificado SSL en tu servidor, y luego habilitar HSTS o forzado de reescritura HTTPS. Sin embargo, la implementación de Let’s Encrypt es a menudo mucho más simple gracias a la ayuda de servicios como Certbot, que proporcionará el código de implementación necesario para tu configuración de software y servidor particular.
Pros de Let’s Encrypt
- Gratis. El coste es cero. Sin detalles ocultos.
- Facilidad de implementación. El SSL de Let’s Encrypt es a menudo mucho más sencillo de implementar en tu sitio que una implementación HTTPS tradicional. Aunque no es tan simple como Cloudflare (ver más abajo), esta facilidad de implementación puede solucionar muchos obstáculos técnicos para las personas que buscan instalar un certificado SSL.
- Seguridad completa. Al igual que con una implementación HTTPS tradicional, toda la conexión entre el visitante del sitio y el servidor del sitio es segura, sin dejar ninguna posibilidad de una conexión comprometida.
Contras de Let’s Encrypt
- Problemas de compatibilidad. Let’s Encrypt es conocido por ser incompatible con algunas plataformas, aunque estas plataformas con las que es incompatible es probable que no sea una fuente importante de tráfico a tu sitio (Blackberry, Nintendo 3DS, etc).
- Certificados de 90 días. Mientras que los certificados SSL tradicionales son a menudo válidos por un año o más, los certificados de Let’s Encrypt sólo son válidos por 90 días, y recomiendan la renovación cada 60 días. Olvidar renovar su certificado con esta frecuencia necesaria podría poner tu sitio en una situación comprometida.
- Personalización limitada. Let’s Encrypt sólo ofrecerá certificados de Validación de Dominio, lo que significa que no puede comprar un certificado para obtener ese certificado SSL EV. Además, Let’s Encrypt no ofrece actualmente certificados comodín para proteger todos sus subdominios, aunque han anunciado que se pondrá en marcha en enero de 2018.
Cloudflare
Cloudflare ofrece un servicio SSL flexible, que elimina casi toda la molestia de implementar un certificado SSL directamente en tu sitio. En su lugar, Cloudflare alojará una versión en caché de tu sitio en sus servidores y protegerá la conexión a los visitantes del sitio a través de su propia protección SSL. Puedes ver lo que esto parece en la imagen de abajo:
Al hacerlo, Cloudflare hace que este proceso sea lo más simple posible. Todo lo que tienes que hacer es actualizar tus registros DNS para apuntar a los servidores de nombres de Cloudflare. Y como con Let’s Encrypt, el proceso es totalmente gratuito.
Pros de Cloudflare
- Gratis. El coste es cero. Cloudflare ofrece funciones más avanzadas si actualiza a uno de sus planes de pago, pero el servicio SSL base es totalmente gratuito.
- Implementación más fácil. Como mencioné anteriormente, todo lo que se requiere para implementar el servicio SSL de Cloudflare es crear una cuenta y actualizar tus registros DNS. No hay ninguna actualización en la configuración del servidor y no hay tiempo dedicado a resolver problemas de configuración adicionales. Además, la implementación de HSTS y reescrituras HTTPS forzadas pueden realizarse directamente a través del dashboard de Cloudflare
- Optimizaciones de PageSpeed. Además de la seguridad SSL, la implementación HTTPS de Cloudflare también proporciona varios servicios adicionales que pueden preservar las puntuaciones de PageSpeed
y los tiempos de carga de la página. Mientras que una implementación HTTPS tradicional (o Let’s Encrypt) puede tener consecuencias negativas para los tiempos de carga de páginas de tu sitio, Cloudflare ofrece la posibilidad de auto-minimizar JS, CSS y HTML; Páginas móviles aceleradas (AMP); y un cargador Rocket para tiempos de carga JS más rápidos. Todas estas funciones (junto con Cloudflare que sirve una versión en caché de tu sitio a los visitantes) ayudarán a evitar cualquier aumento en los tiempos de carga de la página en tu sitio.
Contras de Cloudflare
- Encriptación incompleta. Como se puede ver en la imagen anterior, Cloudflare cifra la conexión entre el visitante y la versión en caché de su sitio en Cloudflare, pero no cifra la conexión entre tu sitio y su servidor. Aunque esto significa que los visitantes del sitio pueden sentirse seguros mientras visitan tu sitio, todavía existe la posibilidad de que su conexión de servidor se vea comprometida. Aunque puede actualizar a una implementación SSL completa que habilite esta configuración, no forma parte del servicio gratuito.
- Preocupaciones de seguridad. Cloudflare fue hackeado a principios de este año, exponiendo mucha información sensible de usuarios. Aunque parece que han resuelto y reforzado la seguridad desde entonces, todavía es importante estar al tanto de este desarrollo.
- Falta de personalización. Al igual que con Let’s Encrypt, el servicio gratuito de SSL de Cloudflare no proporciona ningún tipo de SSL de barra verde EV para su sitio. Aunque puede actualizar a SSL completo que si que proporciona esta funcionalidad, pero el servicio ya no es gratuito.
¿Qué tipo de implementación HTTPS es mejor?
Realmente depende de su sitio. Los sitios más pequeños que sólo necesitan seguridad suficiente para que Google no castigue el sitio en Chrome puede utilizar Cloudflare. Lo mismo ocurre con las agencias que proporcionan recomendaciones de HTTPS a clientes en los que no tiene control de desarrollo del sitio. Por otro lado, los principales sitios de comercio electrónico o de publicación van a querer una implementación HTTPS totalmente personalizada a través de medios tradicionales (o mediante el certificado de comodín de Let’s Encrypt). En última instancia, tendrás que decidir qué implementación tiene más sentido para tu situación.
