¿Debo migrar mi web a HTTPS?

Área: Transformación Digital

Google es de nuevo el gran impulsor de un cambio masivo, que con toda probabilidad hará que millones de páginas adopten HTTPS en los próximos meses y años. Analizamos la situación que se plantea a raíz de la progresiva dureza del posicionamiento de Google en este sentido.

Paralelismos con el caso del diseño para móviles

En 2014, Google anunció que a partir de la siguiente primavera  la adaptación a navegación desde móviles pasaría a ser un «factor de valoración» de una web en los resultados de búsqueda. Muchas agencias rápidamente explotaron ese anuncio, lanzando mensajes y campañas según los cuales la web que no estuviera adaptada a móviles prácticamente desaparecería de los resultados de búsqueda.

Y lo cierto es que la adaptación a móviles era una cuestión muy interesante para las empresas dado que el tráfico móvil es ya superior al de dispositivos de sobremesa. Pero de ahí a que fuera imprescindible  hacerlo inmediatamente para evitar el desastre había un mundo, como se ha demostrado posteriormente. Las empresas que han aprovechado para adaptar su web para móviles siguiendo el ciclo normal de renovación de su presencia online son las que han acertado.

Pues bien, ahora sucede algo similar: hace días que vienen saltando diferentes avisos desde Google avisando del potenciales problemas para las páginas que no estén bajo protocolo HTTPS. Y como sucedía con las adaptaciones a móviles, veremos a continuación que es interesante estar bajo HTTPS, pero que en la mayoría de casos no será dramático no estarlo.

Qué significa estar bajo HTTPS

Telegráficamente, dado que este artículo no tiene intención técnica, significa que las comunicaciones entre una web y los usuarios de la misma están encriptadas para evitar que puedan ser leidas por alguien que pudiera interceptarlas. Usualmente HTTPS va unido a una certificación: un agente certificador reconocido es quien garantiza que efectivamente hay esa encriptación, e informa al usuario de quién es la organización que hay detrás del sitio web (o al menos, de quién dijo ser cuando compró el certificado, porque la verdad es que no tienes que con la mayoría de certificados no tienes que aportar ninguna prueba).

Cuándo es importante estar bajo HTTPS.

Siempre que vamos a intercambiar información sensible. Por supuestísimo, en caso de que vayamos a pedir al usuario datos de su tarjeta de crédito o cualquier otro dato sujeto a especial protección (religión, salud, …). Pero también es conveniente cuando vayamos a pedirle información en principio más inocua pero con valor potencial: su nombre, teléfono, email…

Si es tan conveniente, por qué no estamos todos ya bajo HTTPS?

  • Porque supone costes adicionales (ahora ya menores, pero hace algún tiempo notablemente altos)
  • Porque afecta un poquito al rendimiento (velocidad) de la web
  • Porque afecta mucho al SEO (posicionamiento en buscadores) si queremos migrar a HTTPS y antes no lo estábamos.

Pero sobre todo, porque realmente en el 95% de los casos no es verdaderamente necesario desde un punto de vista práctico. No nos engañemos, Google no lo hace por nuestra seguridad, lo hace porque con ello va a generar mucho negocio colateral para él mismo y para sus socios comerciales.

Dónde estamos, y cómo hemos llegado hasta aquí

  • En 2014, Google empezó a insinuar que https podría estar entre los criterios de posicionamiento en el futuro
  • En 2016, confirmó que lo estaría de forma inminente
  • En septiembre de 2016, anunció que Chrome en su versión 56 avisaría de que un sitio web no es seguro cuando el usuario fuera a meter datos como contraseñas o datos de tarjeta

Lo primero, analicemos qué dice exactamente: “Chrome (versión 56 y posterior) marcará como no seguras aquellas páginas que recopilen contraseñas o información sobre tarjetas de crédito, a menos que se publiquen a través del protocolo HTTPS

Es decir:

  • Dice que avisará de que no son seguras (con un mensaje junto a la URL en la barra de direcciones), pero seguirán funcionando normalmente. No va a impedir el acceso ni nada parecido. Tampoco va a salir una pantalla roja diciendo que ese sitio es peligroso, ni nada similar.
  • Afecta de momento sólo a páginas que contengan campos de contraseña o tarjeta de crédito, pero no a cualquier formulario. En particular, no afectará por tanto a un formulario de pedido que es previo a un pago online en TPV, aunque pidamos datos al usuario. Aunque sí podría afectar cuando el cliente va a crear su nueva cuenta de usuario, ya que en ese momento normalmente se le requiere un campo contraseña.
  • Por supuesto, no afectará ni mostrará mensaje raro alguno en la página de inicio de esa web, ni en su ficha de producto… solamente y en los casos citados en aquellas páginas interiores que pidan ese tipo de datos antes indicados.

Ahora bien, a fecha de hoy (25/01/2017) estamos probando Chrome 56 y al menos a nosotros no nos sale el aviso de página insegura incluso si hay campos de los que potencialmente deberían disparar tal aviso. Sí que nos marca seguras las HTTPS, pero NO nos marca inseguras las que no lo son salvo que entremos al botón de información:

leyendas_chrome_https

Qué debemos hacer si aún no estamos bajo HTTPS

  • Si tenemos previsto renovar próximamente nuestra web, será el momento de hacerlo bajo HTTPS. Y para evitar quedarnos cortos si Google sigue endureciendo su postura al respecto, recomendaríamos hacer toda la web bajo https. Pero lo haremos siendo conscientes de que es un cambio importante, con un coste significativo si queremos implementar todas las medidas necesarias para salvaguardar todo el posicionamiento anterior. Porque resulta que para Google, la web http://www.miweb.com y la web https://www.miweb.com no son la misma. Y tampoco lo son para las redes sociales, perderemos todos nuestros “likes” a la página web que teníamos hasta ahora.
  • Si no tenemos previsto renovar próximamente nuestra web, lo que deberemos hacer dependerá de nuestro caso concreto:
    • No recopilamos contraseñas ni pedimos datos de tarjeta: calma, no hacer nada de momento, y esperar acontecimientos.
    • Pedimos contraseñas pero no datos de tarjeta: normalmente se trata de acceso a aplicaciones para clientes, seguimientos de pedidos y similares: en principio no debería afectarnos mucho, estaremos vigilantes pero sin que nos quite el sueño. Más preocupante será si el aviso salta en formularios de contacto o de pedido, pero en principio si están bien etiquetados, y a partir de lo que Google ha dicho hasta ahora, no debería afectarnos. Vigilar especialmente el caso de la creación de cuentas previa al checkout, porque ahí sí podría llegar a afectarnos (aunque como decíamos antes, a día de hoy Google Chrome Beta 56 no lo está haciendo)
    • Pedimos datos de tarjeta: si pides datos de tarjeta y no estabas ya bajo HTTPS es que eres un inconsciente, estás en riesgo tú y lo están tus clientes, y eso sin necesidad de que Google haya armado todo este revuelo. Corre a informarte y securiza tu web!
0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*