¿Qué es HTTPS Everywhere?
HTTPS Everywhere (literalmente, HTTPS en todas partes) es una medida de seguridad recomendada para sitios web que protege toda la experiencia del usuario frente a las amenazas en línea. El término se refiere simplemente al uso de HTTPS —el protocolo web seguro habilitado con TLS/SSL— en todo el sitio web y no solo selectivamente. Esto significa que todas las páginas del sitio están protegidas mediante cifrado TLS/SSL y no se muestran como no seguras en los navegadores web.
HTTPS autentica la identidad, la conexión y la integridad de los datos del sitio web, y cifra toda la información que se intercambia entre el sitio web y el usuario (incluidas las cookies), lo que impide que alguien sin autorización vea, manipule o utilice los datos. Mantener la conexión protegida durante toda la sesión de navegación es vital para garantizar que los usuarios estén a salvo de sofisticados ataques de suplantación de identidad, de inyección y de interposición «Man-in-the-Middle».
Los navegadores y el impulso del HTTPS
Ya no se considera aceptable proteger solo una parte de las conexiones de los usuarios. Cuando el HTTPS se utiliza de forma intermitente en un sitio web, solo están protegidas por el cifrado y la seguridad de TLS/SSL algunas de las páginas; el resto son vulnerables al robo de datos, a la inyección o modificación de contenidos, y a la invasión de la privacidad que supone la vigilancia en Internet. La implementación intermitente de TLS/SSL no solo incumple las expectativas de seguridad y los derechos de los usuarios, sino que tampoco satisface las expectativas de los navegadores y las plataformas de los sistemas operativos.
Como parte de un proyecto plurianual para fomentar la adopción de HTTPS Everywhere, los principales navegadores, entre los que se encuentran Google, Mozilla y Apple, han utilizado etiquetas de advertencia negativas en aquellos sitios webs que solo utilizaban HTTP para desincentivar su uso y reforzar positivamente el HTTPS seguro.
Por qué es importante proteger un sitio web con HTTPS Everywhere
La confianza es la piedra angular de la economía en Internet. Para ganar esa confianza, ya no basta con proteger las páginas de inicio de sesión y de pago, sino que hace falta un sistema de seguridad integral que proteja todas las páginas que visitan los usuarios. Los nuevos estándares de Internet y de los navegadores web también favorecen los sitios web que utilizan HTTPS y penalizan los sitios inseguros que siguen utilizando HTTP. Por ejemplo, desde 2014 Google posiciona mejor las páginas servidas a través de HTTPS en los resultados de las búsquedas. En su momento, mostraba además la etiqueta «Seguro» en la barra de direcciones de las páginas HTTPS. En julio de 2018, Google Chrome empezó a mostrar etiquetas de advertencia en las páginas que solo utilizaban HTTP.
Chrome fue el primer navegador importante en mostrar advertencias a los usuarios en todas las páginas HTTP, y otros navegadores le siguieron a medida que Internet avanzaba hacia el estándar «seguro de forma predeterminada». Además, hoy en día hay muchas tecnologías web y muchas funciones de navegador que requieren HTTPS. Esto incluye HTTP/2, una mejora fundamental del protocolo de comunicación web que aumenta enormemente el rendimiento de los sitios web, así como funciones de navegador como la geolocalización, las notificaciones, los Service Workers, el estándar AMP de Google para el acceso a las páginas desde dispositivos móviles, nuevos métodos de compresión, etc. En definitiva, sin HTTPS un sitio web quedará anclado en el pasado.
Los 3 mejores consejos para adoptar HTTPS Everywhere
1. Asegúrese de que los servicios de terceros que utiliza (por ejemplo, los servicios de publicidad o de análisis de visitas que se ejecuten en su sitio) estén disponibles a través de HTTPS para evitar problemas de «contenidos mezclados».
2. Si algunas partes de su sitio web se ejecutan en servidores o dominios diferentes, adquiera certificados TLS/SSL adicionales.
3. Redirija todas sus páginas web a las nuevas páginas HTTPS equivalentes y actualice sus herramientas de administración de Google. Cambiar a HTTPS Everywhere tiene consecuencias para el SEO. Google y otros motores de búsqueda lo consideran un traslado de sitio web, similar a un cambio de dominio.