El SSL manda, pero ¿sabes por qué tu sitio web tiene que ser seguro?

Que en Roi Scroll somos fans absolutos de los sitios web seguros es algo que nuestros clientes lo tienen claro… incluso más de uno podría decir que han «sufrido» nuestra constante adoración por los certificados SSL.

Parece que fue ayer cuando empezamos nuestra particular cruzada (especialmente en los ecommerce) en boga de un internet seguro y sin darnos cuenta ya han pasado casi dos años.

¡Dos años! desde que en 2015 empezamos a instalar los certificados SSL en los sitios web de nuestros clientes y forzando el acceso a través de HTTPS.

A lo largo de estos años en más de una ocasión tuvimos que enfrentarnos a los falsos mitos del HTTPS, especialmente por parte de otros compañeros del sector… a saber:

  • La web carga más lenta con SSL.
  • Instalar certificados SSL en las webs es complejo.
  • Que penaliza en SEO (OMG!)
  • etc.

Y de repente… el 8 de Septiembre de 2016, Google nos alegraba los oídos en su blog con la noticia sobre avanzar hacia una web más segura, que anticipaba que desde el 31 de Enero de 2017 Chrome marcaría los sitios web que no funcionan bajo SSL como sitios no seguros.

¡Pura poesía! Y por si el argumento «lo dice Google» no tuviese suficiente peso, llega Firefox y dice «Hey chicos, que yo también lo voy a hacer» explicándolo maravillosamente bien en el blog de nuestro zorro rojo favorito

Y así el mundo se dividió entre verdes y los demás:

Sin SSL: Ejemplo de sitio web sin proteger de forma segura
La vida es tan triste sin SSL
Con SSL: Ejemplo de sitio web protegido de forma segura
Todo se ve con otro color gracias al SSL

Ahora bien, ¿el motivo real es «porque Google lo dice»? Si estás pensando que no, tú eres bueno chico 😉 Vamos a repasar algunos de los puntos importantes respecto a los sitios web seguros.

Un acceso HTTPS garantiza la privacidad de los datos

Todos los días nos conectamos al correo electrónico, a las redes sociales y demás medios de comunicación online. Al principio, estos tipos de servicios no utilizaban el protocolo web seguro, por lo que cuando te conectabas con tu usuario y contraseña, estos datos se incorporaban a la petición que hacías al servicio de turno… ¡En texto plano! «Cualquiera» puede interceptar la comunicación y hacerse con ese usuario y contraseña. Afortunadamente, ya, prácticamente, todos estos servicios utilizan SSL.

Gracias a esta forma segura de comunicación, toda información compartida entre el navegador web y el servidor del sitio web (por ejemplo Facebook), y viceversa, está encriptada, por lo que puedes estar tranquilo en ese aspecto… «sólo» el destino y el origen saben qué se está comunicando.

Esto es especialmente crítico en todas las tiendas online. Es sorprendente el número de ecommerce españoles que carecen de conexión segura, incluyo muchos sólo la tienen para el momento del pago por la TPV (justo el menos necesario, porque ya la TPV tiene su propio sistema de cifrado, aunque siempre es bueno usar también HTTPS claro).

O sea, tú como comprador del ecommerce, estás enviando todos tus datos personales (dirección de facturación, nombre, correo, DNI, etc) de forma libre por la red… incluso muchas veces el propio ecommerce, por detrás, se comunica con un ERP… en texto plano por supuesto… ahora ya empieza a preocupar un poco más que los sitios no tengan SSL ¿verdad? Y sobre temas de LOPD… vamos a dejar ese melón cerrado para otro día.

Puede que ahora mismo estés pensando «bueno, en un ecommerce vale, pero yo ‘sólo’ tengo un blog…»

En los blogs también importa proteger la comunicación: SSL rules

En los blogs nos gusta captar «leads» a través de direcciones de correo electrónico, formularios de recopilación de información (dónde hay datos personales) … incluso nos conectamos con nuestro usuario y contraseña para gestionarlo. Venga… ¿en cuantos sitios usas esa contraseña? es más… ¿en cuantos importantes? Seguro que en más de uno.

En serio, protege tu privacidad.

A estas alturas, igual lo piensas: «Ya claro… protege tu privacidad, pero no hay blog sin Google Analytics.» Por supuesto, la analítica es pieza fundamental de toda estrategia online. Es más, si tu sitio web, blog, ecommerce no tiene Google Analytics (o servicios homólogos), tienes dos opciones, tú decides cual escoges:

  1. Contacta con Roi Scroll  para que solucionemos el problema.
  2. Cierra tu web, blog, ecommerce… total, es como si ya lo tuvieras cerrado… en serio.

¡Al lío, que me disperso! Claro que tenemos Google Analytics, pero es una decisión que tomamos todos, de manera informada y, por supuesto, Google Analytics funciona bajo HTTPS aunque tu sitio no lo haga, por lo que la información que se transmita entre un sitio y Google, está protegida, cifrada y asegurada.

No lo dudes, protege tu sitio web con el protocolo HTTPS, ya estás tardando.

Todo es bueno con HTTPS, hasta tu posicionamiento web

¿Todavía no estás convencido? Otro motivo de peso: Allá por 2014 Google empezó «tímidamente» a posicionar mejor los sitios web seguros, algo que se aceleró en los meses posteriores.

Un sitio web seguro posiciona mejor que uno no seguro. Ahora sí ¿no?… si es bueno para el SEO ¿por qué no? Exacto.

Con el certificado SSL en tu web estarás preparado para HTTP2

Lo siento, no me puedo resistir. ¿Sabes lo que es HTTP2? HTTP2 es la versión 2 del estándar HTTP, esa minucia de estándar que nos permite escribir en el navegador http://example.com y que «mágicamente» cargue una página web.

En github tenemos la página oficial del grupo que desarrolla este protocolo de comunicación segura

Puede que aún tarde en generalizarse y no se extienda tan rápido como sería de desear, pero está más cerca de lo que piensas.

Como toda versión 2, es mucho mejor, más rápido, más seguro… ¿seguro?

Sí, porque oh sorpresa, HTTP2 exige protocolo seguro. Así que pon SSL en tu web y «de rebote» cuando llegue HTTP2 estás listo para dar el salto.

Espero que ya estés convencido, aunque igual eres de los escépticos y estás pensando en esa cosas supuestamente malas de los accesos HTTPS… ¿no habíamos quedado en que eran falsos mitos?

Desmontando la historia

La web carga más lenta con SSL

Seamos sinceros: Este falso mito, tiene un fondo de verdad.

La comunicación por SSL requiere más esfuerzo que la comunicación abierta. Obvio, tiene que encriptar y desencriptar los datos.

Esto era un problema hace años, cuando los servidores web que lo petaban eran los dual core con 2GB de RAM…. vamos, el siglo pasado.

Vivimos en la épica de los octa-core, deca-core… de la infraestructura cloud. La RAM de los servidores decentes arrancan con 16GB aunque lo normal son 32 o 64.

¿De verdad crees que en la época en la que eres capaz de reproducir en tu televisor películas en streaming en 4K sin tener latencia, una comunicación SSL es más lenta?

Venga… ¿el navegador de google es lento? Oh sorpresa, si va por HTTPS.

Instalar certificados SSL en las webs es complejo: Falso!

Instalar un certificado SSL es extremadamente sencillo. Existen soluciones de todo tipo para que sea «coser y cantar».

Cuando alguien esgrima este argumento, lo que realmente quiere decir es que como la web dónde se va a instalar está realizada de manera… digamos incorrecta, le va a tocar cambiar el chorretón de rutas absolutas que tienen el HTTP://

La culpa no es del SSL, la culpa es del desarrollo.

Que penaliza en SEO: Falso!

Para qué dar argumentos, vayamos a la fuente. Google te dice que lo tengas en mente a la hora de realizar el mantenimiento de tu sitio… y lo dejan claro:

Proteger un sitio web con el protocolo HTTPS

Este falso mito se sustenta en que si tienes un sitio web activo, indexado y no haces las cosas bien, la puedes liar con gusto. Trasladar un sitio web no seguro a un entorno seguro conlleva una serie de pasos, que no son complicados, pero sí extremadamente estrictos. O lo haces bien o la cagas.

En casa del herrero… cuchillo de palo

Supongamos que ya eres un defensor acérrimo de los sitios web seguros, te hemos convencido. Alzas la vista… ¿este blog no es un sitio web seguro?

Sobra decir que nuestro blog estará bajo HTTPS más pronto que tarde. ¿por qué todavía no?

En Roi Scroll, y creo que development en particular, somos propensos a probar y jugar con los recursos propios. Desde el plano de la analítica web nos interesa tener una temporadita de histórico más sin SSL para luego hacer nuestros análisis internos, extraer conclusiones. ¿Detalles? Lo siento, secreto.

En resumen: SSL for victory and glory.


Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *