Guía de un SEO para mover de HTTP a HTTPS

A pesar de los numerosos beneficios de migrar a HTTPS, muchos SEOs y propietarios de sitios web no lo han hecho. Para los que se han sentido intimidados por el HTTPS, el columnista Patrick Stox (SEO especialista para IBM), creo el siguiente proceso.

Uno de los motivos más "novedosos" es que la mayoría de los navegadores solo soporta HTTP/2 sobre una conexión segura, lo que significa que se tiene que migrar el sitio web a HTTPS antes de migrar al uso del nuevo protocolo HTTP/2. Este tema será tratado en artículos posteriores.

Ya no debería ser una novedad que Google y muchos otros quieran una web para estar más seguro. Google lanó su campaña HTTPS everywhere, anunciaron un ranking HTTPS y han empezado a indexar mejor las páginas seguras versus aquellas páginas sin garantía (sin HTTPS). Google también publicó la guía "Asegurar su sitio web con HTTPS".

Parece que todo el mundo está tratando de hacer más fácil superar las barreras para implementar certificados digitales y HTTPS. Let's Encrypt ofrece certificados gratis, muchos CDN también ofrecen certificados gratutios y animan a la gente a hacer el cambio.
Sin embargo, con todo este empuje, el hecho es que menos del 0,1% de los sitios web son HTTPS.

¿Por qué pasar a HTTPS?

En su guía de migración, Google identifica varias razones para migrar a HTTPS un sitio web. Los datos enviados usando HTTPS se aseguran mediante el protocolo Transport Layer Security (TLS), que proporciona tres niveles fundamentales de protección:

• Confidencialidad. Se cifran los datos intercambiados para protegerse de los intrusos.
• Integridad de los datos. Los datos no pueden ser modificados o dañados durante la transferencia, sin ser detectado.
• Autenticación. Demuestra que los usuarios se comunican con el sitio real y protege contra de los ataques Man-in-the-Middle.

Hay otros beneficios, incluyendo el Google ranking, mencionado anteriormente.

La gente escucha que HTTPS es un protocolo seguro, y piensa que esto protege el sitio web. El hecho es que su sitio no está protegido, y todavía puede ser vulnerables a una o más de los siguientes ataques:

• Ataques de downgrade
• Vulnerabilidades SSL/TLS
• Heartbleed, POODLE, Logjam, etc.
• Hacks del sitio web, del servidor o de la red
• Vulnerabilidades de software
• Ataques de fuerza bruta
• Ataques DDoS

Realizar el cambio de HTTP a HTTPS

Es necesario tomar las medidas adecuadas para que el tráfico del sitio web no "sufra". A continuación un paso a paso de cómo hacerlo:

1. Comience con un servidor de prueba. Esto es importante porque permite hacer todo bien y probar en tiempo real.
2. Navegar y realizar un crawling del sitio web actual para conocer el estado actual del sitio. Este estado se usara con el propósitos de comparación contra el sitio corregido.
3. Leer la documentación sobre el servidor CDN para HTTPS.
4. Obtener un certificado de seguridad (de 2048 bits) e instalarlo en el servidor. Esto varia dependiendo del entorno, del tipo de servidor y de su configuración. Los procesos generalmente están bien documentados.
5. Utilizar direcciones relativas de las páginas que se alojan en el mismo dominio.
6. Actualizar las referencias del contenido. Esto se hacer con un "buscar y reemplazar" para actualizar todas las referencias y enlaces internos del sitio, utilizando HTTPS.
7. Evitar la etiqueta META "robots noindex" para que el contenido sea indexado apropiadamente.
8. Actualizar CMS, plantillas, frameworks, plugins/módulos/add-ons para asegurarse que ninguno contiene contenido inseguro o vulnerabilidades conocidas.
9. Configurar el CMS (si hay) de forma segura. Los frameworks  y CMS más importantes usualmente están documentados y existen guías de migración.
10. Realizar otro crawling del sitio para asegurarse de no perder enlaces y que todo funciona.
11. Asegurar que cualquier scripts externos sea invocado mediante HTTPS.
12. Forzar las redirecciones al sitio HTTPS. Esto depende del servidor y de su configuración, pero está bien documentado para Nginx, Apache y IIS.
13. Actualizar y rastrear redirecciones antiguas y corregirlas.
14. Actualizar el sitemaps y robots.txt y utilizar HTTPS en sus URLs.
15. Habilitar HSTS. Esto le indica al navegador que siempre use HTTPS. En este caso se utiliza una redirección 307.
16. Habilitar OCSP stapling. Esto permite que un servidor pueda comprobar si un certificado digital está revocado, en lugar de dejar que el navegador lo haga.
17. Añadir soporte para HTTP/2.
18. Añadir la versión HTTPS del sitio en todos los de motores de búsqueda y colocarlo para que sea el dominio por defecto.
19. Actualizar la lista de archivos a los cuales no se desee dar acceso (disavow y disallow).
20. GO LIVE!

La mayoría de los problemas comunes en las migraciones a HTTPS es el resultado de redirecciones mal implementados. Se pueden utilizar herramientas como Screaming Frog y Ayima Redirect Path para verificar la ruta de acceso a las URLs antiguas.

Google también ha actualizado Google Webmaster Tools para mejorar el manejo de HTTPS y el Analista de tendencias de Google John Mueller responde algunas preguntas sobre el proceso.

Fuente: Search Engine Land