A finales de Enero de este mes de 2017, se lanzará la nueva versión 56 del navegador de Google Chrome. Esta versión implicará cambios sustanciales e importantes en la manera de mostrar los sitios web que no se encuentran usando un certificado HTTPS, también conocido como SSL. Este cambio puede confundir a los visitantes de que accedan a determinadas web, puesto que todo sitio web que no funcione sobre HTTPs, mostrará un mensaje al navegador de Google Chrome, en la barra de navegación, indicando Not Secure.

Esto es el primer paso de una serie de  cambios que va a experimentar la web en los sucesivos años. Lo que se plantea es deshacerse del protocolo HTTP que forma parte por decir de la web insegura 1.0, hacia la nueva web segura.

En un próximo lanzamiento, Google Chrome etiquetará todas las páginas que no son de HTTPs bajo unas determinadas condiciones en modo incógnito como «No seguro» porque los usuarios que usan este modo tienen una mayor expectativa de privacidad.

Estas condiciones son:

• Que la página use o solicite contraseñas de acceso, y digo la página del conjunto de páginas.
• Que en una determinada página se pidan datos de pago como cuentas o tarjetas de crédito.

Con estos datos se mostrará en la barra de direcciones “No seguro”. No será un mensaje agresivo pero se puede apreciar al lado de la barra de direcciones.

Si usas por ejemplo un CMS como WordPress o Joomla, la página de login mostrará ese texto.

Como podrás apreciar, esto puede echar para atrás a usuarios que se den de alta en el sitio web, puesto que pueden pensar que se encuentra comprometido.

Suponiendo que Chrome 56 salga al mercado el 31 de enero, tendremos poca maniobra para que se ejecute en SSL al 100% y  evitar que aparezca el nuevo mensaje «No seguro» en su página de inicio de sesión.

Mediante el protocolo https y un certificado SLL instalado (más adelante os explico cómo obtener uno), podemos añadir una capa de protección con el fin de evitar que hackers obtengan información sensible.

¿Cómo configurar certificados SSL ya instalados en WordPress?

1. Accede a tu sitio WordPress como administrador.
2. Ve a Ajustes, Generales.
3. En el campo Dirección de WordPress (URL): cambia http:// por https://
4. En el campo Dirección del sitio (URL): cambia http:// por https://

También puedes realizar el cambio modificando el archivo wp-config.php de tu instalación añadiendo los defines:

define(‘FORCE_SSL_LOGIN’, true);

define(‘FORCE_SSL_ADMIN’, true);

Para finalizar podrías realizar una redirección de http:// a https:// forzando todas las páginas de tu dominio a cargar usando dicho protocolo seguro desde .htaccess colocando el siguiente código:

RewriteEngine OnRewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://tu_dominio.com/$1 [R,L]

Por otro lado existen plugins como WordPress HTTPS (SSL) para gestionar SSL en WordPress,

Otros consejos …

Redireccionar de HTTP a HTTPS

Cabe decir que es necesario disponer de un Certificado SSL instalado en el Hosting para poder hacer uso de este protocolo más seguro.

# Enviar trafico HTTP a HTTPS

RewriteEngine OnRewriteCond %{SERVER_PORT} 80

RewriteRule ^(.*)$ https://midominio.es/$1 [R,L]

Redireccionar de HTTPS a HTTP

Puede darse el caso que aún teniendo un Certificado SSL instalado (Comodo, Let’s Encrypt, etc) quieras forzar el tráfico encriptado SSL para que se sirva con HTTP por diversas razones (pruebas con plugins conflictivos, configuración de una pasarela pago que no trabaja bien por HTPPS, etc), en cuyo caso códigos como el siguiente te permitirán pasar de HTTPS a HTTP sin desinstalar el Certificado SSL de tu Hosting.

# Enviar trafico HTTPS a HTTP
RewriteCond %{HTTP:X-Forwarded-Proto} =https
RewriteRule ^(.*)$ http://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Este código debes colocarlo por encima de cualquier otro código de redireccionamiento, al principio del archivo .htaccess.

Sobre Certificados gratuitos

Si deseas puedes disponer de certificados SSL Let´s Encrypt gratuitos.

Ya no vamos a tener que pagar por un certificado SSL para ofrecer nuestra web a través de HTTPS pues ha nacido una entidad certificadora gratuita, avalada por los grandes de la industria, para que podamos ofrecer más seguridad en la navegación por nuestra web.

Let’s Encrypt es un esfuerzo, impulsado por la Fundación Linux, para crear una entidad certificadora que ofrezca certificados SSL abiertos, libres, gratuitos y automáticos.

Algunas características de Let’s Encrypt que te encantarán son las siguientes:

• Gratuitos
• Fácil instalación.
• No hace falta ningún email de confirmación.
• No hace falta tener IP dedicadas, que también supondrían un coste adicional.
• Todos los principales navegadores los reconocen.

Si dispones de panes de administración tipo CPanel o Plesk puedes usar plugins que simplifican la instalación:

https://documentation.cpanel.net/display/CKB/The+Let’s+Encrypt+Plugin

En caso contrario, puedes instalarlo pero siempre desde consola con control del servidor.

Relacionado con el SEO

Google premia los sitios HTTPs, pero si hemos pasado de un sitio no seguro a seguro, es absolutamente imprescindible “decirle” lo que ha pasado, que nuestra web ya es segura y se llega por HTTPS.

Consejo personal: si empiezas un proyecto web, asegúrate que se apoye sobre SSL.

Para ello debemos ir a la Search Console de Google, antes conocida como Herramientas para Webmasters, y añadir la propiedad, poniendo nuestro dominio como https.

Si, además, quieres seguir realizando seguimiento de tráfico y campañas mediante Google Analytics tendrás que pasarte por la administración del servicio y cambiar la dirección de la “propiedad” a https, sencillo desde el desplegable donde está el dominio.

También es probable que al ver los detalles de seguridad de tu sitio en la consola de Chrome u otros navegadores veas algo llamado Mixed content que impide que los analizadores de SSL certifiquen tu sitio como totalmente seguro.

Esto es debido a que en tu sitio tendrás muchos enlaces a páginas y contenido de tu sitio (imágenes, etc.) que apuntan a direcciones http en vez de https. Por ejemplo, en entradas, páginas o incluso widgets donde haya imágenes o urls apuntando a la versión http.

Finalizando entre HTTP y HTTP2

HTTP2  es el nuevo protocolo que va a sustituir a HTTP/1.1. Es interesante ver la relación con los certificados SSL para ofrecer HTTPS, pues HTTP2 requiere de HTTPS, necesita un certificado SSL, así que si instalas un certificado SSL ya estás preparado para la siguiente generación de la web, de Internet.

HTTP 2 introduce innumerables mejoras como el uso de una única conexión, la compresión de cabeceras o el servicio ‘server push’.

Inicialmente surgió el protocolo SPDY de google para implementar HTTP cuyo objetivo era reducir la latencia. Este nuevo protocolo logró mejorar hasta en un 60 por ciento la velocidad de carga de las páginas web estándar y hasta en un 55 por ciento las conexiones protegidas con cifrado 2 3 SSL.

A principios del año 2012 basándose en el proyecto SPDY, el IETF (Internet Engineering Task Force) creó un equipo para el desarrollo de un nuevo protocolo llamado HTTP 2.0 o HTTP/2. El borrador inicial de HTTP/2 se publicó en noviembre de 2012 pero no es hasta el año 2015 cuando los navegadores comienzan a utilizarlo como soporte.

SPDY se abandona en favor de HTTP 2.0 4 debido a que la mayoría de ventajas que aporta SPDY también se encuentran en HTTP 2.0.

HTTP/2 es más rápido que SPDY, en parte debido a que sus mensajes de solicitud son más pequeños gracias a la compresión de cabeceras HPACK.