{"id":9327,"date":"2017-01-23T22:54:57","date_gmt":"2017-01-23T21:54:57","guid":{"rendered":"http:\/\/www.palentino.es\/blog\/?p=9327"},"modified":"2017-01-23T23:07:48","modified_gmt":"2017-01-23T22:07:48","slug":"nuevos-cambios-en-google-chrome-sobre-el-ssl-certificado-seo-y-algo-de-http2","status":"publish","type":"post","link":"https:\/\/www.palentino.es\/blog\/nuevos-cambios-en-google-chrome-sobre-el-ssl-certificado-seo-y-algo-de-http2\/","title":{"rendered":"Nuevos cambios en Google Chrome sobre el SSL. Certificado, SEO y algo de HTTP2"},"content":{"rendered":"<p>A finales de<strong> Enero de este mes de 2017<\/strong>, se lanzar\u00e1 la nueva versi\u00f3n <strong>56<\/strong> del navegador de Google Chrome. Esta versi\u00f3n implicar\u00e1 cambios sustanciales e importantes en la manera de mostrar los sitios web que no se encuentran usando un certificado HTTPS, tambi\u00e9n conocido como SSL. Este cambio puede confundir a los visitantes de que accedan a determinadas web, puesto que todo sitio web que no funcione sobre HTTPs, mostrar\u00e1 un mensaje al navegador de Google Chrome, en la barra de navegaci\u00f3n, indicando<strong> Not Secure<\/strong>.<\/p>\n<p>Esto es el primer paso de una serie de \u00a0cambios que va a experimentar la web en los sucesivos a\u00f1os. Lo que se plantea es deshacerse del protocolo HTTP que forma parte por decir de la web insegura 1.0, hacia la nueva web segura.<\/p>\n<p>En un pr\u00f3ximo lanzamiento, Google Chrome etiquetar\u00e1 todas las p\u00e1ginas que no son de HTTPs bajo unas determinadas condiciones en modo inc\u00f3gnito como &#8220;No seguro&#8221; porque los usuarios que usan este modo tienen una mayor expectativa de privacidad.<\/p>\n<p><!--more--><\/p>\n<p><strong>Estas condiciones son:<\/strong><\/p>\n<ul>\n<li>Que la p\u00e1gina use o solicite contrase\u00f1as de acceso, y digo la p\u00e1gina del conjunto de p\u00e1ginas.<\/li>\n<li>Que en una determinada p\u00e1gina se pidan datos de pago como cuentas o tarjetas de cr\u00e9dito.<\/li>\n<\/ul>\n<p>Con estos datos se mostrar\u00e1 en la barra de direcciones \u201c<strong>No seguro<\/strong>\u201d. No ser\u00e1 un mensaje agresivo pero se puede apreciar al lado de la barra de direcciones.<\/p>\n<p>Si usas por ejemplo un CMS como WordPress o Joomla, la p\u00e1gina de login mostrar\u00e1 ese texto.<\/p>\n<p>Como podr\u00e1s apreciar, esto puede echar para atr\u00e1s a usuarios que se den de alta en el sitio web, puesto que pueden pensar que se encuentra comprometido.<\/p>\n<p>Suponiendo que<strong> Chrome 56<\/strong> salga al mercado el 31 de enero, tendremos poca maniobra para que se ejecute en SSL al 100% y \u00a0evitar que aparezca el nuevo mensaje &#8220;No seguro&#8221; en su p\u00e1gina de inicio de sesi\u00f3n.<\/p>\n<p>Mediante <strong>el protocolo https y un certificado SLL instalado (<\/strong>m\u00e1s adelante os explico c\u00f3mo obtener uno<strong>)<\/strong>, podemos a\u00f1adir una capa de protecci\u00f3n con el fin de evitar que hackers obtengan informaci\u00f3n sensible.<\/p>\n<p><strong>\u00bfC\u00f3mo configurar certificados SSL ya instalados en WordPress?<\/strong><\/p>\n<ol>\n<li>Accede a tu sitio WordPress como administrador.<\/li>\n<li>Ve a\u00a0Ajustes,\u00a0Generales.<\/li>\n<li>En el campo\u00a0Direcci\u00f3n de WordPress (URL):\u00a0cambia\u00a0http:\/\/\u00a0por\u00a0https:\/\/<\/li>\n<li>En el campo\u00a0Direcci\u00f3n del sitio (URL):\u00a0cambia\u00a0http:\/\/\u00a0por\u00a0https:\/\/<\/li>\n<\/ol>\n<p>Tambi\u00e9n puedes realizar el cambio modificando el archivo\u00a0wp-config.php\u00a0de tu instalaci\u00f3n a\u00f1adiendo los defines:<\/p>\n<p><strong>define(&#8216;FORCE_SSL_LOGIN&#8217;, true);<\/strong><\/p>\n<p><strong>define(&#8216;FORCE_SSL_ADMIN&#8217;, true);<\/strong><\/p>\n<p>Para finalizar podr\u00edas realizar una redirecci\u00f3n de http:\/\/ a\u00a0https:\/\/ forzando todas las p\u00e1ginas de tu dominio a cargar usando dicho protocolo seguro desde\u00a0<strong>.htaccess<\/strong>\u00a0colocando el siguiente c\u00f3digo:<\/p>\n<p>RewriteEngine OnRewriteCond %{SERVER_PORT} 80<br \/>\nRewriteRule ^(.*)$ https:\/\/tu_dominio.com\/$1 [R,L]<\/p>\n<p>Por otro lado existen plugins como\u00a0<strong>WordPress HTTPS (SSL)<\/strong>\u00a0para gestionar SSL en WordPress,<\/p>\n<p>Otros consejos &#8230;<\/p>\n<h3>Redireccionar de HTTP a HTTPS<\/h3>\n<p>Cabe decir que es necesario disponer de un Certificado SSL instalado en el Hosting para poder hacer uso de este protocolo m\u00e1s seguro.<\/p>\n<p># Enviar trafico HTTP a HTTPS<\/p>\n<p>RewriteEngine OnRewriteCond %{SERVER_PORT} 80<\/p>\n<p>RewriteRule ^(.*)$ https:\/\/midominio.es\/$1 [R,L]<\/p>\n<p>&nbsp;<\/p>\n<h3>Redireccionar de HTTPS a HTTP<\/h3>\n<p>Puede darse el caso que a\u00fan teniendo un Certificado SSL instalado (Comodo, Let&#8217;s Encrypt, etc) quieras forzar el tr\u00e1fico encriptado SSL para que se sirva con HTTP por diversas razones (pruebas con plugins conflictivos, configuraci\u00f3n de una pasarela pago que no trabaja bien por HTPPS, etc), en cuyo caso c\u00f3digos como el siguiente te permitir\u00e1n pasar de HTTPS a HTTP sin desinstalar el Certificado SSL de tu Hosting.<\/p>\n<p># Enviar trafico HTTPS a HTTP<br \/>\nRewriteCond %{HTTP:X-Forwarded-Proto} =https<br \/>\nRewriteRule ^(.*)$ http:\/\/%{HTTP_HOST}%{REQUEST_URI} [L,R=301]<\/p>\n<p>Este c\u00f3digo debes colocarlo por encima de cualquier otro c\u00f3digo de redireccionamiento, al principio del archivo .htaccess.<\/p>\n<p><strong>\u00a0<\/strong><\/p>\n<p><strong>Sobre Certificados gratuitos<\/strong><\/p>\n<p>Si deseas puedes disponer de certificados <a href=\"https:\/\/letsencrypt.org\/\" target=\"_blank\">SSL Let\u00b4s Encrypt<\/a> gratuitos.<\/p>\n<p><strong>Ya no vamos a tener que pagar por un certificado SSL para ofrecer nuestra web a trav\u00e9s de HTTPS<\/strong>\u00a0pues ha nacido una entidad certificadora gratuita, avalada por los grandes de la industria, para que podamos ofrecer m\u00e1s seguridad en la navegaci\u00f3n por nuestra web.<\/p>\n<p><strong>Let\u2019s Encrypt es un esfuerzo, impulsado por\u00a0<a href=\"http:\/\/collabprojects.linuxfoundation.org\/\">la Fundaci\u00f3n Linux<\/a>, para\u00a0<\/strong>crear una entidad certificadora que ofrezca certificados SSL abiertos, libres, gratuitos y autom\u00e1ticos.<\/p>\n<p>Algunas\u00a0caracter\u00edsticas de Let\u2019s Encrypt\u00a0que te encantar\u00e1n son las siguientes:<\/p>\n<ul>\n<li><strong>Gratuitos<\/strong><\/li>\n<li><strong>F\u00e1cil instalaci\u00f3n.<\/strong><\/li>\n<li><strong>No hace falta ning\u00fan email\u00a0de confirmaci\u00f3n.<\/strong><\/li>\n<li><strong>No hace falta tener\u00a0IP dedicadas, que tambi\u00e9n supondr\u00edan un coste adicional.<\/strong><\/li>\n<li><strong>Todos los principales navegadores los reconocen.<\/strong><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>Si dispones de panes de administraci\u00f3n tipo CPanel o Plesk puedes usar plugins que simplifican la instalaci\u00f3n:<\/p>\n<p><a href=\"https:\/\/documentation.cpanel.net\/display\/CKB\/The+Let's+Encrypt+Plugin\">https:\/\/documentation.cpanel.net\/display\/CKB\/The+Let&#8217;s+Encrypt+Plugin<\/a><\/p>\n<p>En caso contrario, puedes instalarlo pero siempre desde consola con control del servidor.<\/p>\n<p><strong>Relacionado con el SEO<\/strong><\/p>\n<p>Google premia los sitios HTTPs, pero si hemos pasado de un sitio no seguro a seguro, es absolutamente imprescindible \u201cdecirle\u201d lo que ha pasado, que nuestra web<strong> ya es segura y se llega por HTTPS<\/strong>.<\/p>\n<p><strong>Consejo personal: si empiezas un proyecto web, aseg\u00farate que se apoye sobre SSL.<\/strong><\/p>\n<p>Para ello debemos\u00a0<a href=\"https:\/\/www.google.com\/webmasters\/tools\/home?hl=es\">ir a la Search Console de Google<\/a>, antes conocida como\u00a0<strong>Herramientas para Webmasters<\/strong>, y a\u00f1adir la propiedad, poniendo nuestro dominio como https.<\/p>\n<p>Si, adem\u00e1s, quieres seguir realizando\u00a0<strong>seguimiento de tr\u00e1fico y campa\u00f1as mediante Google Analytics<\/strong>\u00a0tendr\u00e1s que pasarte por la administraci\u00f3n del servicio y\u00a0<strong>cambiar la direcci\u00f3n de la \u201cpropiedad\u201d a https<\/strong>, sencillo desde el desplegable donde est\u00e1 el dominio.<\/p>\n<p>Tambi\u00e9n es probable que al ver los detalles de seguridad\u00a0de tu sitio en la consola de Chrome u otros navegadores veas algo llamado\u00a0<em>Mixed content<\/em>\u00a0que impide que los analizadores de SSL certifiquen tu sitio como totalmente seguro.<\/p>\n<p>Esto es debido a que en tu sitio tendr\u00e1s muchos\u00a0<strong>enlaces a p\u00e1ginas y contenido de tu sitio<\/strong> <strong>(im\u00e1genes, etc.) que apuntan a direcciones http en vez de https<\/strong>. Por ejemplo,\u00a0<strong>en entradas, p\u00e1ginas o incluso widgets<\/strong>\u00a0donde haya im\u00e1genes o urls apuntando a la versi\u00f3n http.<\/p>\n<p><strong>Finalizando entre HTTP y HTTP2<\/strong><\/p>\n<p><strong>HTTP2\u00a0 es <\/strong>el nuevo protocolo que va a sustituir a HTTP\/1.1. Es interesante ver la relaci\u00f3n con los certificados SSL para ofrecer HTTPS, pues\u00a0<strong>HTTP2 requiere de HTTPS<\/strong>, necesita un certificado SSL, as\u00ed que\u00a0<strong>si instalas un certificado SSL ya est\u00e1s preparado para la siguiente generaci\u00f3n de la web, de Internet.<\/strong><\/p>\n<p>HTTP 2 introduce innumerables mejoras como el uso de una \u00fanica conexi\u00f3n, la compresi\u00f3n de cabeceras o el servicio \u2018server push\u2019.<\/p>\n<p>Inicialmente surgi\u00f3 el protocolo\u00a0<a href=\"https:\/\/es.wikipedia.org\/wiki\/SPDY\">SPDY<\/a> de google\u00a0para implementar HTTP cuyo objetivo era reducir la\u00a0latencia. Este nuevo protocolo logr\u00f3 mejorar hasta en un 60 por ciento la velocidad de carga de las p\u00e1ginas web est\u00e1ndar y hasta en un 55 por ciento las conexiones protegidas con cifrado\u00a02\u00a03\u00a0SSL.<\/p>\n<p>A principios del a\u00f1o 2012 bas\u00e1ndose en el proyecto SPDY, el\u00a0<a href=\"https:\/\/es.wikipedia.org\/wiki\/IETF\">IETF<\/a>\u00a0(Internet Engineering Task Force) cre\u00f3 un equipo para el desarrollo de un nuevo protocolo llamado HTTP 2.0 o HTTP\/2. El borrador inicial de HTTP\/2 se public\u00f3 en noviembre de 2012 pero no es hasta el a\u00f1o 2015 cuando los navegadores comienzan a utilizarlo como soporte.<\/p>\n<p>SPDY <strong>se abandona en favor de HTTP 2.0\u00a0<a href=\"https:\/\/es.wikipedia.org\/wiki\/HTTP\/2#cite_note-4\">4<\/a>\u00a0debido a que la mayor\u00eda de ventajas que aporta\u00a0<a href=\"https:\/\/es.wikipedia.org\/wiki\/SPDY\">SPDY<\/a>\u00a0tambi\u00e9n se encuentran en HTTP 2.0.<\/strong><\/p>\n<p>HTTP\/2 es m\u00e1s r\u00e1pido que SPDY, en parte debido a que sus mensajes de solicitud son m\u00e1s peque\u00f1os gracias a la compresi\u00f3n de cabeceras HPACK.<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>A finales de Enero de este mes de 2017, se lanzar\u00e1 la nueva versi\u00f3n 56 del navegador de Google Chrome. Esta versi\u00f3n implicar\u00e1 cambios sustanciales e importantes en la manera de mostrar los sitios web que no se encuentran usando un certificado HTTPS, tambi\u00e9n conocido como SSL. Este cambio puede confundir a los visitantes de que accedan a determinadas web, puesto que todo sitio web que no funcione sobre HTTPs, mostrar\u00e1 un mensaje al navegador de Google Chrome, en la barra de navegaci\u00f3n, indicando Not Secure. Esto es el primer paso de una serie de \u00a0cambios que va a experimentar la web en los sucesivos a\u00f1os. Lo que se plantea es deshacerse del protocolo HTTP que forma parte por decir de la web insegura 1.0, hacia la nueva web segura. En un pr\u00f3ximo lanzamiento, Google Chrome etiquetar\u00e1 todas las p\u00e1ginas que no son de HTTPs bajo unas determinadas condiciones en modo inc\u00f3gnito como &#8220;No seguro&#8221; porque los usuarios que usan este modo tienen una mayor expectativa de privacidad.<\/p>\n","protected":false},"author":1,"featured_media":4217,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[364],"tags":[2165,659,2164],"class_list":["post-9327","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-chrome","tag-certificado","tag-seo","tag-ssl"],"_links":{"self":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/9327","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/comments?post=9327"}],"version-history":[{"count":4,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/9327\/revisions"}],"predecessor-version":[{"id":9331,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/9327\/revisions\/9331"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media\/4217"}],"wp:attachment":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media?parent=9327"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/categories?post=9327"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/tags?post=9327"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}