A qué nos referimos con acceso seguro
Navegando por la web, habrás visto que, al teclear cualquier dirección, delante de la misma aparece un http: o un https: (en Safari se oculta y aparece un candado en el caso de los accesos seguros, https). Las siglas vienen del inglés, Hypertext Transfer Protocol Secure (Protocolo Seguro de Transferencia de Hipertexto). Es ese Secure, la s entre el http o el https, lo que marca la diferencia.
Cuando pedimos una página usando http, tanto nuestra petición (y datos de formularios), como el contenido que nos devuelva la página, viajarán sin cifrar (tal cual están escritos) por la red. Si un atacante hubiera conseguido situarse entre medias de esa página y nuestro ordenador (lo que se conoce como un man in the middle), podrá obtener toda esa información.
En cambio, cuando lo hacemos usando https, tanto la petición como la respuesta, viajarán cifradas. Para cifrar los datos, el servidor en el que está la página deberá tener un certificado de clave pública
Qué hacer si no tenemos acceso seguro a nuestra página
Lo primero que tenemos que ver es si tenemos acceso al servidor desde el que se sirve la página o no. Si tenemos acceso, podemos pedir un certificado gratuito en Let's Encrypt.
Si no tienes acceso al servidor, aun así es probable que tu proveedor de hosting esté preparado para el uso de certificados de Let's Encrypt y lo pueda gestionar automáticamente, la lista no para de crecer.
Por último, si no tenemos acceso al servidor ni nuestro proveedor nos facilita una forma de generar un certificado, podemos utilizar Cloudflare, cuyo plan gratuito nos proporciona un certificado compartido.
Impacto en el SEO
Desde Agosto de 2014 Google posiciona mejor las páginas seguras que las no-seguras. Ya solo por esto, podría pensarse que merece la pena el cambio. Sin embargo, hay que tener alguna cosa en cuenta cuando estemos migrando la página de http a https. Google recoge muchas en este enlace.
La fundamental, en cualquier caso, es que es probable que si nuestra página no es nueva, la hayan enlazado desde otras páginas, y lo habrán hecho a la versión insegura (http). Para evitar que esas páginas dejen de funcionar, podemos redireccionar todo el contenido que estaba en la versión insegura de nuestra página a la versión segura. Si tienes un hosting con cpanel tienes una guía de cómo hacerlo aquí, y si no, y tienes acceso al servidor, tienes una guía aquí. Si usas CloudFlare puedes configurar las redirecciones en el panel de CloudFlare.
Aunque no hayan enlazado a tu página desde ningún sitio, sigue siendo buena política forzar el acceso seguro a tu web, es decir, que si alguien intenta acceder a la versión insegura, sea automáticamente redirigido a la versión segura. Esto se hace con una redirección como las comentadas en al párrafo anterior.
Seguridad adicional para organizaciones que luchan por los derechos humanos
Si formas parte de una organización que lucha por la defensa de los derechos humanos, el arte, disidencia política u otros grupos especialmente vulnerables ante ciber-ataques, puedes solicitar formar parte del programa Galileo, de Cloudflare.
El programa Galileo ofrece el plan de máxima seguridad de Cloudflare de forma gratuita.
Dinos qué te ha parecido, por las redes sociales que aparecen a la izquierda o por un correíllo a hola@softspring.es, si te ha sido útil, tienes alguna sugerencia o duda que podamos aclarar.