Shutterstock-622633010
HTTPS – Secured Internet Connections (Imagen: Shutterstock)

SSL/HTTPS – Guía para Blogueros

Esta anotación pertenece a la serie “Cómo usar SSL/HTTPS con WordPress”. La serie consta de las siguientes partes:

Estamos conectados a Internet todo el día, todos los días. Nos informamos del estado del tiempo, leemos correos, noticias, pagamos cuentas, compramos, etc…

Muchas de estas interacciones online requieren del uso de una conexión segura, a través de la cual podamos enviar información personal, que en muchos casos va más allá del nombre de usuario y contraseña, como son números de tarjetas de créditos y otras informaciones sensibles. Este tipo de comunicación segura en el Internet se realiza utilizando el llamado protocolo “HTTPS”.

Hasta hace apenas unos 4-5 años atrás, el uso de este protocolo era algo casi de uso exclusivo solo a las empresas, sin embargo hoy en día el coste de los Certificados de Seguridad han disminuido tanto que incluso pueden conseguirse GRATIS. Pero no nos adelantemos, pues hay bastante que explicar.

¿Para qué necesitas tener un Certificado de Seguridad en tu sitio web?

Hay muchos factores que pueden llevarte a requerir el uso (instalación) de un Certificado de Seguridad o “SSL Certificate” en tu sitio web, pero de todo el más importante se llama “CONFIANZA”. Por ejemplo, digamos que tienes una tienda online, y que alguien ha seleccionado un artículo para comprar. Aparte de las características propias de este producto como son color, tamaño, peso, etc, el visitante necesita saber inequívocamente que cualquier transacción que realice está protegida, que hay un cierto nivel de garantía de que toda la información que transmita a tu tienda está debidamente protegida.

Sin esta garantía de procesamiento de información de manera segura y confidencial, es muy difícil que puedas vender algo. He ahí la importancia de tener un Certificado SSL instalado en tu sitio. Cuando esta garantía existe, en el navegador del visitante aparece el conocido icono del candado, y la URL del sitio comienza con: “https”.

Aparte de la razón anterior, Google ha incluido el uso de Certificados SSL/TLS como un factor para determinar el ranking de un sitio web en los resultados de búsqueda. Este otro factor ha empujado a muchos Blogs y Sitios WordPress a utilizar Certificados de Seguridad.

Mi consejo es que si decides usar un Certificado de Seguridad lo hagas por tus clientes y visitantes, no porque Google te lo exige.

¿Qué es SSL/TLS? ¿Qué es HTTPS?

Lo usual cuando nos referimos a un sitio seguro es decir que es “https” o que tiene “SSL”, como si uno fuera sinónimo del otro, aunque en realidad son dos cosas distintas pero relacionadas. Veamos:

SSL (TLS)[3]

SSL son las siglas en inglés de “Secure Sockets Layer” lo cual pudiera traducirse como “Capa de Conexiones Seguras”.

En esencia es una tecnología estándar de seguridad para establecer enlaces de comunicación encriptados entre un servidor web y el navegador de un usuario. Esta tecnología garantiza que una vez establecido este enlace seguro, toda la información transmitida entre el servidor y el navegador permanezca privada e integra, previniendo el acceso y/o modificación del contenido de la información transmitida.

SSL fue creado en 1994 por Netscape Communications y la difusión y uso comenzó a partir del 1996. Tras su introducción se descubrieron varias vulnerabilidades, y en el 1999 el “IETF” (Internet Engineering Task Force) tomó control del proyecto modificando y mejorando la tecnología, motivo por el cual se renombró como TLS (Transport Layer Security). Hoy en día se sigue utilizando el nombre inicial (SSL) aunque en realidad lo correcto es decir TLS.

HTTPS

Por el contrario a SSL, HTTPS es parte de la sintaxis para conformar una URL usando el protocolo HTTP, aunque en este caso, HTTPS indica al navegador que debe agregar una capa de seguridad extra para establecer una comunicación segura con un servidor web.

Resumiendo SSL es la norma, el estándar que define cómo establecer una comunicación encriptada utilizando el protocolo HTTP.

¿Cómo funciona SSL?

Para usar SSL es necesario instalar en el servidor web un “Certificado de Seguridad”. Estos Certificados incluyen el nombre de tu dominio, nombre de la empresa, dirección y país. También incluye la fecha en la que el certificado caduca, así como detalles de la entidad que emite el certificado.

Cuando un usuario se conecta a un sitio seguro, el navegador chequea la validez del certificado de seguridad, si por algún motivo el certificado no puede ser validado, el usuario recibe un mensaje (prominente) de que la conexión no es segura debido a que el certificado no ha podido ser validado.

La Conexión no es segura

Desde el punto de vista práctico, el uso de SSL conlleva a que las URLs comiencen con “https” y además que el puerto de comunicación utilizado sea el “443”, el cual difiere del puerto “80” utilizado por defecto por el navegador para establecer una conexión usando el protocolo “http”.

¿Cuándo comenzar a usar SSL/HTTPS?

Técnicamente hablando para comenzar un Blog/Sitio WordPress no necesitas tener un Certificado de Seguridad instalado en el servidor web. Puedes incluso tener una tienda online sin todavía requerir uno usando PayPal, pues todas las transacciones son realizadas en la plataforma de pagos seguros de PayPal. Este es el motivo principal por el que PayPal es tan popular.

Ahora bien. Si vas a procesar pagos usando otras plataformas (por ejemplo, Stripe) es obligatorio el uso de Certificados de Seguridad en tu servidor para poder procesar pagos.

También vas a necesitar un Certificado si necesitas conectar una aplicación para que funcione nativamente desde tu página de Facebook y que conecte a esta con tu Blog/Sitio WordPress,

Como estrategia a largo plazo te recomiendo que uses desde el mismo primer día un Certificado de Seguridad para tu Blog/Sitio WordPress.

Tipos de Certificados de Seguridad

Existen varios tipos de Certificados de Seguridad, los cuales pueden clasificarse de la siguiente manera:

  • Atendiendo al nivel de validación
  • Atendiendo a los dominios protegidos

Atendiendo al Nivel de Validación

El nivel de validación determina el método seguido por la Autoridad que emite el Certificado, pudiendo ser:

  • Basada en el Dominio: Este es quizás el método más conocido por todos. Para generar un Certificado de Seguridad la Autoridad que lo emite valida la pertenencia del dominio a la persona que está solicitando el Certificado, usando para ello la información administrativa recogida durante el proceso de registración del dominio. Este trámite puede durar desde unos pocos minutos hasta unas pocas horas y requiere que tengas acceso al correo electrónico del administrador del dominio, o que puedas agregar información adicional al DNS del dominio, o ambos. Este tipo de Certificado es muy adecuado para individuos. Una vez instalado se muestra el icono del candado, seguido por la URL conteniendo “https” al inicio, como se muestra en la imagen de abajo.

  • Basada en la Organización: En esencia es un trámite parecido al anterior, pero en este caso, la Autoridad que emite el Certificado exige la entrega de documentación adicional que prueba la identidad de la organización solicitante. Un trámite de este tipo puede tardar desde varias horas hasta varios días. Este tipo de registración es recomendada a organizaciones y empresas.
  • Validación Extendida: Aparte de los requerimientos anteriores la organización debe presentar documentación que pruebe la existencia legal de la misma. Este es un trámite que puede tardar desde varios días hasta varias semanas. Se recomienda a organizaciones globales con mucho peso. Cuando se extiende un Certificado de este tipo aparte del icono del candado, el nombre de la organización antecede a la URL, como por ejemplo en el caso de Twitter.

Atendiendo a los dominios protegidos

Todos los Certificados de Seguridad limitan su uso a los dominios especificados en este. Por tanto en el momento de adquirir uno debes tener en cuenta lo siguiente:

  • Un dominio: Este certificado sólo cubre o protege al dominio principal, lo cual aplica a URLs que usen “www” o “no-www”. Por ejemplo, https://www.tublog.com y https://tublog.com
  • Un dominio y sus sub-dominios: Este tipo de Certificado incluye tanto al dominio principal como a cualquiera de sus sub-dominios. Por ejemplo, https://tublog.com y https://mail.tublog.com
  • Varios dominios: Este tipo de certificado puede proteger múltiples dominios y sub-dominios.

¿Dónde obtener Certificados de Seguridad?

Existen muchas empresas con las que puedes adquirir un Certificado de Seguridad, pero si ya necesitas uno, el primer paso es investigar si tu proveedor de alojamiento web provee o vende estos. Casi todos están afiliados a alguna de las entidades que emiten los certificados. Otro factor a considerar es: ¿quién va a instalar el certificado en tu servidor? Si tu proveedor permite que tú lo hagas pues nada puedes adquirir el certificado con quien desees. Lo usual es que los proveedores de alojamiento exijan el uso de los certificados que ellos venden y la instalación va por ellos.

Las entidades más conocidas y utilizadas son:

  • Namecheap
  • Comodo
  • Symantec (Verisign)
  • GeoTrust
  • Let’s Encrypt (Certificados Gratis)

Instalando un Certificado de Seguridad

Oh Boy…

Instalar un Certificado de Seguridad no es algo súper difícil, pero se requiere seguir un proceso ordenado y metódico. En muchos casos tu compras el Certificado y el proveedor de alojamiento web se encarga de instalarlo. Si no te queda más alternativa que instalarlo tú mismo te recomiendo que sigas las instrucciones de la Referencia [6], la cual detalla cómo instalar un Certificado usando cPanel en un alojamiento web compartido. Si estás alojado en Bluehost, puedes usar la Referencia [7], aunque con este proveedor de Alojamiento hay una manera de instalar Certificados para usar con WordPress muy, muy fácil y que explico más adelante.

OJO: En muchos casos aparte del Certificado debes adquirir una dirección IP estática.

Una vez instalado el certificado debes asegurarte que esté correctamente instalado, para ello debes visitar Qualys SSL Labs y proveer el nombre del dominio a chequear.

Qualys SSL Labs

El siguiente paso…

Instalar un Certificado de Seguridad es una tarea sencilla pero que requiere de múltiples pasos, todos ellos ejecutados en el servidor directamente, lo cual hace que muchos piensen que es como hacer una cirugía a corazón abierto. No obstante esa supuesta complejidad es un paso obligatorio si quieres utilizar HTTPS con WordPress.

Te adelanto que en la siguiente anotación voy a decirte lo que tienes que hacer para finalmente usar SSL/HTTPS con WordPress; pero es más, te voy a decir cómo hacerlo con dos clicks!?…

Nos vemos

Bluehost, además de ofrecerte el plan de acuerdo a tus necesidades, es un proveedor que te ofrece Certificados de Seguridad de los que hemos hablado en esta anotación

Tienes el poder de elegir lo que más se acomede a tus necesidades
desde $3.95 al mes
Referencias

[1] WikipediaProtocolo seguro de transferencia de hipertexto
[2] GoogleSecurity Blog: HTTPS as a ranking signal
[3] WikipediaTransport Layer Security
[4] Bluehost BlogWhat You Need to Know about SSL Certificates
[5] dnsimpleSSL Certificate Types
[6] DesignmodoHow to Move a WordPress Website from HTTP to HTTPS/SSL
[7] BluehostGuía completa de configuración SSL para su sitio web en cpanel

4 comments

    • @ManuelPineda – De alguna manera el uso de los Certificados de Seguridad es mas que una moda, se estan volviendo indispensables, y no se por que dondequiera que miro y busco información al respecto todo lo que encuentro son fragmentos y confusión, asi que de alguna manera me decidí a poner junto todo lo que encontré de valor y lo organice de manera que hiciera sentido a la mayoría de los Blogueros, incluido yo.
      Saludos y por acá nos vemos de nuevo
      Eduardo

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *