Con el uso masivo de internet es necesario proporcionar a las personas que navegan por tu página web la seguridad de que lo hacen de manera segura. Las páginas webs que requieren el registro de usuarios o que son una tienda online es obligatorio que tengan un certificado ssl y sean páginas https. Sin embargo, todas las páginas webs deberían ser https, incluso si no son más que un blog personal.
Muchas estafas en línea como correos de phishing que dirigen a una página falsa de un banco suelen no ser páginas seguras y es la forma de detectar que no son páginas de fiar. Sin embargo, en muchas ocasiones el ciberdelincuente compra un hosting y un dominio y la página sí es segura, puesto que ha pagado por él o ha utilizado un certificado gratuito.
Añadir https a tu sitio web
Un certificado SSL es un certificado digital que autentica la identidad de un sitio web y permite que exista una conexión cifrada. La sigla SSL significa Secure Sockets Layer (Capa de sockets seguros), un protocolo de seguridad que crea un enlace cifrado entre un servidor web y un navegador web. Si una página web tiene ese certificado aparecerá en candado a la izquierda de la URL y tendrá bits verdes y marcas seguras.
En muchos casos tu proveedor de alojamiento permite que contrates un certificado seguro. Sin embargo, hay varias formas de obtener ese certificado de forma fácil y gratuita. Puedes por ejemplo utilizar de manera muy rápida y sencilla utilizar Cloudflare, que lo que va a hacer es simplemente poner HTTPS en un sitio web en poco tiempo. Puedes darte de alta y crear una cuenta desde aquí.
Una vez que nos demos de alta pulsaremos en Agregar sitio. Tan pronto lo hagas vas a ver unos nombres de servidores DNS. DNS o domain name server, como su nombre indica es una dirección de un servicio de internet, que funicona básicamente como un listín telefónico. Cuando alguien escribe en un buscador un criterio de búsqueda el buscador te muestra un listado de páginas ordenadas. En esa página esta tu página. Si alguien pulsa en el enlace te manda al servidor DNS y el servidor encauza al usuario para que se dirija al servidor web donde está alojada la página y la muestra al visitante.
Activando https en tu sitio web
Si utilizamos Cloudflare debemos cambiar los servidores DNS de nuestro proveedor de alojamiento para que sean los de Cloudflare. Hay varios servicios de pago, pero también existe una versión gratuita que sirve perfectamente. Para activar el certificado seguro en tu sitio web debes apuntar tus servidores de nombres (DNS) a Cloudflare. Tienes que añadir el servidor de nombres primario y uno secundario.
La actualización de nombres de dominio puede tardar hasta 24 horas, tiempo en el cual tu página web no dejará de estar operativa. Esto se debe a que los nuevos servidores DNS deben propagarse a través de la red para que sean reconocidos y que los visitantes lleguen a nuestra página con esa nueva configuración.
El tráfico web irá desde los servidores de nombres antiguos a los servidores de nombres nuevos, sin interrupción. También hay que recordar que tenemos que activar la opción “Usar siempre HTTPS” para obligar a que el visitante entre siempre a través de un protocolo seguro.
Valorando la seguridad del sitio web
La página web Ssllabs ofrece una herramienta gratuita para que compruebes tu certificado SSL. Este servicio en línea gratuito realiza un análisis profundo de la configuración de cualquier servidor web SSL. La información que envía se utiliza únicamente para proporcionarle el servicio. Por ejemplo, para esta página web la puntuación es B, lo cual está bastante bien, pero se puede mejorar.
Páginas webs inseguras entre las más visitadas del mundo
Puedes ver una lista de páginas web inseguras en https://whynohttps.com/, que administra un experto de seguridad Troy Hunt. Cada una de estas páginas web se cargan a través de una conexión no segura sin redirigir a una conexión segura y encriptada. Los 100 sitios web que muestra la página representan el 6% de los 1803 sitios web más grandes del mundo.
Resumen
El proporciona a un visitante la confianza de estar en un entorno cifrado y seguro es fundamental en la era de internet. Todas las páginas webs que pretenden ofrecer un servicio, bien sea mediante la compra o venta de un producto, o mediante la publicación de noticias de la índole que sea, tienen que tener instalado en su página web un certificado SSL y navegación a través de http seguras.
Referencias
- https://whynohttps.com/
- https://httpsiseasy.com/
- https://www.troyhunt.com/heres-why-your-static-website-needs-https/
- https://scotthelme.co.uk/https-anti-vaxxers/
- https://www.troyhunt.com/how-i-got-pwned-by-my-cloud-costs/
- https://letsencrypt.org/stats/#percent-pageloads
- https://docs.telemetry.mozilla.org/datasets/other/ssl/reference.html
- https://www.ssllabs.com/ssltest/index.html
- https://youtu.be/mVzdEl5G0iM
- https://scotthelme.co.uk/tag/crawl/
- https://www.troyhunt.com/why-no-https-heres-the-worlds-largest-websites-not-redirecting-insecure-requests/
- Victor Le Pochat, Tom Van Goethem, Samaneh Tajalizadehkhoob, Maciej Korczyński, and Wouter Joosen. 2019. “Tranco: A Research-Oriented Top Sites Ranking Hardened Against Manipulation,” Proceedings of the 26th Annual Network and Distributed System Security Symposium (NDSS 2019). https://doi.org/10.14722/ndss.2019.23386