Como ya sabemos el protocolo HTTP seguro o HTTPS nos permite encriptar la comunicación entre el servidor y el cliente de una página web. De este modo nos aseguramos de que nadie lee nuestras comunicaciones ni puede alterarla. Es además de uso obligatorio por ley cuando transmitimos datos personales o datos bancarios.

Además Google ya ha declarado en numerosas ocasiones que desea promover la seguridad en la red y por este motivo la existencia de una conexión con seguridad SSL favorece y mejora el posicionamiento del site. Así que ya no sólo es una opción, es una necesidad si necesitamos posicionar una página web.

¿Dónde adquirirlo?

Cuando tienes contratado un hosting o alojamiento compartido suele ser realmente muy sencilla su implementación. Generalmente y sin salir del panel de control de nuestro proveedor se puede contratar y aplicar un protocolo seguro a nuestra web. Si por el contrario utilizáis un servidor dedicado o un VPS autogestionado necesitarás contratar e instalarlo tú mismo.

En mi caso realicé la compra del certificado en Don Dominio. Cuentan con la posibilidad de adquirir un domino emitido por distintos gestores, existiendo hasta la opción de probar de forma gratuita un certificado SSL durante 90 días de forma gratuita. Una vez seguidos los trámites de pago, verificación, etc habrás generado un fichero con tu clave o SSLCertificateKeyFile que es el archivo de claves generadas al crear la CSR. Y a continuación otros dos ficheros más: el SSLCertificateFile que es el archivo del certificado DigiCert (por ejemplo, su_dominio.crt); y el SSLCertificateChainFile que debe ser el archivo intermedio DigiCert certificado.

Deberemos de tener en cuenta el tipo de certificado a contratar. Existen muchas compañías certificadoras, niveles de seguridad y garantías de cobertura. No olvidemos que uno de los principales factores es la garantía y el uso que le vayamos a dar al certificado. Podemos simplemente verificar nuestro dominio (que es el nivel más bajo); o bien podemos verificar una organización o empresa. También podemos destinar nuestro certificado a proteger simplemente el área de clientes o por el contrario proteger transacciones bancarias o carros de la compra. Deberemos de saber elegir para no sobredimensionar nuestras necesidades; o por el contrario utilizar una protección legal y económica demasiado pobre y que pudiera ser completamente inútil en el caso de estar comprometido nuestro site.

¿Cómo instalar HTTPS en un VPS o servidor dedicado con Apache?

Lo primero de todo es asegurarnos que tenemos cargado el módulo SSL en nuestro servidor. Para ello lo primero que haremos es ejecutar con permisos de administración a2enmod ssl y reiniciar el servicio web. Ahora seguro que está activado.

En un servidor Linux un buen sitio donde almacenar los ficheros SSL descargados es en el directorio /etc/ssl. A continuación deberemos de configurar o nuestro servidor o nuestro VirtualHost para informar de que debemos de utilizar protocolo seguro y además donde están los ficheros necesarios. Por ejemplo la configuración de este blog es muy similar a esta:

<VirtualHost *:80 *:443>
  Options Indexes FollowSymLinks MultiViews Includes
  DocumentRoot "/var/www/sitedir"
  ServerName site.es
  ServerAlias www.site.es
  ErrorLog ${APACHE_LOG_DIR}/error-site.log
  CustomLog ${APACHE_LOG_DIR}/access-site.log combined
  AddType text/html .html
  AddOutputFilter INCLUDES .html
 
  SSLEngine on
  SSLCertificateKeyFile /etc/ssl/site_es.key
  SSLCertificateFile /etc/ssl/site_es.crt
  SSLCertificateChainFile /etc/ssl/site_es.ca-bundle
</VirtualHost>

Como podemos ver las líneas que nos interesan son las cuatro últimas, donde informamos que vamos a utilizar protocolo seguro y dónde están los ficheros que nos interesan. También debemos de recordar que el protocolo HTTPS opera en el puerto 443 y no en el 80 como el puerto HTTP. Sin embargo no podemos desactivar tampoco el puerto 80, así que lo que haremos será tener nuestro Apache escuchando en ambos puertos para realizar una redirección del puerto 80 al 443. Pero eso lo veremos ahora introducir una redirección del puerto 80 al 443.

Un vez hemos finalizado la modificación del fichero no podemos olvidar volver a cargar la configuración de nuestro servidor Apache o reiniciando el servicio.

Redirigir al puerto 443 en el .htaccess

Si ya tenemos instalado nuestro protocolo HTTPS en nuestro servidor o hemos dejado esa tarea para nuestro hosting va siendo hora de redireccionar el tráfico al puerto 443 y anunciar que ya tenemos nuestro flamante puerto seguro operativo. Lo primero que debemos hacer es incluir una sencilla modificación en nuestro fichero .htaccess para que cualquier petición recibida en el puerto 80 vaya al 443 en nuestro WordPress. Además queremos informar que se trata una redirección definitiva (301), así que informaremos con dicho código cuando sea indexada por Google y otros buscadores. Incluiremos el siguiente código:

  RewriteEngine On
  RewriteCond %{HTTPS} off
  RewriteRule ^(dominio.tld)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Si no te sientes muy seguro realizando estas operaciones no te preocupes, existen plugins que realizan esta tarea por tí. Sin embargo es una operación tan sencilla que creo que no merece la pena instalar un plugin para realizar esta operación.

Cambiar la dirección en WordPress

Una vez hemos realizado estas operaciones a bajo nivel deberemos de actualizar también la configuración desde el área de administración de nuestro WordPress. En concreto la referida a la dirección URL de nuestro site. Para ello nos dirigiremos a Ajustes > Generales y cambiaremos el protocolo de http:// a https:// para que quede como en la imagen.

httpswp

Hasta aquí hemos conseguido migrar nuestro site a protocolo HTTPS y en nuestra barra de navegación cuando visitemos nuestro site aparecerá ya un candado informándonos que la conexión está codificada.

https_bar

Cambios en servicios de monitorización de Google

Sin embargo no hemos acabado aún. A día de hoy es imposible no monitorizar el rendimiento de nuestra web y no pensar en el SEO, así que aún deberemos de realizar un par de operaciones más de cara a la monitorización de nuestro tráfico.

En el caso de Google Webmaster Tools deberemos de añadir un nuevo site (sí completamente nuevo, como si fuera otra web) para monitorizar el rendimiento. Deberemos de volver a enviar nuestro sitemap.xml y confirmar que lo lee correctamente. Mientras tanto observaremos cómo la anterior entrada de nuestro site en el puerto HTTP está redirigiendo correctamente al nuevo.

En el caso de Google Analytics la operación es más sencilla. Simplemente se trata de informar que hemos cambiado de protocolo. Para eso iremos desde la página de gestión de nuestro site Administración > Ver configuración y cambiaremos el protocolo a HTTPS.

Google Analytics

Conclusión

Como podéis ver instalar protocolo seguro HTTPS en nuestro WordPress, y en general en cualquier web, es bastante sencillo. Sobre todo si tenemos un hosting compartido en el que generalmente la empresa que nos da alojamiento se ocupa de todo. Los precios son muy variados, así como los niveles de protección y garantías económicas que pueden ofrecer.

La ventajas son claras:

  • Mejoran el posicionamiento SEO, y según Google cada vez contará con un mayor peso.
  • Ofrecen una mejor imagen de cara al consumidor. Ya no sólo hablamos de garantía de compra en comercio electrónico, sino de cara al consumidor de contenidos.
  • Mayor seguridad y privacidad. Recuerda que es un requisito indispensable cuando se transmiten datos de carácter personal de tus usuarios.

Si bien el precio de un certificado puede variar y pueden llegar a ser desorbitados algunos de los más sencillos, en los cuales sólo se comprueba la propiedad del dominio puedes tenerlos desde poco más de unos 5 € al año. Un precio muy interesante si piensas en las ventajas que te aportan.

Fuentes

Comparte si te ha gustado

Autor:
Última actualización:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

De acuerdo con lo dispuesto en el Reglamento (UE) 2016/679 de 27 de abril de 2016, consiento que mis datos sean tratados bajo la responsabilidad de Oscar Gascón Arjol para recibir respuesta a consultas. publicación de comentarios del blog y que las conserve mientras haya un interés mutuo para ello. Me doy por informado que tengo derecho a revocar este consentimiento en cualquier momento y a ejercer los de acceso, rectificación, portabilidad y supresión de mis datos y los de limitación y oposición al tratamiento dirigiéndome por email a [email protected] También estoy informado de que puedo reclamar ante la autoridad de control a www.agpd.es.