https

Puede que no te hayas fijado, pero cada vez más y más sitios web en los que entras a diario cuentan con una dirección del tipo https://. Estas direcciones indican que el protocolo utilizado para servir esos datos y contenidos es HTTPS, la versión segura del ya tradicional HTTP (Hyper Text Transfer Protocol).

En Weblogs SL ya hemos comenzado a implantar este protocolo en nuestros medios, y el cambio es más importante y complejo de lo que parece: esto no solo permite que protejamos tu privacidad con conexiones cifradas de extremo a extremo: también nos permite estar preparados para el futuro y para opciones cada vez más potentes en diversos navegadores.

HTTPS en tres claves

Las ventajas que impone el protocolo HTTPS son muchas en diversos apartados. Para empezar, nos permite evitar que potenciales intrusos manipulen las comunicaciones que se realizan entre nuestros sitios web y tu navegador.

candado

Eso hace que sea mucho más complejo para los ciberatacantes usar esas comunicaciones para “inyectar” malware o incluso publicidad no demandada. Las posibilidades para hacerlo están tanto en el texto de nuestros contenidos como en los scripts, las imágenes o las cookies, y este protocolo evita que estos recursos estén accesibles a los atacantes.

La llamada “integridad” que este protocolo confiere al sitio web es también vital: con HTTPS un sitio web puede certificar que es quien dice ser, y que sepas que la página web que estás visitando es de quien esperas, y no de alguien que ha falsificado esa página para por ejemplo robarte tus datos bancarios.

Otra de las claves reside en la privacidad que confiere el protocolo, y aquí es importante destacar que este protocolo no solo es útil para entidades bancarias que tienen que proteger nuestros datos: cualquier petición HTTP –sea en esos sitios web de banca electrónica o no- puede revelar información sensible sobre nuestro comportamiento e identidad para luego sacar información a partir de todos esos datos recolectados.

Si alguien visita muchos sitios web con información sobre cierta enfermedad eso da a entender que quien lo hace está afectado por la misma. No parecen datos sensibles… hasta que alguien los recolecta y los junta para lograr descubrir información importante a partir de esos datos capturados. La información es privada en todo momento, y ni siquiera el proveedor de internet puede enterarse de qué es lo que estamos haciendo en los sitios web que visitamos, y por supuesto tampoco podrán hacerlo agencias de inteligencia o desde luego ciberatacantes.

Aquí conviene aclarar que tanto nosotros como nuestros partners publicitarios seguimos recogiendo información, pero esta es mucho más difícil de relacionar con una identidad real: son datos que nos ayudan a comprender a la audiencia como un todo para dirigir mejor esas propuestas de nuestros anunciantes.

La tercera de las claves es la forma en la que HTTPS nos prepara para el futuro. La mayoría de navegadores han comenzado a integrar ya características en las que los permisos de usuario son necesarios. Las llamadas aplicaciones web progresivas que dan acceso a poder sacar fotos o grabar audio desde nuestro móvil son un buen ejemplo, y este protocolo se encarga de asegurar que ese tipo de transferencias sean –una vez más- seguras.

Así se implanta HTTPS en Weblogs SL

El proceso de implantación de este protocolo se está llevando a cabo desde nuestro departamento de sistemas. Guillem Solans (@Willskc), Administrador de sistemas en nuestra empresa desde hace 7 años, nos ha explicado en detalle cómo se está desarrollando el proceso y las razones de dar ese salto.

certificado

Guillem nos explicaba que la decisión de implantar HTTPS ahora es el de “modernizar y asegurar la plataforma”, algo que el equipo técnico llevaba tiempo planteando pero que ha sido ahora cuando se ha podido afrontar tras realizar mejoras en otras áreas.

También nos destacaba esas ventajas de un protocolo que además de “poder cifrar el contenido transferido aumentando la seguridad en el tráfico de datos, genera confianza en el usuario”. Sin embargo aquí hay también un motivo de futuro: “tarde o temprano”, nos explicaba Guillem “HTTPS será un requisito fundamental para estar bien posicionado. También hay que destacar que necesitamos tener HTTPS para poder pasar a usar HTTP/2”.

Esa segunda versión será una revisión importante de HTTP 1.1, la versión que se sigue usando hoy en día tras haber sido especificada hace casi 20 años, en 1997. En HTTP/2 se mantiene la sintaxis, pero se modifica la forma en la que los datos se enmarcan y se transportan entre el cliente y el servidor. Las mejoras de rendimiento y seguridad harán que tengamos una web más veloz, eficiente y protegida, pero precisamente HTTPS será requisito para esa faceta.

En cuanto al impacto en el posicionamiento, hay que destacar que Google anunció a principios de año que comenzaría a priorizar el tráfico HTTPS frente al HTTP en los resultados de las búsquedas: entre dos medios que tuvieran contenidos relevantes sobre un tema, aquel que protegiera sus conexiones tendría las de ganar en una búsqueda en este motor.

Eso ya es de por sí crucial para que el tráfico a través de buscadores –importante en cualquier medio de comunicación- siga estando garantizado, y como nos decía Guillem, es de suponer que “después de Google irán los demás, estas políticas afectarán al resto de grandes buscadores”.

El departamento de sistemas de Weblog SL lleva ya tiempo trabajando en este proyecto. Guillem explicaba como comenzaron por el sitio web oficial de la empresa y tras ese cambio “decidimos pasarlo a toda la plataforma”. Para la migración total a HTTPS calculan que se invertirán “unos 6 meses más”, pero eso no es extraño: nuestra red editorial cuenta ya con 40 publicaciones con un crecimiento constante y en cada una hay que ir replicando el proceso gradualmente y comprobar que “una vez probado funciona bien”.

Un proceso gradual

Para llevar a cabo el cambio, nos indicaba Guillem, lo primero que hay que hacer es conseguir el certificado de seguridad por parte de una entidad que garantice la validez de estos certificados. “Nosotros usamos la plataforma de Amazon y es relativamente sencillo conseguir el certificado e instalarlo”, aclaraba, “pero hay otras formas de instalarlo como por ejemplo Letsencrypt, que es muy fácil de instalar, de código abierto y que tiene un mantenimiento mínimo”.

secure_https_apple

Eso hace que la primera parte del proceso esté lista, y de hecho visitamos nuestro sitio web una vez instalado el certificado veremos cómo en el navegador aparece un pequeño candado amarillo. Eso indica que vamos por buen camino, pero “para que todo esté correcto debe estar en verde, algo que te indica que la conexión es totalmente segura y que todo el contenido del site está cifrado”.

Ese proceso es algo más costoso ya que como nos comentaba Guillem “hay que de ir poniendo todas las partes del site de forma que puedan usar https cuando se las llame (imágenes, js, css) y además que éstas funcionen correctamente”.

Eso hace necesario ir entrando en el código del sitio web y “viendo que llamadas se hacen por http y cambiarlas por https”. En el caso de los medios de Weblogs SL tenemos una ventaja, destacaba Guillem: nuestra configuración modular hace que ese cambio sea mucho más sencillo. A partir de ahí obtendremos el deseado candado en color verde, pero hay que lograr algo adicional, “que las funcionalidades funcionen bien, ya que hay que coordinar sistemas y desarrollo y que al ir probando la migración se vayan corrigiendo los errores que aparezcan”, porque como nos decía Guillem “seguro que sale alguno”.

En la implantación en Weblogs SL esos problemas se han traducido habitualmente en componentes de terceras partes que éstas envían sin soporte HTTPS, algo que hace que haya que “actualizar un poco el código para que funcione correctamente”.

Hay también errores que no se deben al código en sí, añadía Guillem: “sino a timeouts con otros servicios que usamos y no se ven a primera vista. Weblogs SL tiene muchas publicaciones y mucho tráfico, por eso estamos siendo especialmente cuidadosos. Los cambios deben afectar lo menos posible a editores y a usuarios”, concluía.

El proceso ya está en marcha, y los beneficiados seréis vosotros: nuestros lectores.

General