Los 3 pasos más importantes en la migración HTTPS de un sitio web

Publicado: 2017-04-12

Si ha realizado algún trabajo en el sitio web durante los últimos 5 años, es casi seguro que haya oído hablar de HTTPS. HTTPS es el nuevo protocolo de Internet prometedor, que hace que la web sea más segura para todos los usuarios. También es una de las tendencias de Internet de más rápido crecimiento, ya que la cantidad de sitios HTTPS se duplicó en 2016.

Hemos trabajado con varios clientes para implementar HTTPS en sus sitios y, en el proceso, hemos aprendido a resolver muchos de los problemas que puede crear una migración HTTPS. Nuestra guía para una migración HTTPS sin problemas se encuentra a continuación, pero primero, una descripción general:

¿Qué es HTTPS?

Para cualquiera que no esté familiarizado con HTTPS, aquí hay una descripción general básica del proceso: Al navegar por la web, el contenido se comunica a través de un "Protocolo de transferencia de hipertexto". Este es el prefijo "HTTP" que ve al comienzo de una URL ( http://www.example.com ), y es lo que permite a los servidores y clientes comunicarse y mostrarle contenido de Internet.

HTTPS es una versión más segura del protocolo HTTP. Agrega un certificado de seguridad SSL a la comunicación servidor / cliente, lo que garantiza que la información confidencial como las contraseñas y la información de la tarjeta de crédito no pueda ser robada por acechadores maliciosos mientras viajan entre el servidor y la computadora de un usuario. Lo más importante es que agrega un indicador claro para los usuarios de que su sitio es seguro y protegido:

Sitio seguro HTTPS

En principio, migrar a HTTPS es tan simple como agregar un certificado SSL a su sitio web. En la práctica, eso puede ser un proceso tedioso y agotador. The Washington Post describió su migración de 10 meses en 2015, explicando cada uno de los diversos problemas y obstáculos que encontraron.

Para agregar un certificado SSL a un sitio, primero debe obtener un certificado, luego aplicarlo en todo el sitio y luego mantenerlo para asegurarse de que no caduque ni caduque en el futuro. Para sitios más grandes, especialmente aquellos con una plataforma de comercio electrónico o un portal de inicio de sesión, este puede ser un proceso muy agotador. Además, corre el riesgo de una caída temporal o permanente del tráfico y de la clasificación de las palabras clave, como la caída orgánica del 11% de Moz durante más de 3 meses.

Las migraciones HTTPS pueden provocar caídas en la clasificación de las palabras clave

¿Por qué me preocupo por HTTPS?

Google ha sido uno de los mayores defensores de los sitios web para que adopten HTTPS desde 2014 , y por una buena razón. Tener una web más segura hace que la vida cotidiana sea infinitamente más fácil para la gran mayoría de los usuarios de Internet. ¿Cuántos de ustedes dudarían en comprar en Amazon si supieran que alguien podría robar la información de su tarjeta de crédito? ¿Cuántos de ustedes usarían el correo electrónico si supieran que alguien podría espiar lo que está enviando? La seguridad web es crucial en la actualidad, pero no se engañe pensando que la hace fácil de implementar.

Afortunadamente para los usuarios de Internet (aunque quizás desafortunadamente para los webmasters y los SEO), HTTPS llegó para quedarse. John Mueller, de Google, insiste en que este es un movimiento que los webmasters deben hacer:

@rchtjn Bueno, apagar el sitio web también ahorra dinero.
- John ☆ .o (≧ ▽ ≦) o. ☆ (@JohnMu) 18 de diciembre de 2015

Más recientemente, Gary Ilyes, analista de tendencias para webmasters de Google, anunció un cambio importante en la forma en que Google mide el PageRank para los redireccionamientos 301 para ayudar a facilitar esta transición:

Las redirecciones 30x ya no pierden PageRank.

- Gary Illyes ᕕ (ᐛ) ᕗ (@methode) 26 de julio de 2016

Al permitir que los redireccionamientos pasen el 100% del PageRank, en lugar del 80-90% como antes, Google espera incentivar a más y más sitios para que adopten HTTPS sin tener que preocuparse tanto por la pérdida orgánica que podría resultar de eso.
Finalmente, Google anunció que a partir de enero de 2017, cualquier sitio que recopile información de tarjetas de crédito o contraseñas que NO utilicen HTTPS se marcará como "No seguro" en Google Chrome:

HTTPS para páginas de contraseña y tarjeta de crédito

Después de trabajar con varios clientes para implementar HTTPS, hemos compilado una lista de lo que está involucrado en los 3 pasos principales de una migración HTTPS:

Pre-migración
Migración
Post-migración

Pre-migración

Copia de seguridad, copia de seguridad, copia de seguridad. No puedo repetir esto lo suficiente. Haga una copia de seguridad de su sitio antes de iniciar su migración HTTPS.

Hay miles de cosas que pueden salir mal durante una migración HTTPS, incluidas cosas que ni siquiera pensó que pudieran salir mal. Descargue una copia de seguridad de su biblioteca multimedia. Guarde copias de seguridad de sus archivos CSS y JS. Si realiza una copia de seguridad de la configuración de todo su sitio, puede deshabilitar fácilmente su certificado SSL si ve que algo sale mal después de habilitar SSL.

Nuevamente, no puedo reiterar cuántas cosas pueden salir mal que no anticiparán en un millón de años. Haga una copia de seguridad de su sitio.

Migración

El Santo Grial, la propia migración. Aquí es donde vale la pena toda la preparación para el dolor y el sufrimiento .

Afortunadamente para los webmasters, hay varias formas más fáciles de migrar a HTTPS que una implementación SSL convencional. ClouldFlare y Let's Encrypt son dos servicios que hemos usado con sitios más pequeños que recomiendo encarecidamente para una migración HTTPS.
** NOTA: Cloudflare recientemente tuvo expuesta una vulnerabilidad de seguridad importante , así que tenga cuidado de adoptar Cloudflare SSL de inmediato. Sin embargo, una vez que el problema se resuelva por completo, este debería ser un servicio viable una vez más.

Cada uno de estos son servicios completamente gratuitos. Proporcionan el mismo nivel de encriptación SSL y seguridad sin las molestias que conlleva una implementación SSL completa. Puede leer más sobre cada servicio en los enlaces anteriores, pero el principio básico de Cloudflare es que proporcionarán un certificado SSL de forma gratuita y luego ofrecerán una versión en caché de su sitio a los buscadores que es completamente segura. La comunicación entre su servidor y el cliente no será segura, pero los visitantes del sitio seguirán llegando a un sitio seguro.

Proceso de cifrado SSL de Cloudflare

Let's Encrypt, por otro lado, ofrece un certificado SSL gratuito que se puede configurar automáticamente a través de un servidor web como WPEngine. Una vez que la autoridad certificadora valida el dominio, Let's Encrypt proporciona el certificado SSL a todo el sitio.

Vamos a cifrar el proceso de cifrado SSL

Si opta por no optar por esta opción, la mejor recomendación es probar todo antes de publicarlo en su sitio. Si tiene un sitio de prueba, pruebe la implementación de SSL en cada página antes de migrar su sitio en vivo. Revise todo, incluidos los enlaces de sus mapas del sitio y los archivos robots.txt, los enlaces de su sitio, las imágenes, los formularios de envío, todo.

Finalmente, asegúrese de tener un redireccionamiento global para capturar cualquier enlace que apunte a la versión HTTP de su sitio. CloudFlare y Let's Encrypt (y la mayoría de los demás entornos) configurarán automáticamente este redireccionamiento, pero asegúrese de que esté incluido en su transición. Lo último que desea es perder la equidad de sus backlinks.

Al mismo tiempo, revise la estructura de URL que utiliza para los enlaces en el sitio. Si sus enlaces utilizan una ruta URL completa ( http://www.example.com/stuff/ ) en lugar de rutas URL relativas (/ stuff /), es posible que esos enlaces no se actualicen después de la migración. No le dé a Google más excusas de las que necesita para desaprobar su perfil de enlace: vuelva a verificar estas dos funciones.

Después de la migración

El hecho de que su migración esté completa no significa que su trabajo haya terminado todavía. A veces, las secuelas pueden ser tan difíciles como la propia migración.

Lo primero que querrá hacer es revisar los scripts de terceros en su sitio. Tuvimos un cliente que completó una migración HTTPS solo para descubrir que todo su tipo de letra en todo el sitio desapareció. Sus fuentes personalizadas fueron reemplazadas por las letras mayúsculas predeterminadas en WordPress, lo que hizo que el sitio pareciera torpe y difícil de manejar. Descubrimos que el problema era que su tipo de letra se importaba de un servicio de terceros que no proporcionaba la biblioteca de fuentes como un archivo HTTPS. Una vez que pudimos actualizar el archivo a un protocolo HTTPS, las fuentes volvieron a la normalidad.

Otro cliente que trabajaba en una migración tenía varios formularios de envío en el sitio importados de Pardot.com. A pesar de que la mayoría de los otros recursos en el sitio se migraron correctamente, estos formularios de envío no lo hicieron, dejando una serie de casillas de entrada en blanco donde anteriormente había formularios de suscripción completos. Como antes, resultó que los formularios de suscripción no migraban a HTTPS de forma predeterminada. Una vez que actualizamos los enlaces, los formularios estaban listos para funcionar.

Formularios de envío de Pardot en blanco después de la migración HTTPS

Los problemas más comunes que hemos encontrado son imágenes inseguras. Una de las primeras advertencias que probablemente notará es un mensaje de error como el siguiente:

Sitio inseguro después de la migración HTTPS

A menudo, durante la migración de un sitio, las imágenes que se incluyen en el sitio tienen direcciones URL inseguras. Incluso después de migrar su sitio, las imágenes importadas de sitios externos a menudo todavía tienen una URL insegura, lo que solicita a Google Chrome que advierta a los usuarios que el contenido del sitio puede verse comprometido.

Algunos de ustedes en este momento están diciendo: "¿Pero cómo se supone que debo verificar cada imagen en mi sitio para saber cuáles son seguras y cuáles no?" Por suerte para ti, tenemos una solución. Dentro de Screaming Frog, mientras rastrea un sitio, puede configurar una extracción personalizada para buscar imágenes con una dirección HTTP.

Extracción personalizada de Screaming Frog

La extracción personalizada debe establecerse en un tipo XPath y configurarse para extraer un elemento HTML. Luego, use el siguiente fragmento como código de extracción:

 // img [contiene (@ src, 'http: //')]

Una vez finalizado el rastreo, la pestaña "Extracción" tendrá una lista completa de páginas con imágenes inseguras y el código fuente de esas imágenes. Desde allí, puede actualizar las URL a direcciones HTTPS.

Lista de imágenes HTTP inseguras en el sitio

Lo segundo que querrá hacer es agregar la versión HTTPS de su sitio a Google Search Console. Google tardará algún tiempo en reconocer que su sitio ahora es seguro y cambiar los resultados de clasificación que muestra a los usuarios. Cuanto antes verifiques la versión HTTPS de tu sitio en Search Console, más rápido podrá Google comenzar a indexar el sitio seguro y entregarlo a los usuarios en los resultados de búsqueda.

Verificar el sitio HTTPS en Google Search Console

En tercer lugar, además de HTTPS, desea asegurarse de que su servidor utilice HTTP / 2.0, la última versión del protocolo general de Internet. Si usa CloudFlare o Let's Encrypt desde arriba, su servidor debería ser compatible con HTTP / 2.0 de forma predeterminada. Sin embargo, por si acaso, nunca está de más realizar una comprobación rápida en https://tools.keycdn.com/http2-test .

El último paso que querrá tomar después de su migración es monitorear constantemente su tráfico orgánico durante las siguientes semanas y meses. Como señaló Rand Fishkin en el enlace anterior, Moz perdió el 11% de su tráfico de búsqueda durante los 3 meses posteriores a su migración, y muchos otros sitios han informado pérdidas similares.

Aunque es posible que tenga pocas opciones para recuperar ese tráfico de inmediato, querrá prestar atención a las consultas de búsqueda en las que ha caído en la clasificación, o qué páginas ven una caída en el tráfico orgánico. Suponiendo que estas páginas no se recuperan rápidamente, eso puede ser una señal de que tiene un problema más profundo en el sitio. Si se trata de un problema más profundo, siga los pasos para saber qué hacer cuando disminuya su tráfico orgánico .

Una vez más, la migración a HTTPS es un paso que debe realizar. Google solo se está volviendo cada vez más insistente sobre esto, y también es una parte integral de brindar una experiencia de usuario positiva a los visitantes de su sitio. Desafortunadamente, el hecho de que esto sea importante no significa que sea rápido o fácil. Siga nuestra guía anterior y podrá evitar las trampas y trampas más comunes de una migración HTTPS. Los beneficios valen la pena.