Guía SSL/HTTPS – Cómo instalar un Certificado SSL y activar HTTPS

0
518
instalar un Certificado SSL

Estamos conectados a Internet todo el día, todos los días. Nos informamos del estado del tiempo, leemos correos, noticias, pagamos cuentas, compramos, etc…

Muchas de estas interacciones online requieren del uso de una conexión segura, a través de la cual podamos enviar información personal, que en muchos casos va más allá del nombre de usuario y contraseña, como son números de tarjetas de créditos y otras informaciones sensibles. Este tipo de comunicación segura en el Internet se realiza utilizando el llamado protocolo “HTTPS”.

Hasta hace apenas unos 4-5 años atrás, el uso de este protocolo era algo casi de uso exclusivo solo a las empresas, sin embargo hoy en día el coste de los Certificados de Seguridad han disminuido tanto que incluso pueden conseguirse GRATIS. Pero no nos adelantemos, pues hay bastante que explicar.

¿Para qué necesitas tener un Certificado de Seguridad en tu sitio web?

Hay muchos factores que pueden llevarte a requerir el uso (instalación) de un Certificado de Seguridad o “SSL Certificate” en tu sitio web, pero de todo el más importante se llama “CONFIANZA”. Por ejemplo, digamos que tienes una tienda online, y que alguien ha seleccionado un artículo para comprar. Aparte de las características propias de este producto como son color, tamaño, peso, etc, el visitante necesita saber inequívocamente que cualquier transacción que realice está protegida, que hay un cierto nivel de garantía de que toda la información que transmita a tu tienda está debidamente protegida.

Sin esta garantía de procesamiento de información de manera segura y confidencial, es muy difícil que puedas vender algo. He ahí la importancia de tener un Certificado SSL instalado en tu sitio. Cuando esta garantía existe, en el navegador del visitante aparece el conocido icono del candado, y la URL del sitio comienza con: “https”.

Aparte de la razón anterior, Google ha incluido el uso de Certificados SSL/TLS como un factor para determinar el ranking de un sitio web en los resultados de búsqueda. Este otro factor ha empujado a muchos Blogs y Sitios WordPress a utilizar Certificados de Seguridad.

Mi consejo es que si decides usar un Certificado de Seguridad lo hagas por tus clientes y visitantes, no porque Google te lo exige.

¿Qué es SSL/TLS? ¿Qué es HTTPS?

Lo usual cuando nos referimos a un sitio seguro es decir que es “https” o que tiene “SSL”, como si uno fuera sinónimo del otro, aunque en realidad son dos cosas distintas pero relacionadas. Veamos:

SSL (TLS)[3]

SSL son las siglas en inglés de “Secure Sockets Layer” lo cual pudiera traducirse como “Capa de Conexiones Seguras”.

En esencia es una tecnología estándar de seguridad para establecer enlaces de comunicación encriptados entre un servidor web y el navegador de un usuario. Esta tecnología garantiza que una vez establecido este enlace seguro, toda la información transmitida entre el servidor y el navegador permanezca privada e integra, previniendo el acceso y/o modificación del contenido de la información transmitida.

SSL fue creado en 1994 por Netscape Communications y la difusión y uso comenzó a partir del 1996. Tras su introducción se descubrieron varias vulnerabilidades, y en el 1999 el “IETF” (Internet Engineering Task Force) tomó control del proyecto modificando y mejorando la tecnología, motivo por el cual se renombró como TLS (Transport Layer Security). Hoy en día se sigue utilizando el nombre inicial (SSL) aunque en realidad lo correcto es decir TLS.

HTTPS

Por el contrario a SSL, HTTPS es parte de la sintaxis para conformar una URL usando el protocolo HTTP, aunque en este caso, HTTPS indica al navegador que debe agregar una capa de seguridad extra para establecer una comunicación segura con un servidor web.

Resumiendo SSL es la norma, el estándar que define cómo establecer una comunicación encriptada utilizando el protocolo HTTP.

¿Cómo funciona SSL?

Para usar SSL es necesario instalar en el servidor web un “Certificado de Seguridad”. Estos Certificados incluyen el nombre de tu dominio, nombre de la empresa, dirección y país. También incluye la fecha en la que el certificado caduca, así como detalles de la entidad que emite el certificado.

Cuando un usuario se conecta a un sitio seguro, el navegador chequea la validez del certificado de seguridad, si por algún motivo el certificado no puede ser validado, el usuario recibe un mensaje (prominente) de que la conexión no es segura debido a que el certificado no ha podido ser validado.

Desde el punto de vista práctico, el uso de SSL conlleva a que las URLs comiencen con “https” y además que el puerto de comunicación utilizado sea el “443”, el cual difiere del puerto “80” utilizado por defecto por el navegador para establecer una conexión usando el protocolo “http”.

¿Cuándo comenzar a usar SSL/HTTPS?

Técnicamente hablando para comenzar un Blog/Sitio WordPress no necesitas tener un Certificado de Seguridad instalado en el servidor web. Puedes incluso tener una tienda online sin todavía requerir uno usando PayPal, pues todas las transacciones son realizadas en la plataforma de pagos seguros de PayPal. Este es el motivo principal por el que PayPal es tan popular.

Ahora bien. Si vas a procesar pagos usando otras plataformas (por ejemplo, Stripe) es obligatorio el uso de Certificados de Seguridad en tu servidor para poder procesar pagos.

También vas a necesitar un Certificado si necesitas conectar una aplicación para que funcione nativamente desde tu página de Facebook y que conecte a esta con tu Blog/Sitio WordPress,

Como estrategia a largo plazo te recomiendo que uses desde el mismo primer día un Certificado de Seguridad para tu Blog/Sitio WordPress.

Tipos de Certificados de Seguridad

Existen varios tipos de Certificados de Seguridad, los cuales pueden clasificarse de la siguiente manera:

  • Atendiendo al nivel de validación
  • Atendiendo a los dominios protegidos

Atendiendo al Nivel de Validación

El nivel de validación determina el método seguido por la Autoridad que emite el Certificado, pudiendo ser:

  • Basada en el Dominio: Este es quizás el método más conocido por todos. Para generar un Certificado de Seguridad la Autoridad que lo emite valida la pertenencia del dominio a la persona que está solicitando el Certificado, usando para ello la información administrativa recogida durante el proceso de registración del dominio. Este trámite puede durar desde unos pocos minutos hasta unas pocas horas y requiere que tengas acceso al correo electrónico del administrador del dominio, o que puedas agregar información adicional al DNS del dominio, o ambos. Este tipo de Certificado es muy adecuado para individuos. Una vez instalado se muestra el icono del candado, seguido por la URL conteniendo “https” al inicio, como se muestra en la imagen de abajo.
  • Basada en la Organización: En esencia es un trámite parecido al anterior, pero en este caso, la Autoridad que emite el Certificado exige la entrega de documentación adicional que prueba la identidad de la organización solicitante. Un trámite de este tipo puede tardar desde varias horas hasta varios días. Este tipo de registración es recomendada a organizaciones y empresas.
  • Validación Extendida: Aparte de los requerimientos anteriores la organización debe presentar documentación que pruebe la existencia legal de la misma. Este es un trámite que puede tardar desde varios días hasta varias semanas. Se recomienda a organizaciones globales con mucho peso. Cuando se extiende un Certificado de este tipo aparte del icono del candado, el nombre de la organización antecede a la URL, como por ejemplo en el caso de Twitter.

Atendiendo a los dominios protegidos

Todos los Certificados de Seguridad limitan su uso a los dominios especificados en este. Por tanto en el momento de adquirir uno debes tener en cuenta lo siguiente:

  • Un dominio: Este certificado sólo cubre o protege al dominio principal, lo cual aplica a URLs que usen “www” o “no-www”. Por ejemplo, https://www.tublog.com y https://tublog.com
  • Un dominio y sus sub-dominios: Este tipo de Certificado incluye tanto al dominio principal como a cualquiera de sus sub-dominios. Por ejemplo, https://tublog.com y https://mail.tublog.com
  • Varios dominios: Este tipo de certificado puede proteger múltiples dominios y sub-dominios.

¿Dónde obtener Certificados de Seguridad?

Existen muchas empresas con las que puedes adquirir un Certificado de Seguridad, pero si ya necesitas uno, el primer paso es investigar si tu proveedor de alojamiento web provee o vende estos. Casi todos están afiliados a alguna de las entidades que emiten los certificados. Otro factor a considerar es: ¿quién va a instalar el certificado en tu servidor? Si tu proveedor permite que tú lo hagas pues nada puedes adquirir el certificado con quien desees. Lo usual es que los proveedores de alojamiento exijan el uso de los certificados que ellos venden y la instalación va por ellos.

Las entidades más conocidas y utilizadas son:

  • Namecheap
  • Comodo
  • Symantec (Verisign)
  • GeoTrust
  • Let’s Encrypt (Certificados Gratis)

Instalando un Certificado de Seguridad

Instalar un Certificado de Seguridad no es algo súper difícil, pero se requiere seguir un proceso ordenado y metódico. En muchos casos tu compras el Certificado y el proveedor de alojamiento web se encarga de instalarlo. Si no te queda más alternativa que instalarlo tú mismo te recomiendo que sigas las instrucciones de la Referencia [6], la cual detalla cómo instalar un Certificado usando cPanel en un alojamiento web compartido. Si estás alojado en Bluehost, puedes usar la Referencia [7], aunque con este proveedor de Alojamiento hay una manera de instalar Certificados para usar con WordPress muy, muy fácil y que explico más adelante.

OJO: En muchos casos aparte del Certificado debes adquirir una dirección IP estática.

Una vez instalado el certificado debes asegurarte que esté correctamente instalado, para ello debes visitar Qualys SSL Labs y proveer el nombre del dominio a chequear.

El siguiente paso…

Instalar un Certificado de Seguridad es una tarea sencilla pero que requiere de múltiples pasos, todos ellos ejecutados en el servidor directamente, lo cual hace que muchos piensen que es como hacer una cirugía a corazón abierto. No obstante esa supuesta complejidad es un paso obligatorio si quieres utilizar HTTPS con WordPress.

Te adelanto que en la siguiente anotación voy a decirte lo que tienes que hacer para finalmente usar SSL/HTTPS con WordPress; pero es más, te voy a decir cómo hacerlo con dos clicks!

Cómo mover una página web HTTP a HTTPS en WordPress

Cuando instalas un Certificado de Seguridad en tu alojamiento web estás todavía a unos pasos para hacer que WordPress pueda utilizar HTTPS completamente.

La mejor opción es siempre usar SSL/HTTPS desde el mismo primer día en que instales WordPress; lo cual no es el caso para muchos.

Este escenario común de mover WordPress a HTTPS requiere entonces que se realicen modificaciones a la base de datos y algunos archivos de la instalación de WordPress.

Instalar WordPress en un alojamiento que ya dispone de un Certificado de Seguridad no es para nada distinta de lo que ya (probablemente) conozcas. Así que pasamos de inmediato a los pasos que requieres seguir para “Mover completamente tu Blog/Sitio WordPress a HTTPS”.

OJO: Haz una copia de respaldo de la base de datos antes de empezar a producir cambios. Para ello puedes ir directamente a cPanel en tu alojamiento y usando “phpMyAdmin” hacer una copia de la base de datos. También puedes usar uno de los tantos plugins disponibles para hacer copias de respaldo.

1er Paso – Verificar HTTPS en las URLs

Lo primero que necesitas hacer es acceder a la administración de WordPress. Si todo va bien debes ser capaz de iniciar sesión desde: hrrps://tublog,co/wp-login.php. Una vez adentro debes ir a: “Ajustes   Generales”, y asegurarte que tanto la dirección de WordPress y la dirección del sitio contengan “https” en la URL, de lo contrario agrega la “s” y guarda los cambios.

2do Paso – Actualizar todos los enlaces

El paso anterior te garantiza que puedas acceder a la administración de WordPress y además que cualquiera pueda llegar a tu Blog/Sitio WordPress usando “https”, pero en esta fase los visitantes verán un sitio roto, desajustado y sin imágenes. Esto sucede porque es necesario reemplazar todas las URLs que comiencen con “http” por “https”.

Para realizar este cambio globalmente en la base de datos puedes usar plugins, hay varios. Lamento decirte que todos los que he usado han sido capaces de actualizar las URLs de las imágenes, pero son muy pobres cambiando URLs contenidas en datos seriados, como los que producen muchos plugins. Este tipo de trabajo de Búsqueda/Reemplazo en la base de datos lo he venido haciendo por años con ayuda de un script llamado Search Replace DB, cuyo uso fue explicado en la serie de XAMPP.

3er Paso – Forzando Administración Segura

El siguiente paso es forzar el uso de SSL para acceder al área de administración de WordPress. Para ello es necesario que introduzcas una constante en el archivo “wp-config.php”[1].

define('FORCE_SSL_ADMIN', true);

OJO: La constante FORCE_SSL debe ser definida antes de que el archivo “wp-settings.php” sea requerido (ejecutado), tal como se ilustra en la imagen.

4to Paso – Redirecciones

Ya WordPress ha sido movido completamente a SSL/HTTPS, sin embargo es necesario garantizar que cualquiera que visite el Blog/Sitio WordPress esté usando “https” y no “http”. Para ello debes establecer una Re-dirección 301 Permanente, lo cual debes hacer introduciendo el siguiente fragmento de código al inicio del archivo .htaccess de tu Blog/Sitio WordPress:

RewriteEngine on
RewriteCond %{HTTP_HOST} ^tublog.com [NC,OR]
RewriteCond %{HTTP_HOST} ^www.tublog.com [NC]
RewriteRule ^(.*)$ https://www.tublog.com/$1 [L,R=301,NC]

OJO: Todas las instancias “tublog.com” deben ser sustituidas por el dominio de tu Blog/Sitio WordPress.

IMPORTANTE: El archivo .htaccess está oculto por defecto, si usas un cliente FTP como Filezilla debes asegurarte de que este te muestre los archivos ocultos en el servidor. Puedes editar el archivo .htacces usando algún plugin (Yoast SEO y All in One SEO incluyen editores para .htaccess), o usando el Administrador de Archivos de cPanel.

5to Paso  – Notificar a Google

Hay un cambio que no tiene nada que ver con WordPress, y seguro que ya lo adivinaste!?…

Hay que notificarle a Google el cambio de la URL, en específico, hay que actualizar los datos del Blog/Sitio WordPress en la Consola de Búsquedas (antiguo Webmaster Tools).

OJO: Si no quieres perder todos los datos históricos de SEO con los que ya cuenta la Consola de Búsqueda, sigue entonces las instrucciones de la Referencia [2].

Problemas Frecuentes

Si por algún motivo sucede algo “freaky”, no te aterrorices, todo puede deshacerse (contando que hayas hecho una copia de respaldo) y comenzar otra vez o buscar ayuda.

No obstante te dejo aquí como referencia los tres problemas más frecuentes y cómo resolverlos.

  1. Errores de Contenido Inseguro – Esto puede suceder si utilizas imágenes y otros archivos provenientes de una fuente externa y que no está sirviendo esos recursos usando SSL. Por ejemplo, si tienes las imágenes alojadas en un CDN (Content Delivery Networl), debes entonces verificar que el proveedor de este servicio pueda entregar las imágenes y otros archivos usando SSL.
  2. Errores de Redirección –Todas las instalaciones de WordPress son distintas y también todos los servidores web, así que hay una pequeña posibilidad de que las redirecciones del 4to Paso creen algún problema o que no trabajen. En ese caso puedes agregar la siguiente línea al inicio del archivo .htacces (debes borrar primero las líneas incluidas en el 4to Paso):
    RewriteCond %{HTTPS} !=on
    RewriteRule ^(.*) https://%{SERVER_NAME}/$1 [R,L]
  3. Login Loop – En algunas instalaciones de WordPress que se han movido a SSL/HTTPS ocurre lo que se denomina como “Loop Infinito” cuando intentas hacer Login (Iniciar Sesión). Es decir entras los datos para iniciar sesión y cuando haces click para acceder vuelve a aparecer la planilla para iniciar sesión. Una y otra vez. Si te pasa algo como esto NO LLORES… Este es un mal común a muchas instalaciones de WordPress en VPS. Para resolverlo sólo debes seguir las instrucciones de la Referencia [1].

WordPress SSL/HTTPS en DOS CLICKS

Si estás pensando que soy un exagerado, pues a lo mejor tienes razón, aunque en este caso no tanto.

Mira, uno de los motivos por los que en Mashaway usamos y recomendamos a Bluehost es porque te la ponen fácil en casi todo lo que necesites hacer, y en el caso que nos ocupa, el de los Certificados SSl y Mover WordPress a HTTPS,  pues igual es BIEN FÁCIL, sólo necesitas “2 CLICKS”.

Para instalar el certificado sólo tienes que seleccionar el dominio que quieres pasar a HTTPS y escoger el Certificado de Seguridad deseado.

Bluehost ofrece los siguientes certificados:

  • Certificados SSL GRATIS para todas las instalaciones de WordPress.
  • Certificados Positive SSL
  • Certificados Comodo SSL

Una vez seleccionado el dominio y el tipo de certificado que deseas, haces click en ordenar y PUM… El ejército de enanitos azules de Bluehost se encarga de todo, no tienes que tocar nada, ni cambiar nada. La instalación automatizada del Certificado y la movida de WordPress a SSL/HTTPS tarda solo unos minutos, como por arte de magia!!!…

Todo el proceso completo a seguir con Bluehost para Instalar WordPress en POCOS CLICKS y además hacer la instalación segura con SSL/HTTPS.

Si estás buscando alojamiento para tu Blog, te recomendamos sinceramente Bluehost.

Ahora te toca a ti dar el primer paso. Comienza por determinar si el dominio que quieres está disponible usando para ello el widget de búsqueda de dominios de Bluehost provisto debajo.

OJO: Bluehost te ofrece alojamiento web y dominio GRATIS (durante el primer año) por solo $3.49/mes.

DEJA UNA RESPUESTA

Please enter your comment!
Please enter your name here