Pasar de http a https ¿bueno para el SEO?

Implicaciones del cambio de http a https

Y qué es lo que hay que tener en cuenta (pros y contras)

Pros:

  • Seguridad del usuario
    • Autenticación: Los atacantes no podrán suplantar el destino.
    • Integridad del contenido: atacantes no podrán “modificar” el contenido del sitio.
    • Encriptación de las comunicaciones: atacantes no podrán leer las comunicaciones.
  • Según parece, la conjunción de TLS con SPDY hace que las webs vayan mas rápido. No sabía si ponerlo en la parte de pros o contra, por que SPDY es un protocolo de Google, por lo que me da la impresión que es darle mas poder al monstruo. Pero una cosa parece segura: el hacer correr SPDY sobre TLS agiliza la web y se producen menos comunicaciones previas, se consume menos recursos del servidor (por ejemplo, en Apache, se lanzan menos hilos en la computación) y menos memoria, aunque, por contra, se consume mas CPU.

Además, favorece que, ante un posible ataque a través de redes WIFIs abiertas o similares, el usuario ande mas seguro.

Contras:

  • Más que posible caída en los rankings ante una migración mal hecha.
  • El rendimiento de la web WPO se verá afectado. El certificado SSL requiere de la encriptación/desencriptación del contenido antes y tras ser transmitido, lo que aumentará la carga de la web.
  • Hay que renovar el certificado periódicamente.
  • Mantenimiento de las versiones de OpenSSL y bibliotecas TLS
  • Si somos unos fanáticos de las métricas, nuestros contadores sociales se resetearán a 0

¿Qué tener en cuenta cuando cambio a https?

  • No varía mucho el cambio de http a https con lo que ya sabemos de migrar una web completamente (Google how-to, Google how to https to http)
  • Redireccionar 301 de http a htpps, URL a URL (es decir, crear una regla en el .htaccess del http que te redirija correctamente todas y cada una de las URL de la web).
  • Prestar especial atención a imágenes, scripts y css
  • Ojo a las anteriores redirecciones (según tengamos www. o sin www.) deberemos pasar la redireccion al https directamente para ahorrarnos un salto y favorecer el acceso rápidamente al recurso final.
  • Actualizar las URLs internas.
  • Poner las canonicals correctamente en el https, apuntando a si mismas o a la URL correspondiente con el protocolo de seguridad incluido.
    
    
  • Poner las etiquetas idiomáticas correctamente
    
    
  • Si, además, tienes la nueva funcionalidad dentro de GWMT de la codificación por idiomas, échale un vistazo y comprueba que está correctamente etiquetado.
  • Si tienes un sitemap.xml deberás cambiar el antiguo por el nuevo con todas las URLs https.
  • Revisar tu programa de analítica para comprobar que está correctamente establecido. Muchas veces, la personalización de los patrones, segmentos y similares se ven desconfigurados ante un cambio de la URL de la web.
  • Solicitar que te cambien los enlaces. Y esto es un trabajo arduo y duro de narices.

¿Qué no puedes hacer?

Es importante saber que a día de hoy (10 de Agosto del 2014) no puedes cambiar la URL dentro de Google Webmaster Tool. La herramienta de “cambio de dirección” dentro de Google Webmaster Tool no te permite hacerlo.

Si haces hotlinking de una web que no soporta https te saltará un aviso en mitad de la carga, por lo que la carga de estas imágenes, scripts, widgets y similares se verá afectada, a la vez que dará una mala experiencia al usuario y puede llegar a incrementar la tasa de rebote sustancialmente.

Cambiando http a https en un medio

Pasando por alto que no entiendo el por qué un medio, un contenido informacional, necesita tener su web con SSL (el protocolo “se inventó” para proteger las comunicaciones de datos críticos, personales,…) comentar que los medios de comunicación que están en Google News pueden cambiar sus referencias a https sin ningún tipo de problemas. John Mueller comentaba en este hilo de Google Plus (si no lo usan ellos ¿quién lo va a hacer?): “He hablado con la gente de Noticias y me comentan que https no representa un problema para Google Noticias, que no necesitan siquiera comentarle a Google que se han migrado.

Buenas prácticas para establecer el https correctamente

  • Google recomienda usar certificados de 2048 bits.
  • Elegir una de las compañías reconocidas del sector.
  • Utilizar un servidor web que admita HSTS (HTTP estricto) y que esté activado.
    Strict-Transport-Security: max-age=10886400; includeSubDomains
  • Cuidado con el robots.txt del http y del https (sobre todo de este último). Debes permitir que el robot encuentre todo lo que necesita.
  • Intentar evitar el uso de la meta etiqueta robots
    
    
  • Decidir que tipo de certificado se necesita:
    • single (si nuestro dominio es solo www.dominio.com)
    • multi-domain (www.dominio.com, cdn.dominio.com o www.dominio.co.uk)
    • wildcard certificate (que se usa para los que tienen muchos subdominios dinámicos (a.dominio.com, b.dominio.com, c.dominio.com)
  • Referente al certificado: Cuidado con que éste expire.
  • Usar URL relativas para los recursos que se encuentren dentro del mismo dominio. (/sobre/senor-munoz/)
  • Utilizar URL relativas de protocolo para el resto de dominios (//cdn.dominio.com/loquesea)

Un pequeño checklist para los Sysadmin

  1. Tener el certificado SSL de 2048 bits
  2. Configurar completamente la cadena de certificación. Una cadena de certificación incompleta ralentiza la autenticación.
  3. Configurar TLS en el servidor. Un recurso muy interesante es el documento de configuración de Apache, Nginx, HAProxy, AWS y similares de Mozilla. Un consejo: no pilles “cachos” de diferentes sitios. Utiliza una sola guía actualizada.
  4. Verificar la configuración TLS del servidor. Otro recurso muy interesante es el que ofrece Qualys SSL Labs para comprobar si la configuración es correcta o no (y otra guía muy interesante es este recurso en PDF SSL/TLS Deployment Best Practices)
  5. Monitorizar rendimiento: mucho ojo al resumption rate
  6. Configurar el servidor para cachés, minimificaciones, conexiones con base de datos

Enhorabuena estas navegando de forma segura