Implementación de HTTPS de Google: ¿es su sitio listo para Chrome 68?

¿Está su sitio web lejos de los piratas informáticos? Si no, quien visite su sitio web lo sabrá pronto. En febrero de 2018, Google anunció que desde julio de 2018, cuando se lance el Chrome 68, cada sitio web que no ejecute HTTPS se etiquetará como “no asegurado” en la barra de direcciones. ¿Lo que esto significa? Bueno, quien intente acceder a un sitio web sin HTTPS recibirá una advertencia de que el sitio no está seguro. Aquí hay un ejemplo de Google sobre cómo se verá la advertencia en los navegadores:

Imagen: Google. ¿Debería preocuparme por las advertencias de HTTPS? En una palabra: sí. Según Cloudflare, más de la mitad de los visitantes de la web verán estas advertencias. Esto representa el 50% de su tráfico web.
Entonces, si su sitio no está integrado con HTTPS, sus clientes verán que su sitio es vulnerable a los ataques cibernéticos y cualquier información personal que ingresen en su sitio no es segura y podría decidir ir a otro lugar para su producto o servicios, ¿por qué son Google HTTPS? Fuerza de los propietarios del sitio? HTTPS es la versión más segura del protocolo HTTP, que permite a los usuarios web conectarse a sitios web. Las conexiones seguras son un paso importante para proteger a los usuarios de un tipo de ataque cibernético llamado contenido o inyección de falsificación. La falsificación del contenido es cuando un hacker crea un sitio web falso y lo transmite como si fuera legítimo. La intención suele ser a las víctimas de fraude a través del phishing. A veces, sin embargo, el objetivo es simplemente distorsionar una organización o persona.
La falsificación de contenido a menudo funciona porque explota una relación de confianza entre un usuario y organización o usuario, ya sea una empresa famosa o una celebridad. Y no son solo empleados de los piratas informáticos dispersos, a los clientes molestos y cualquier otra persona que quiera dañar a una empresa o persona que pueda hacer un ataque de falsificación de contenido, compartir información y mensajes falsos y llevarlos a su competencia. Las formas habituales de inyección de contenido incluyen la intercepción con el oído, la modificación de los datos y los ataques “hombre en el medio”. Los piratas informáticos también pueden realizar inyecciones de SEO, difundiendo mensajes falsos adicionales a través de la indexación de motores de búsqueda y creación de URL. ¿Cómo sabe Google que HTTPS está funcionando? Porque la seguridad es el segundo nombre de Google. Además, dio tres pasos para empujar a los usuarios, y al mundo, a HTTPS. Google ha ordenado a las empresas de ingeniería de seguridad X41 Mr. GmbH y Cure53 que examinen los puntos de seguridad relativos de los tres navegadores empresariales más populares: Google Chrome, Microsoft Edge y Microsoft Internet Explorer (IE). Los dos estudios encontraron que, en 2017, Google Chrome fue el navegador más seguro de la web debido a sus altas tasas para detectar sitios web sospechosos y vulnerabilidades rápidas.
Google también ha estado jugando con HTTPS durante años. La compañía comenzó a probar en 2014, examinando qué sitios web eran seguros y usaban conexiones que estaban encriptadas en su algoritmo de motor de búsqueda. Las pruebas fueron un éxito sorprendente y, en respuesta, el gigante de la búsqueda comenzó a usar HTTPS como señal de clasificación. Aunque fue solo un pequeño cambio, HTTPS ha afectado menos del 1% de las búsquedas globales, y los factores como el contenido de alta calidad aún han importado. Sin embargo, en ese momento Google vio el potencial e importante HTTPS y quería ver que se logre completamente. Esto es lo que Google tenía que decir sobre los futuros HTTPS en su blog de seguridad en 2014: “… con el tiempo, puede que decidamos Para fortalecerlo (HTTPS), porque nos gustaría alentar a todos los propietarios de sitios web a pasar de HTTP a HTTPS para mantener a todos en la web “. Un año después, Google lanzó otra actualización en su blog de seguridad, anunciando un ligero ajuste de su sistema de indexación. El plan era acceder a los rastreadores, si no más, las páginas HTTPS HTTP, incluso cuando las páginas web HTTPS no estaban conectadas a otros sitios web.
Esto significaba que Google decidió que comenzaría a tocar el favorito. En otras palabras, adiós http. HTTPS tendría un anticipo en la clasificación e indexación de motores de búsqueda simplemente porque era HTTPS y no para ninguno de los requisitos de clasificación habituales. Y si dos URL con el mismo dominio y el mismo contenido poseían diferentes esquemas de protocolo, Google indexaría la URL HTTPS, teniendo en cuenta estas reglas:
No contiene adicciones inseguras
No hay acceso con robots.txt rastreadores no está bloqueado
No redirige a los usuarios a o mediante una página insegura HTTP tiene un enlace rel = “canónico” a la página HTTP
No contiene un metaetichet noindex robots
No tiene hostlks en hosts a las direcciones de URL HTTP
El mapa del sitio muestra URL HTTPS o no enumera la versión HTTP de la URL
El servidor tiene un certificado TLS válido
En 2016, Adrienne Porter Sentir y Emily Schechter del equipo de seguridad de Chrome lanzaron otra actualización en el blog de seguridad de Google para compartir su éxito HTTPS.
Su informe HTTPS ha documentado la mayor seguridad de la web debido a HTTPS. Incluye datos sobre cómo aumentar la implementación de HTTPS de 2014 a 2016, que más del 50% de las páginas web se cargaron con HTTPS y que dos tercios del tiempo en el navegador Chrome estaban con HTTPS. Este gráfico en Google Security Blog ofrece una imagen más completa de cuántos sitios se han utilizado para usar HTTPS:
Imagen: Google. En 2017, Google comenzó a aplicar aún más presión. Ha anunciado que a partir de enero, las páginas web HTTP que han recopilado contraseñas y/o información de la tarjeta de crédito se etiquetarán como “insegura”. Este cambio sería parte de la versión Chrome 56.
Luego, en abril de 2017, el gigante de los motores de búsqueda hizo las cosas un paso más allá, anunciando que a partir de octubre de ese año, Chrome 62 mostrará la advertencia “no garantizada” en dos situaciones adicionales: cuando los usuarios ingresan datos en una página HTTP y en todos http. Páginas visitadas en modo de incógnito.
Google enfatizó que, desde el cambio 56, ha habido un descuento del 23% en el número de páginas HTTP con contraseña o formularios de tarjetas de crédito. En febrero, Google hizo el HTTP más reciente, anunciando “Una web segura está aquí para quedarse”. Con el lanzamiento de Chrome 68, todas las páginas web que no usan HTTPS se marcarán como “no garantizadas”. Guía rápida: asegurar su sitio con HTTPS si no está seguro de si su sitio usa HTTPS, verifique la URL. Si ve “https” frente a su nombre de dominio, entonces su sitio es seguro.

Instalar un certificado SSL fue una de las primeras cosas que hice cuando configuré mi sitio. Si la URL comienza con “HTTP”, entonces es incierto y se verá así, dependiendo del navegador:
¡ABC News aún no ha establecido HTTPS desde marzo de 2018! Esperamos que las hadas de Internet lo hayan bendecido con un sitio HTTPS seguro y pueda manejar el día y dejar de leer esta guía.

Afortunadamente, lo mejor de la instalación de un certificado SSL (capa de enchufe segura), que necesita para activar HTTPS en su sitio, es que es fácil de configurar. Una vez que haya terminado, todo lo que tiene que hacer es dirigir a los visitantes que usen HTTPS en lugar de HTTP. Pero si no tiene HTTPS en su sitio, aquí le mostramos cómo comenzar. Nota: Trabajo en una guía más en profundidad sobre HTTPS para WP Rocket, ¡así que mira este espacio! ¿Necesito una dirección IP dedicada? Hasta los últimos años, era posible instalar un certificado SSL solo si tenía una dirección IP dedicada a su sitio. Sin embargo, una tecnología llamada SNI (indicación del nombre del servidor), que ahora es estándar en los servidores web, ha resuelto este problema al permitir más certificados en una sola dirección IP compartida. El único problema es con los navegadores web más antiguos que pueden no admitir SNI. Aquí es donde una dirección IP dedicada puede ayudar, cubriendo todas las bases. 1. Compre un certificado Algunos proveedores de alojamiento ofrecen SSL gratuito con sus planes. SiteGround es un anfitrión administrado por WordPress que ofrece certificados SSL de Let’s Cifrypt gratuitos con cada cuenta. Kinsta también acepta Let’s Encrypt y proporciona asistencia SSL gratuita para los clientes sin costos adicionales. Si su proveedor de alojamiento no proporciona un certificado SSL gratuito, es posible que deba comprar uno de un tercero a través de su host web. Algunos proveedores de alojamiento como Bluehost los venden por alrededor de $ 50. Para obtener más información sobre los certificados SSL, consulte Let ‘
s encrypt. Es una autoridad de certificación gratuita y abierta, administrada para el beneficio público del Grupo de Investigación de Seguridad de Internet. The Let’s Cifrar. 2. Genere una solicitud para firmar el certificado (CSR) una vez que tenga un certificado SSL, o solicite a su host web que instale el servidor para usted o lo configure usted mismo. Para configurarlo usted mismo, deberá generar la solicitud de firma de un certificado. Básicamente, esto identifica el servidor y las áreas con las que utilizará el certificado. Las instrucciones para hacer esto serán diferentes dependiendo de su servidor, pero generalmente tendrá que:

Inicie sesión en su servidor por Secure Shell (SSH)

Ejecutar un comando de consola
Ingrese los detalles de su URL y empresa
Copie e inserte el texto en el área de solicitud SSL de su cuenta

Deberá consultar con su host web que trabaje con su servidor, por ejemplo, aquí están las instrucciones para los usuarios de GoDaddy. 3. Dígale a WordPress que use SSL y HTTPS El paso final es asegurarse de que WordPress sepa que ahora está usando SSL y HTTPS. Vaya al tablero de WordPress y vaya a Configuración> General. Desplácese hacia abajo hasta los campos “Dirección de WordPress (URL)” y “Dirección de sitio (URL)” y reemplace “http: //” con “https: //”
Guarde los cambios y haya terminado de configurar SSL para un nuevo sitio web. Sin embargo, si lo configura para un sitio web existente, hay algunos pasos. Debe decir WordPress para redirigir de HTTP a la versión HTTPS más segura. Para hacer esto, use FTP, Cpanel o cualquier otro método ofrecido por su host y abra el .htaccess (o cree uno) en uno del director raíz de su sitio. Pegue el siguiente código sobre lo que ya podría estar en el archivo: https://gist.github.com/raewrits/5760b23cb300078d97ea8e7159f123a Ahora, visite su sitio para asegurarse de que funcione. Si “https: //” aparece en la URL con un bloqueo verde al lado, entonces está listo. Pasos adicionales para WordPress multisitio Si desea agregar HTTPS a su área de administración multisitio o en páginas de inicio de sesión, también deberá configurar SSL en el archivo wp-config.php. Agregue el siguiente código en la parte superior “¡Esto es todo, deja de editar!” Línea: https://gist.github.com/raewrits/dc6a5c3dc162c3964dd7dec0e7bf378d