Cómo usar el protocolo HTTPS y los certificados SSL para proteger su tienda en línea
En esta publicación, le mostraremos cómo funcionan el protocolo HTTPS y los certificados SSL, y cómo puede obtenerlos para su sitio web.
17 minutos de lectura
Cuando los clientes compran algo en su tienda, comparten sus datos privados (nombre, correo electrónico, detalles de la tarjeta de crédito) con usted. Como comerciante, desea mantener estos datos vulnerables a salvo de piratas informáticos, estafadores y ladrones de datos. Eso es crucial para generar confianza con su audiencia.
Puede y debe proteger los datos de sus clientes y aumentar la confianza en su negocio con el protocolo HTTPS y un certificado SSL. Esas herramientas no solo pueden mejorar la seguridad y aumentar su confiabilidad, sino que también pueden ayudar a que su tienda se clasifique mejor en los motores de búsqueda.
Si vende en línea con Ene Ecommerce, le complacerá saber que los datos de sus clientes ya están protegidos. Sin embargo, el uso de un certificado SSL puede tener algunos beneficios adicionales.
En esta publicación, le mostraremos cómo funcionan el protocolo HTTPS y los certificados SSL, y cómo puede obtenerlos para su sitio web.
Descripción de los certificados SSL y el protocolo HTTPS
En Internet, todos los datos se transfieren de un dispositivo a otro de acuerdo con ciertas reglas o protocolos.
Para los sitios web, este protocolo se llama Protocolo de transferencia de hipertexto (HTTP). Transfiere los datos que sus clientes ingresan en su sitio web al servidor que aloja su sitio web, y luego ayuda a enviar la respuesta al navegador. Por ejemplo, el usuario presiona un botón y se abre una nueva página, o completa el formulario de registro por correo electrónico y ve la confirmación de un registro exitoso.
El problema con HTTP es que no protege los datos que se transfieren de los navegadores a los servidores. Cualquier dato que pase por HTTP es esencialmente «desnudo».
Una buena analogía es pensar en dos estudiantes pasando notas a través de un aula. Cualquiera de sus compañeros de clase puede leer, copiar o incluso reemplazar la nota. Es lo mismo con los datos de sus clientes: un villano puede robar los detalles de la tarjeta de crédito y el dinero de ella.
Es por eso que se creó un nuevo protocolo para proteger los datos: HTTPS (HyperText Transfer Protocol Secure). Con HTTPS, todas las transferencias de datos entre un usuario y un servidor web están encriptadas. Este cifrado es tan complejo que es casi imposible hackear y usar los datos.
Para utilizar el protocolo HTTPS, su sitio primero necesita un certificado SSL (Secure Socket Layer).
Un certificado SSL es esencialmente una clave para cifrar datos. Protege los datos en tres niveles:
- Cifrado de datos. Los hackers no podrán ver qué información ingresó un usuario en el sitio o rastrear las acciones del usuario en una página. Piense en ello como una nota escrita con un cifrado: solo puede ser leída por alguien que conozca la clave.
- Integridad de los datos. Los hackers no pueden reemplazar o distorsionar los datos transmitidos. Además, sin conocer la clave, es imposible escribir, editar o manipular los datos, al igual que en una situación de nota cifrada.
- Autenticación. SSL garantiza que un usuario esté en un sitio de confianza y no en la página de un hacker. Si solo dos participantes conocen la clave, seguramente sabrán de quién recibieron la nota. Un extraño no puede pasar su propia nota y obtener la información haciendo trampa.
Puede ver si un sitio está protegido por un certificado SSL a través del protocolo HTTPS en la dirección URL. La mayoría de los navegadores lo indican visualmente en forma de icono de candado:
Quién debería usar SSL (y por qué)
SSL es necesario para los sitios donde los usuarios ingresaban información confidencial, como los detalles de la tarjeta de crédito. Las tiendas de comercio electrónico que no quieren perder a sus clientes ya han estado utilizando el protocolo HTTPS por un tiempo.
Pero a menudo, las tiendas en línea solo protegen las páginas de registro y pago con SSL, porque esos son los únicos lugares donde sus clientes comparten datos personales. El resto del sitio web a menudo funciona en el HTTP inseguro.
Hoy en día, HTTPS es una necesidad para todas las páginas web. Hay varias razones para ello.
Los navegadores marcan sitios no protegidos
Chrome y Firefox, dos de los navegadores más populares del mundo, marcan visualmente los sitios que no usan SSL.
Por ahora, solo se ve un icono de información gris. Pero en el futuro, los navegadores planean cambiar el indicador de seguridad a un triángulo rojo para las páginas en HTTP. Sus clientes están acostumbrados a ver esto como un indicador de «advertencia».
En consecuencia, no usar SSL puede hacer que las personas tengan miedo de comprar en su sitio web.
El uso de SSL mejora las clasificaciones
En 2014, Google anunció que consideraría usar SSL como una señal de clasificación. Esto significaba que los sitios que usaban SSL obtendrían un impulso en el tráfico de los motores de búsqueda.
Requisitos del servicio de pago
Un número creciente de servicios de pago tienen HTTPS como requisito para trabajar con ellos. Por ejemplo, Apple Pay solo funciona con HTTPS.
Aumenta la confianza
Las preocupaciones sobre la seguridad de los pagos son una de las 10 razones principales para el abandono del carrito de compras. Cuando agrega un certificado SSL a su tienda, comunica visualmente a los usuarios que sus datos de pago están seguros.
Más confianza, por supuesto, equivale a más ventas.
Si desea que sus clientes encuentren fácilmente su tienda en los motores de búsqueda y confíen en usted más fácilmente, no posponga el cambio a HTTPS.
Cómo obtener un certificado SSL y cambiar a HTTPS
Para cambiar a HTTPS, primero debe comprar e instalar un certificado SSL en el sitio web. Este proceso puede ser simple o más complejo para algunas tiendas, dependiendo del tipo de sitio que tenga.
1. Estás usando un sitio instantáneo de Ene Ecommerce
Cualquiera que se haya registrado en Ene Ecommerce obtiene un sitio web con una tienda en línea incorporada. Este sitio es completamente gratuito para todos los usuarios.
Es posible que conozca esto como el ‘Instant Site’ de Ene Ecommerce.
Si utiliza este sitio, entonces ya tiene un certificado SSL de forma predeterminada. Una tienda en línea en un sitio instantáneo de Ene Ecommerce cumple con los estándares internacionales para la transmisión segura de datos.
Pruébalo ahora mismo: dirígete a tu sitio web y mira detenidamente la barra de direcciones del navegador. Verá un icono de candado verde con el mensaje «Seguro» junto a la URL. Tenga la seguridad de que su tienda en línea es segura.
También obtiene un certificado SSL gratuito para esta acción. Sólo tienes que seguir estos pasos:
- Inicie sesión en su tienda Ene Ecommerce, luego vaya a Configuración → Sitio instantáneo y haga clic en el botón «Cambiar dirección».
- Haga clic en el campo «Use su dominio» y siga las instrucciones que aparecen en pantalla.
2. Has añadido Ene Ecommerce en tu propio sitio web
Puede configurar una tienda Ene Ecommerce en cualquier sitio y ser genial con la seguridad de los datos del cliente. Por ejemplo, puede ser un blog de WordPress, un sitio web de Adobe Muse o su propia página HTML estática.
En caso de que haya tomado esta ruta, no necesita preocuparse por la seguridad de los datos de sus clientes en absoluto. Dado que los datos se transfieren a través de nuestros servidores altamente protegidos, todos los datos se guardan y procesan en los propios servidores protegidos por SSL de Ene Ecommerce.
Si agregó Ene Ecommerce a su propio sitio web que no tiene un certificado SSL, sus clientes no verán el ícono seguro de «candado» en ningún lugar, excepto durante el pago, lo que podría resultarles frustrante.
Tipos de certificados SSL
Esencialmente, hay 3 tipos de certificados. Difieren en la velocidad de emisión y el alcance de las inspecciones del vendedor.
1. Certificados con validación de dominio (DV)
La opción más sencilla. Una vez que compre un certificado SSL DV, obtendrá un enlace para verificar la propiedad del dominio en su dirección de correo electrónico indicada.
DV se emite casi al instante. También es la opción más barata, y algunos vendedores incluso la ofrecen de forma gratuita.
2. Certificados con validación de organización (OV)
Para obtener un certificado SSL OV, debe confirmar la existencia de su corporación o LLC, entregando a la autoridad emisora del certificado los documentos necesarios.
Un certificado SSL OV puede tardar de 1 a 3 días en obtenerse. Este certificado siempre debe pagarse.
3. Certificado con validación extendida (EV)
Un certificado EV puede ser reconocido por el nombre de la empresa sobre un fondo verde cerca de la dirección del sitio web. Es posible que los haya visto en sitios web financieros.
Antes de que se pueda emitir un SSL EV, la autoridad certificadora lleva a cabo una verificación exhaustiva. Puede tomar de 3 a 10 días, e incluso más, obtener un certificado EV.
Este certificado es el más adecuado para bancos y sistemas de pago.
DV, OV, EV: independientemente del tipo de certificado SSL que elija, comprenda que todos protegen sus datos de la misma manera. Es por eso que puede usar la opción más barata, un SSL básico con verificación de dominio, sin preocuparse por su seguridad. Deberá renovar su certificado SSL regularmente: si el certificado no se renueva el próximo año, no solo perderá su protección, sino que es posible que el sitio ni siquiera se abra para la mayoría de los usuarios.
Un certificado SSL costará alrededor de UU$SS 50/año. Algunos proveedores venden variantes más caras, pero debe evitar gastar de más. La seguridad básica de los datos que se ofrece sigue siendo la misma, independientemente de si compra un SSL de UU$SS 50 o 150.
Aunque algunos proveedores ofrecen certificados SSL gratuitos, son variantes severamente «diluidas» sin ningún beneficio. No debes comprar el primero que veas.
Los certificados SSL son emitidos por «centros de confianza». Algunos de los centros de confianza más populares son:
- Comodo
- Symantec
- Digicert
- Geoconfianza
Puede comprar certificados emitidos por estos centros de registradores de dominios, sitios web de alojamiento y revendedores de SSL. Además, también hay certificados gratuitos.
A continuación, lo ayudaremos a comprender mejor las opciones.
1. Compre un certificado SSL del registrador de dominios o del servicio de alojamiento
La mayoría de los registradores de dominios y servicios de alojamiento también venden certificados SSL. En algunos casos, el registrador puede incluso emitir un certificado gratuito como regalo o compra.
Comprar de un registrador de dominios o un servicio de alojamiento funciona muy bien, ya que facilita el cambio de HTTP a HTTPS.
Puede comprar el dominio con nosotros, en Netgate, aquí puede ver los precios en pesos uruguayos.
Estas son algunas otras opciones populares:
- GoDaddy – U$S 57 / año por sitio web
- Bluehost – gratis a U$S 49,9 / año
- Namecheap – a partir de U$S 9 / año
- eNom – U$S 12,95/año
- SiteGround – SSL gratuito al comprar hosting
Si su registrador de dominios o proveedor de alojamiento web también ofrece certificados SSL, le recomendamos que compre uno de ellos, incluso si es un poco más caro. Esto le ahorrará horas cuando llegue el momento de instalar el certificado y cambiar a HTTPS.
2. Obtenga un certificado SSL gratuito
Si su proveedor de alojamiento web / registrador no vende certificados SSL o si su presupuesto es limitado, puede optar por un certificado gratuito. Los certificados gratuitos vienen en una sola versión: validación de dominio (DV). Eso es suficiente para proteger los datos.
Recomendamos los siguientes servicios:
Cloudflare ofrece certificados SSL gratuitos con hasta 15 años de suscripción. Además de la protección de datos, tiene otros beneficios como la protección básica contra ataques DDoS y la aceleración automática de su sitio web.
También hay desventajas:
- Solo funciona en navegadores nuevos. Si tus clientes usan navegadores más antiguos (anteriores a Internet Explorer 11, Firefox 2, Opera 8, Google Chrome v5.0.342.0, Safari 2.1, Safari móvil para iOS 4.0, Android 3.0 (Honeycomb), Windows Phone 7), no verán «https» en tu sitio web.
- Un certificado general protege varios sitios al mismo tiempo. Sin embargo, protegerá su sitio web como uno individual.
- Cloudflare le pedirá que use sus propios datos del servidor y el tráfico de su sitio web pasará por los servidores de Cloudflare, lo que puede causar una disminución en la velocidad de carga (aunque no necesariamente).
Estos inconvenientes no son críticos y, en general, Cloudflare es óptimo para aquellos que no están listos para gastar dinero en un certificado SSL pero desean comenzar a proteger los datos de sus clientes. Si elige entre permanecer en HTTP u obtener un certificado SSL de Cloudflare, le recomendamos que elija la segunda opción.
Para obtener un certificado SSL de Cloudflare, regístrese y siga las instrucciones.
Vamos a cifrar
Este es un servicio gratuito sin los contras de Cloudflare, pero tiene sus propias limitaciones.
Let’s Encrypt ofrece certificados solo por tres meses, por lo que tendrá que configurar la renovación automática, que requerirá acceso a la configuración del servidor de su sitio web (disponible en alojamientos VPS como Amazon AWS, Linode, Digital Ocean). Eso significa que es probable que necesite un administrador del sistema.
Hay dos opciones para obtener un certificado SSL de Let’s Encrypt:
- Manualmente en org a través de la sección «Modo manual»
- Semiautomática o automáticamente (dependiendo del software del servidor de su tienda en línea) a través de Certbot.
3. Comprar un certificado SSL de un distribuidor
Si no desea perder tiempo ajustando un certificado Let’s Encrypt y no tiene ganas de usar Cloudflare, puede comprar un certificado SSL de uno de los revendedores:
Elija cualquier distribuidor que desee y recuerde que no tiene mucho sentido comprar la opción más cara, ya que todos protegerán su sitio web muy bien.
Cómo no perder tráfico cuando cambias a HTTPS
Cuando cambia de HTTP a HTTPS, la dirección del sitio cambia para los robots de búsqueda (de → https://yoursite.com). Esto puede afectar negativamente su clasificación en los motores de búsqueda.
Lea las recomendaciones de Google para mantener su clasificación e incluso mejorarla. Le recomendamos encarecidamente que los lea para evitar perder clientes si instala un certificado SSL por su cuenta. También puede preguntar al equipo de soporte de su creador de sitios si estas condiciones se cumplieron con su migración HTTP → HTTPS.
***
Resumamos nuestras recomendaciones:
- Si usa Ene Ecommerce Instant Site, está bien: todo el sitio web está en HTTPS.
- Si vende en su propio sitio web, consulte con su proveedor de dominio / alojamiento si tiene un certificado SSL. Si no, solicítelo.
- Si su proveedor de dominio/alojamiento no vende certificados SSL, obtenga uno gratis en Cloudflare o cómprelo a un revendedor.