Si deseas mayor seguridad, tiempos de carga más rápidos y un SEO más sólido para tu sitio, aquí te explicamos por qué y cómo debe usar HSTS para obtener una mejor experiencia de usuario y clasificación.
Los usuarios del sitio y los motores de búsqueda no toman a la ligera la seguridad del sitio web, que es probablemente la razón por la que probablemente hayas oído hablar de medidas de seguridad adicionales como HTTPS.
Pero una capa de seguridad menos conocida llamada HTTP Strict Transport Security (HSTS) también está disponible y puede ayudarte a proteger tu sitio y la optimización de su motor de búsqueda (SEO) también. Veamos qué es HSTS y cómo funciona.
HSTS
HSTS es un encabezado de respuesta que informa al navegador que solo se puede conectar a determinados sitio web mediante HTTPS. HSTS aumenta la velocidad y la seguridad de los sitios web de HTTPS. Para entender completamente lo que HSTS hace, necesitas un poco de conocimiento práctico de HTTPS.
HTTPS (protocolo de transferencia de hipertexto seguro) es una versión segura de HTTP. Cuando un usuario se conecta a un sitio usando HTTPS, el sitio web luego cifra la sesión con un certificado de capa de conexión segura (SSL). En términos simples, agrega una capa adicional de seguridad a la sesión del sitio y protege contra los piratas informáticos que pueden intentar robar información de los usuarios de la web.
Como te puedes imaginar, esto es especialmente útil para el comercio electrónico, la banca u otros sitios de transacciones como Paypal, que requieren que los usuarios ingresen información sensible.
Si los sitios usan HTTPS es claramente visible para los usuarios. Aquellos que son seguros tendrán un símbolo de seguridad verde en la URL.
Por otro lado, aquellos sitios que todavía dependen solo de HTTP se etiquetarán como “No seguro” en el cuadro del localizador uniforme de recursos (URL).
HTTPS ha sido un factor de ranking de Google confirmado desde 2014, y si bien no disparará de inmediato tu sitio a la parte superior de las páginas de resultados del motor de búsqueda (SERP), te dará un impulso adicional y señalará una capa adicional de confiabilidad para el sitio web visitantes. Me gusta pensar que tener HTTPS da un impulso a una página web y generalmente moverá la página HTTPS en los SERP.
Si bien HTTPS es una gran mejora con respecto a tu predecesor, no es del todo sin sus fallas y es allí donde entra HSTS.
Cómo HSTS aumenta la seguridad del sitio
Uno de los defectos asociados con HTTPS es que no es completamente a prueba de intrusos. Deja su sitio abierto para extracción de SSL. Esto ocurre cuando un pirata informático cambia la conexión de una conexión cifrada a una versión anterior.
Esto ocurre a menudo con redireccionamientos 301, si un sitio web se basa en redireccionamientos 301 para pasar de HTTP a HTTPS. La redirección 301 generalmente ocurre así:
- Alguien escribe com en su navegador.
- Como sitioejemplo.com utiliza una redirección 301, el navegador inicialmente intenta cargar http://sitioejemplo.com. Esto sucede porque el navegador no puede saber de antemano que un sitio específico está usando HTTPS.
- Una vez que se encuentra con el redireccionamiento y se le dice lo contrario, el navegador tiene el visto bueno para cargar https://sitioejemplo.com.
Si bien esto no parece ser un gran problema, son esos pocos milisegundos entre los que realmente debes preocuparte porque dejas el sitio vulnerable a los piratas informáticos que intentan desmantelar tu certificado SSL.
Cuando el servidor llama inicialmente a la versión HTTP, los hackers pueden deslizarse e interceptar la solicitud sobre el HTTP inseguro, lo que impedirá que el sitio use HTTPS. Es lógico pensar que a medida que más sitios cambian a HTTPS, más hackers se están educando sobre cómo descifrar los códigos de seguridad actualizados.
Hay una solución para esto, hacer que tu sitio sea aún más seguro mediante la aplicación de HSTS.
HSTS obliga a un sitio a cargar a través de HTTPS, haciendo caso omiso de las llamadas para probar una conexión HTTP primero, como en el caso de las redirecciones 301. Esto esencialmente esquiva la carga HTTP inicial forzando al navegador a recordar que este sitio sí es compatible con HTTPS. De esta forma, el navegador cargará la versión segura de inmediato y eliminará la oportunidad de que los piratas informáticos secuesten la conexión.
Cómo HSTS ayuda a la velocidad de carga de la página y SEO
Además de agregar una capa adicional de seguridad a tu sitio, el uso de HSTS también puede darte un impulso SEO ya que el uso de HSTS hace que tus páginas web se carguen aún más rápido.
Sabemos que el tiempo de carga es un gran problema cuando se trata de rankings de búsqueda y experiencia del usuario. Dado que el uso de dispositivos móviles solo está aumentando y que la iniciativa de Google para dispositivos móviles está en pleno apogeo, la velocidad de carga de páginas es más importante que nunca.
A principios del año pasado, Google publicó un estudio con las siguientes conclusiones:
El tiempo promedio que lleva cargar completamente la página de destino móvil promedio es de 15.3 segundos:
Sin embargo, la investigación también indica que el 53 por ciento de las personas abandonará una página móvil si lleva más de tres segundos cargarla.
Claramente, los usuarios de la web no son exactamente indulgentes en lo que respecta a los tiempos de carga.
Y para los sitios de comercio electrónico que parecen tener más incentivos para aplicar HSTS, las noticias son aún peores. Considere esta estadística de compras de Google:
“El 30% de todas las compras en línea son realizadas en un dispositivo móvil”
Los sitios móviles se retrasan con respecto a los sitios de escritorio en las métricas de participación clave, como el tiempo promedio en el sitio, las páginas por visita y la tasa de rebote. Muchas compras están sucediendo en línea, pero los sitios rezagados no son los que hacen las ventas.
La velocidad de carga de la página afecta directamente a las métricas, como el tiempo promedio que se pasa en el sitio, las páginas por visita y la tasa de rebote. Si observas bajas métricas de participación, es probable que vea bajas ventas.
Esas métricas de participación también son factores clave en su SEO general. Las páginas web con una calidad de señal de compromiso fuerte y una buena experiencia de usuario para Google pueden dar como resultado una clasificación más alta. Dado que la velocidad de carga de la página es tan importante, tiene sentido que las empresas hagan todo lo posible para garantizar que sus sitios se carguen como un rayo. Una de las cosas que pueden hacer es habilitar HSTS.
Recuerda, si intentas cargar un sitio usando solo HTTPS, primero tratará de llamar a la versión HTTP antes de darse cuenta de que una página admite HTTPS. Ese intento inicial de HTTP causará un pequeño retraso en el tiempo de carga de su sitio. Mientras que solo pueden ser milisegundos cuando se trata de la velocidad de carga de la página, cada milisegundo cuenta. Con HSTS habilitado, el navegador sabe usar solo HTTPS, haciendo que el redireccionamiento sea instantáneo y eliminando cualquier retraso.
¿Cómo aplicar HSTS?
Antes de poder habilitar HSTS, debes tener un certificado SSL válido instalado. El navegador de un usuario tendrá que ver el encabezado de HSTS al menos una vez antes de que sepa redirigir al instante a una página determinada. Eso significa que la primera visita de un usuario a un cierto dominio aún tendría que pasar por el proceso de HTTP a HTTPS.
Para eliminar esto tanto como sea posible, Chrome creó una lista de precarga de HSTS. Esta es una lista de dominios que habilitarán HSTS automáticamente, para que los usuarios puedan conectarse automáticamente usando HSTS.
Chrome permite que cualquier persona envíe su dominio a la lista de HSTS siempre que cumpla con los siguientes requisitos:
HTTPS debe estar habilitado en el dominio raíz y en todos los subdominios, especialmente en www.subdominio, si existe un registro DNS. Esto incluye cualquier subdominio en uso únicamente en intranets. La política de HSTS incluye todos los subdominios, con un largo máximo-de-edad, y un indicador de “precarga” para indicar que el propietario del dominio da su consentimiento para la precarga.
A partir de ahora, Firefox, Safari, Opera y Edge también usan la lista de precarga de Chrome, por lo que la opción está disponible para dominios en la mayoría de los principales navegadores.
Para habilitar HSTS en tu sitio, deberás agregar el encabezado HSTS activado. Puede hacerlo a través de tu sitio de alojamiento o activarlo tu mismo.
Conclusión
¿Deberías usar HSTS? Creo que deberías hacerlo a menos que seas editor de contenido y tengas problemas para cambiar a HTTPS. Es difícil publicar anuncios en un sitio HTTPS, por lo que muchos editores han tenido problemas para cambiar a HTTPS. Probablemente también les resultará difícil publicar anuncios usando HSTS.
Cada sitio web puede beneficiarse de una capa adicional de seguridad, no solo desde el punto de vista de SEO, sino también desde el punto de vista del cliente. Si ejecutas un sitio de comercio electrónico o transaccional, HSTS se está convirtiendo rápidamente en una necesidad.
Piénsalo de esta manera: mayor seguridad y tiempos de carga más rápidos equivalen a un mejor SEO y, en última instancia, a una mejor experiencia de usuario.
