Pasar de http a https ¿bueno para el SEO?

Si quieres pasar todo el párrafo de opinión, salta directamente a esta sección.

La bomba cayó en el mundo SEO. Una vez mas, en Agosto, en las vacaciones. Los clientes llaman por teléfono preguntando el por qué ellos no lo tienen y que hay que pasar las webs a https a la de ya ¿Por qué? Por que Google ha anunciado que el https pasa a ser una señal del ranking. Google «ha estado haciendo pruebas (sic)» para comprobar si dar una mayor relevancia a los sitios que usas conexiones seguras cifradas es correcto o no. «Los resultados han sido positivos, de modo que empezaremos a utilizar HTTPS como señal del ranking«.

Del artículo quiero destacar el siguiente párrafo: «But over time, we may decide to strengthen it, because we’d like to encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web.» Lo que me lleva a otro momento conspiranoico bastante simpático: ¿Por qué es necesario incrementar la fuerza de uno de los parámetros del algoritmo de rankeo para que los webmasters lo utilicen? Se supone que la fuerza de un parámetro implica un incremento en la calidad y pasar una web de http a https no creo que suponga un incremento en la calidad de la web o del contenido. Y, además ¿por qué Google piensa que debe endulzarnos su propuesta con este tipo de cosas? Mis 2 cts.

Sigamos. La idea se basa en lo siguiente: Si el propietario de una web se gasta la pasta en encriptar su página es bastante mas improbable que la web sea usada para spamear resultados. De nuevo Google muestra su incapacidad que es o que no es bueno en internet, qué es «legal» y qué no es «legal»

El tema está en el siguiente párrafo del anuncio de Google: «Por ahora solo se trata de una señal muy ligera (afecta a menos del 1% de consultas globales y tiene menos peso que otras señales, como el contenido de alta calidad), mientras dejamos que los webmasters pasen a utilizar HTTPS. Con el tiempo, es posible que decidamos reforzarla, porque queremos animar a todos los propietarios de sitios web a cambiar de HTTP a HTTPS para que todos los usuarios estén protegidos en la Web.»

Equiliquá:

[Tweet «Hay 100 cosas que tendrán mas impacto en SEO que cambiar tu web a SSL <quote @RyanJones>»]

Voy a coger un párrafo de un post de Natzir Turrado «SEO, https y la desinformación» para terminar con la parte de opinión.

---

Google piensa que él es el Internet. Del mismo modo que por culpa de su algoritmo ineficaz, penaliza a los que no enlazan como a él le gusta rompiendo las reglas de Internet. También quiere obligarnos a que todas las páginas web tengan cifrado seguro, lo que no sé si por proteger al usuario o hay algo más detrás (conspiracy mode on). ¿Y cuál es la mejor manera de gobernar Internet a tu antojo? decirle a los SEOs que si hacen el cambio tendrán un premio en la SERP.

---

The information on my site wouldn’t change if it were switched to https, so should https really be a ranking signal?

— Bill Slawski (@bill_slawski) 7 de agosto 2014

Implicaciones del cambio de http a https

Y qué es lo que hay que tener en cuenta (pros y contras)

Pros:

• Seguridad del usuario (pido solemnemente a Chema Alonso no sea muy malo con nosotros)
  • Autenticación: Los atacantes no podrán suplantar el destino.
  • Integridad del contenido: atacantes no podrán «modificar» el contenido del sitio.
  • Encriptación de las comunicaciones: atacantes no podrán leer las comunicaciones.
• Según parece, la conjunción de TLS con SPDY hace que las webs vayan mas rápido. No sabía si ponerlo en la parte de pros o contra, por que SPDY es un protocolo de Google, por lo que me da la impresión que es darle mas poder al monstruo. Pero una cosa parece segura: el hacer correr SPDY sobre TLS agiliza la web y se producen menos comunicaciones previas, se consume menos recursos del servidor (por ejemplo, en Apache, se lanzan menos hilos en la computación) y menos memoria, aunque, por contra, se consume mas CPU.

Además, favorece que, ante un posible ataque a través de redes WIFIs abiertas o similares, el usuario ande mas seguro.

Contras:

• Más que posible caída en los rankings ante una migración mal hecha.
• El rendimiento de la web WPO se verá afectado. El certificado SSL requiere de la encriptación/desencriptación del contenido antes y tras ser transmitido, lo que aumentará la carga de la web.
• Hay que renovar el certificado periódicamente.
• Mantenimiento de las versiones de OpenSSL y bibliotecas TLS
• Si somos unos fanáticos de las métricas, nuestros contadores sociales se resetearán a 0

¿Qué tener en cuenta cuando cambio a https?

• No varía mucho el cambio de http a https con lo que ya sabemos de migrar una web completamente (Google how-to, Google how to https to http)
• Redireccionar 301 de http a htpps, URL a URL (es decir, crear una regla en el .htaccess del http que te redirija correctamente todas y cada una de las URL de la web).
• Prestar especial atención a imágenes, scripts y css
• Ojo a las anteriores redirecciones (según tengamos www. o sin www.) deberemos pasar la redireccion al https directamente para ahorrarnos un salto y favorecer el acceso rápidamente al recurso final.
  

  Redirect dominios

• Actualizar las URLs internas.
• Poner las canonicals correctamente en el https, apuntando a si mismas o a la URL correspondiente con el protocolo de seguridad incluido.

  <link rel="canonical" href="https://...">

• Poner las etiquetas idiomáticas correctamente

  <link rel="alternate" hreflang="es" href="https://...">

• Si, además, tienes la nueva funcionalidad dentro de GWMT de la codificación por idiomas, échale un vistazo y comprueba que está correctamente etiquetado.
• Si tienes un sitemap.xml deberás cambiar el antiguo por el nuevo con todas las URLs https.
• Revisar tu programa de analítica para comprobar que está correctamente establecido. Muchas veces, la personalización de los patrones, segmentos y similares se ven desconfigurados ante un cambio de la URL de la web.
• Solicitar que te cambien los enlaces. Y esto es un trabajo arduo y duro de narices.

¿Qué no puedes hacer?

Es importante saber que a día de hoy (10 de Agosto del 2014) no puedes cambiar la URL dentro de Google Webmaster Tool. La herramienta de «cambio de dirección» dentro de Google Webmaster Tool no te permite hacerlo.

Si haces hotlinking de una web que no soporta https te saltará un aviso en mitad de la carga, por lo que la carga de estas imágenes, scripts, widgets y similares se verá afectada, a la vez que dará una mala experiencia al usuario y puede llegar a incrementar la tasa de rebote sustancialmente.

Cambiando http a https en un medio

Pasando por alto que no entiendo el por qué un medio, un contenido informacional, necesita tener su web con SSL (el protocolo «se inventó» para proteger las comunicaciones de datos críticos, personales,…) comentar que los medios de comunicación que están en Google News pueden cambiar sus referencias a https sin ningún tipo de problemas. John Mueller comentaba en este hilo de Google Plus (si no lo usan ellos ¿quién lo va a hacer?): «He hablado con la gente de Noticias y me comentan que https no representa un problema para Google Noticias, que no necesitan siquiera comentarle a Google que se han migrado.»

Buenas prácticas para establecer el https correctamente

• Google recomienda usar certificados de 2048 bits.
• Elegir una de las compañías reconocidas del sector.
• Utilizar un servidor web que admita HSTS (HTTP estricto) y que esté activado.

  Strict-Transport-Security: max-age=10886400; includeSubDomains

• Cuidado con el robots.txt del http y del https (sobre todo de este último). Debes permitir que el robot encuentre todo lo que necesita.
• Intentar evitar el uso de la meta etiqueta robots

  <META name="robots" content="NOINDEX">

• Decidir que tipo de certificado se necesita:
  • single (si nuestro dominio es solo www.dominio.com)
  • multi-domain (www.dominio.com, cdn.dominio.com o www.dominio.co.uk)
  • wildcard certificate (que se usa para los que tienen muchos subdominios dinámicos (a.dominio.com, b.dominio.com, c.dominio.com)
• Referente al certificado: Cuidado con que éste expire.
• Usar URL relativas para los recursos que se encuentren dentro del mismo dominio. (/sobre/senor-munoz/)
• Utilizar URL relativas de protocolo para el resto de dominios (//cdn.dominio.com/loquesea)

Un pequeño checklist para los Sysadmin

1. Tener el certificado SSL de 2048 bits
2. Configurar completamente la cadena de certificación. Una cadena de certificación incompleta ralentiza la autenticación.
3. Configurar TLS en el servidor. Un recurso muy interesante es el documento de configuración de Apache, Nginx, HAProxy, AWS y similares de Mozilla. Un consejo: no pilles «cachos» de diferentes sitios. Utiliza una sola guía actualizada.
4. Verificar la configuración TLS del servidor. Otro recurso muy interesante es el que ofrece Qualys SSL Labs para comprobar si la configuración es correcta o no (y otra guía muy interesante es este recurso en PDF SSL/TLS Deployment Best Practices)
5. Monitorizar rendimiento: mucho ojo al resumption rate
6. Configurar el servidor para cachés, minimificaciones, conexiones con base de datos

---

 

Unos tuits de «conspiranoia»

[Tweet «1) Google se convierte en registrador. 2) SSL al algoritmo 3) ¿Google venderá SSL en breve?»]

[Tweet «- Nos acusan de vender info al gobierno – ¿Y el SSL? – Um… Tengo una idea…»]

[Tweet «Cuando Google no gana dinero con algo, ¿la privacidad se vuelve importante?»]

[Tweet «- Nos interesa que se encripte la web – ¿Y si la hacemos ‘parte del algoritmo’? – ¡Lo tenemos!»]

[Tweet «- Oh no, el algoritmo roto ¡OTRA VEZ! – Rápido, ¡distracción! – Todos al SSL – ¡Lo tenemos!»]