Pasar de http a https ¿bueno para el SEO?

Si quieres pasar todo el párrafo de opinión, salta directamente a esta sección.

La bomba cayó en el mundo SEO. Una vez mas, en Agosto, en las vacaciones. Los clientes llaman por teléfono preguntando el por qué ellos no lo tienen y que hay que pasar las webs a https a la de ya ¿Por qué? Por que Google ha anunciado que el https pasa a ser una señal del ranking. Google “ha estado haciendo pruebas (sic)” para comprobar si dar una mayor relevancia a los sitios que usas conexiones seguras cifradas es correcto o no. “Los resultados han sido positivos, de modo que empezaremos a utilizar HTTPS como señal del ranking“.

Del artículo quiero destacar el siguiente párrafo: But over time, we may decide to strengthen it, because we’d like to encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web.” Lo que me lleva a otro momento conspiranoico bastante simpático: ¿Por qué es necesario incrementar la fuerza de uno de los parámetros del algoritmo de rankeo para que los webmasters lo utilicen? Se supone que la fuerza de un parámetro implica un incremento en la calidad y pasar una web de http a https no creo que suponga un incremento en la calidad de la web o del contenido. Y, además ¿por qué Google piensa que debe endulzarnos su propuesta con este tipo de cosas? Mis 2 cts.

Sigamos. La idea se basa en lo siguiente: Si el propietario de una web se gasta la pasta en encriptar su página es bastante mas improbable que la web sea usada para spamear resultados. De nuevo Google muestra su incapacidad que es o que no es bueno en internet, qué es “legal” y qué no es “legal”

El tema está en el siguiente párrafo del anuncio de Google: “Por ahora solo se trata de una señal muy ligera (afecta a menos del 1% de consultas globales y tiene menos peso que otras señales, como el contenido de alta calidad), mientras dejamos que los webmasters pasen a utilizar HTTPS. Con el tiempo, es posible que decidamos reforzarla, porque queremos animar a todos los propietarios de sitios web a cambiar de HTTP a HTTPS para que todos los usuarios estén protegidos en la Web.

Equiliquá:

Voy a coger un párrafo de un post de Natzir Turrado “SEO, https y la desinformación” para terminar con la parte de opinión.


Google piensa que él es el Internet. Del mismo modo que por culpa de su algoritmo ineficaz, penaliza a los que no enlazan como a él le gusta rompiendo las reglas de Internet. También quiere obligarnos a que todas las páginas web tengan cifrado seguro, lo que no sé si por proteger al usuario o hay algo más detrás (conspiracy mode on). ¿Y cuál es la mejor manera de gobernar Internet a tu antojo? decirle a los SEOs que si hacen el cambio tendrán un premio en la SERP.


Implicaciones del cambio de http a https

Y qué es lo que hay que tener en cuenta (pros y contras)

Pros:

  • Seguridad del usuario (pido solemnemente a Chema Alonso no sea muy malo con nosotros)
    • Autenticación: Los atacantes no podrán suplantar el destino.
    • Integridad del contenido: atacantes no podrán “modificar” el contenido del sitio.
    • Encriptación de las comunicaciones: atacantes no podrán leer las comunicaciones.
  • Según parece, la conjunción de TLS con SPDY hace que las webs vayan mas rápido. No sabía si ponerlo en la parte de pros o contra, por que SPDY es un protocolo de Google, por lo que me da la impresión que es darle mas poder al monstruo. Pero una cosa parece segura: el hacer correr SPDY sobre TLS agiliza la web y se producen menos comunicaciones previas, se consume menos recursos del servidor (por ejemplo, en Apache, se lanzan menos hilos en la computación) y menos memoria, aunque, por contra, se consume mas CPU.

Además, favorece que, ante un posible ataque a través de redes WIFIs abiertas o similares, el usuario ande mas seguro.

Contras:

  • Más que posible caída en los rankings ante una migración mal hecha.
  • El rendimiento de la web WPO se verá afectado. El certificado SSL requiere de la encriptación/desencriptación del contenido antes y tras ser transmitido, lo que aumentará la carga de la web.
  • Hay que renovar el certificado periódicamente.
  • Mantenimiento de las versiones de OpenSSL y bibliotecas TLS
  • Si somos unos fanáticos de las métricas, nuestros contadores sociales se resetearán a 0

¿Qué tener en cuenta cuando cambio a https?

  • No varía mucho el cambio de http a https con lo que ya sabemos de migrar una web completamente (Google how-to, Google how to https to http)
  • Redireccionar 301 de http a htpps, URL a URL (es decir, crear una regla en el .htaccess del http que te redirija correctamente todas y cada una de las URL de la web).
  • Prestar especial atención a imágenes, scripts y css
  • Ojo a las anteriores redirecciones (según tengamos www. o sin www.) deberemos pasar la redireccion al https directamente para ahorrarnos un salto y favorecer el acceso rápidamente al recurso final.

    Redirect dominios

    Redirect dominios

  • Actualizar las URLs internas.
  • Poner las canonicals correctamente en el https, apuntando a si mismas o a la URL correspondiente con el protocolo de seguridad incluido.
    <link rel="canonical" href="https://...">
  • Poner las etiquetas idiomáticas correctamente
    <link rel="alternate" hreflang="es" href="https://...">
  • Si, además, tienes la nueva funcionalidad dentro de GWMT de la codificación por idiomas, échale un vistazo y comprueba que está correctamente etiquetado.
  • Si tienes un sitemap.xml deberás cambiar el antiguo por el nuevo con todas las URLs https.
  • Revisar tu programa de analítica para comprobar que está correctamente establecido. Muchas veces, la personalización de los patrones, segmentos y similares se ven desconfigurados ante un cambio de la URL de la web.
  • Solicitar que te cambien los enlaces. Y esto es un trabajo arduo y duro de narices.

¿Qué no puedes hacer?

Es importante saber que a día de hoy (10 de Agosto del 2014) no puedes cambiar la URL dentro de Google Webmaster Tool. La herramienta de “cambio de dirección” dentro de Google Webmaster Tool no te permite hacerlo.

Si haces hotlinking de una web que no soporta https te saltará un aviso en mitad de la carga, por lo que la carga de estas imágenes, scripts, widgets y similares se verá afectada, a la vez que dará una mala experiencia al usuario y puede llegar a incrementar la tasa de rebote sustancialmente.

Cambiando http a https en un medio

Pasando por alto que no entiendo el por qué un medio, un contenido informacional, necesita tener su web con SSL (el protocolo “se inventó” para proteger las comunicaciones de datos críticos, personales,…) comentar que los medios de comunicación que están en Google News pueden cambiar sus referencias a https sin ningún tipo de problemas. John Mueller comentaba en este hilo de Google Plus (si no lo usan ellos ¿quién lo va a hacer?): “He hablado con la gente de Noticias y me comentan que https no representa un problema para Google Noticias, que no necesitan siquiera comentarle a Google que se han migrado.

Buenas prácticas para establecer el https correctamente

  • Google recomienda usar certificados de 2048 bits.
  • Elegir una de las compañías reconocidas del sector.
  • Utilizar un servidor web que admita HSTS (HTTP estricto) y que esté activado.
    Strict-Transport-Security: max-age=10886400; includeSubDomains
  • Cuidado con el robots.txt del http y del https (sobre todo de este último). Debes permitir que el robot encuentre todo lo que necesita.
  • Intentar evitar el uso de la meta etiqueta robots
    <META name="robots" content="NOINDEX">
  • Decidir que tipo de certificado se necesita:
    • single (si nuestro dominio es solo www.dominio.com)
    • multi-domain (www.dominio.com, cdn.dominio.com o www.dominio.co.uk)
    • wildcard certificate (que se usa para los que tienen muchos subdominios dinámicos (a.dominio.com, b.dominio.com, c.dominio.com)
  • Referente al certificado: Cuidado con que éste expire.
  • Usar URL relativas para los recursos que se encuentren dentro del mismo dominio. (/sobre/senor-munoz/)
  • Utilizar URL relativas de protocolo para el resto de dominios (//cdn.dominio.com/loquesea)

Un pequeño checklist para los Sysadmin

  1. Tener el certificado SSL de 2048 bits
  2. Configurar completamente la cadena de certificación. Una cadena de certificación incompleta ralentiza la autenticación.
  3. Configurar TLS en el servidor. Un recurso muy interesante es el documento de configuración de Apache, Nginx, HAProxy, AWS y similares de Mozilla. Un consejo: no pilles “cachos” de diferentes sitios. Utiliza una sola guía actualizada.
  4. Verificar la configuración TLS del servidor. Otro recurso muy interesante es el que ofrece Qualys SSL Labs para comprobar si la configuración es correcta o no (y otra guía muy interesante es este recurso en PDF SSL/TLS Deployment Best Practices)
  5. Monitorizar rendimiento: mucho ojo al resumption rate
  6. Configurar el servidor para cachés, minimificaciones, conexiones con base de datos

 

Unos tuits de “conspiranoia”

  1. Un excelente post para un tórrido agosto. Y muy oportuno para no correr a contratar el certificado sin pensar un poco. El grado de oportunidad y la velocidad de reacción sobre un tema nada baladí me sorprenden gratamente.

    Enhorabuena y un abrazo. Huberto.

  2. ¡Muy buen artículo, Fernando!

    Una pregunta, cuando mencionas “Solicitar que te cambien los enlaces. Y esto es un trabajo arduo y duro de narices.”, no se podría dejar el 301, considerando que la redirección 301 pasa toda la fuerza y autoridad de la página.
    Lo comento porque en el caso de la home, que es la página que más enlaces tengo, solo tengo el control de solicitar el cambio de un 30%, por ejemplo, ¿Que puede suceder? ¿Me bajará la autoridad? ¿Puede que tenga una caída de rankings?

    Otra pregunta, ¿podrías detallar porque no es bueno el uso de la meta etiqueta robots?
    Por ejemplo, en caso de no querer indexar las URL’s resultantes de los filtros de un ecommerce, ¿debería hacerse por robots.txt?

    Gracias

  3. Buenas Jordi, bienvenido a tu casa 🙂
    Para ser consistente, deberías tener la mayor parte de las señales acorde a la nueva situación. Esto es como cuando haces alguna marranada comprando un dominio expirado con enlaces entrantes y rediriges con un 301. Como bien dices, el hacer un 301 debería ser mas que suficiente, pero mejor hacer una redireccion de los enlaces (entre otras cosas para conocer bien a que enfrentarte en caso de que tengas que hacer limpia). Es poco probable que, si la migración está bien hecha, tengas una caída de rankings. Ahora bien, decenas de casos comentados sobre migraciones que han provocado pérdidas. Ya sabes, haz la migración solo si es estríctamente necesario.
    El uso de la metaetiqueta robots hace muy complicado la identificación de problemas, porque tienes que ir URL a URL a buscar los posibles problemas. Pero la recomendación es por una cuestión de no mezclar etiquetas. Ejemplo: Tengo un canonical en el http al https, pero a la vez tengo un robots noindex ¿A qué le hago caso? noindex la versión http y la https? Los noindex, robots disallow y demás, solo documentando muy bien para “futuras generaciones de webmasters” y siempre, siempre, las carga el diablo 🙂

  4. pero solo se tendría que poner https en las partes de la web donde hay datos críticos de clientes, no por ejemplo en un producto en una tienda online.

  5. Pingback: HTTPS no aporta nada al SEO

  6. Lo que no he leído en ninguna parte (espero que alguien mas se haya dado cuenta) es el tema de “Certificado SSL – IP Dedicada” …

  7. Jacobo ¿Que cambio/problema le ves en caso de IP dedicada? En principio no debería haber problemas ¿no?

  8. Me refiero a que, con la escasez de IPs dedicadas que tenemos, como a todas las empresas les de por instalar certificados SSL, se van a agotar en breve. También para empresas que usan hostings compartidos, compartiendo la misma IP.

  9. Ah!!! Correcto, correcto. El meter una SSL significa en sobre costes un buen dinerito, si…

  10. Pingback: SEO y HTTPS... ¿Nuevo factor de posicionamiento en Google?

  11. Pingback: De HTTP a HTTPS: ¿Mejora el posicionamiento?

  12. Pingback: ¿Deberías pasar de HTTP a HTTPS para mejorar el posicionamiento? | Marketing, Tecnología, Social Media | ZosimoCoronado.com

  13. Pingback: https o http, ¿mejora el posicionamiento web?

  14. Los nuevos servidores te permiten certificados SSL sin IP dedicada…

  15. Esto son chorradas de google para sacar más dinero de las páginas web sabe lo cuesta un certificado SSL al año y depende de tipo de certificado SSL pues por que no lo paga los cabrones de Google.
    Y se dejan de mentir saben por queiren SSL por de esta manera no se puede hacer tranpas en seo, no es por que posicione mejor, otra mentira de google.

  16. Pingback: HTTPS no aporta nada al SEO (actualmente) | e-spacioSeo.com | Posicionamiento WEB

  17. Eso me enfado. No tanto lo de los rankings, pero lo de la cosa relacionada: Google ha propuesto que los browsers muestran una aviso en CADA sitio http muy parecida que el aviso de un certificado malo. ¡PELIGRO, PELIGRO! Por eso quiero entrar en la oficina del “Googleista” responsable y explicar porque eso es una idea estupida. ¡Explicarlo con un bate de beísb0l! 😉

  18. Pingback: Cambiar de http a https, recomendaciones SEO de Google

  19. Genial articulo y sobre todo con mucha información para el que decida dar el salto. Me surge una duda con respecto a los sitios que nos enlazan. “Una vez ya hecha la migración” ¿Habría que visitar los sitios donde hallamos dejado enlaces uno a uno para cambiarlo a https? Gracias.

  20. ¿Para el SEO, si tengo una web con https y la enlazo desde otra web con http me seguiría pasando autoridad? Por ejemplo:

    Enlazo desde Google (o una web corporativa con enlace dofollow) a mi web http://aa.aa (sin el https).

  21. Sí, Hector, lo que no le pasa la mayoría de las veces es el referer a tu programa de analítica.
    Luis, esa es la idea. Cambiar los enlaces sería correcto para mejorar el paso de relevancia.

Deja tu comentario