El cifrado de sitios web es casi obligatorio en la Internet actual. Si no cifra su sitio, los navegadores lo marcarán como no seguro. Podría tener el contenido más original de la web, pero sin SSL, sus visitantes verán una desagradable advertencia de seguridad.
Los certificados SSL se han convertido en esenciales para la creación de sitios web, pero su gestión sigue siendo todo un reto para los usuarios menos expertos en tecnología. La instalación de certificados comerciales puede plantear algunos obstáculos a los inexpertos, y nadie puede culparles.
Casi todos los servidores y clientes de correo electrónico tienen instrucciones específicas sobre cómo gestionar SSL y, si no estás familiarizado con sus paneles o líneas de comandos, cargar tus certificados en la secuencia correcta puede resultar complicado.
Lo que es más molesto, son los errores de conexión SSL que se producen después de haber instalado el certificado. Uno de los problemas más comunes de SSL es el error de contenido mixto. En este artículo examinaremos qué es el contenido mixto y cómo solucionarlo manualmente o con la ayuda de herramientas SSL. Empecemos.
¿Qué es el contenido mixto?
El contenido mixto aparece en un sitio cuando el HTML inicial se carga a través de una conexión HTTPS cifrada, pero otros recursos como vídeos, imágenes, scripts, hojas de estilo se cargan a través de una conexión HTTP sin cifrar. Cuando se producen peticiones HTTP y HTTPS en la misma página, los navegadores pueden bloquear el contenido o mostrar una advertencia de seguridad para alertar a los usuarios de que la página en cuestión contiene recursos inseguros.
Existen dos tipos de contenidos mixtos: pasivos y activos.
1. Contenido mixto pasivo
El contenido mixto pasivo se aplica a todos los recursos que no interactúan directamente con su página. Pueden ser imágenes, vídeos o archivos de audio. Si los hackers utilizan ataques man-in-the-middle e interceptan sus peticiones HTTP, pueden cambiar sus imágenes, sustituir productos por contenidos o anuncios ofensivos, o intercambiar los botones de guardar y eliminar, provocando que los usuarios realicen acciones no deseadas.
Incluso si los atacantes no alteran su contenido, pueden rastrear a sus usuarios y sus acciones utilizando solicitudes de contenido mixto. Los atacantes pueden ver las páginas y productos que visitan los usuarios basándose en los recursos inseguros que cargan los navegadores. He aquí algunos ejemplos de contenidos mixtos de paso.
2. Contenido mixto activo
El contenido mixto activo es aún más peligroso que el pasivo porque interactúa con la página en su conjunto y da a los atacantes libertad para hacer cualquier cosa con él. El contenido mixto activo incluye hojas de estilo, scripts, recursos flash y otros códigos que cargan los navegadores. Si los atacantes interceptan el contenido mixto activo, obtienen acceso y control total de su sitio web. En el peor de los casos, robarán las credenciales de inicio de sesión y las contraseñas de los usuarios, o los redirigirán a un sitio totalmente distinto. Debido a la gravedad de las amenazas de contenido mixto activo, muchos navegadores lo bloquean por defecto para proteger a los usuarios. Pero es importante tener en cuenta que sus visitantes pueden utilizar versiones más antiguas de navegadores o navegadores que no bloquean en absoluto el contenido mixto activo.
Los chicos de PULNO, un servicio de auditoría SEO y análisis de sitios web, examinaron más de 37 millones de páginas y descubrieron que más de 2 millones de páginas tenían recursos que no se cargaban con HTTPS. De todas las hostias analizadas, el 4,9% tenían contenido mixto. Entre ellos, el 66,5% tenía problemas con las imágenes y el 17,1% con elementos de JavaScript.
Como puedes ver, el siguiente paso después de la instalación SSL es asegurar que todas tus imágenes y código cargan sobre HTTPS. Por desgracia, muchos webmasters pasan por alto este aspecto y acaban persiguiendo errores mixtos, mientras pierden visitantes en favor de la competencia. A continuación le mostraremos la forma de arreglar el contenido mixto lo antes posible para que su sitio web siga siendo visible para todo el mundo.
¿Cómo arreglar manualmente el contenido mixto?
Lo primero que debe hacer si se encuentra con el mensaje No seguro en los navegadores es comprobar si hay contenido mixto potencial.
He aquí cómo hacerlo en Chrome:
- Haga clic con el botón derecho del ratón en cualquier parte de la página que no se carga a través de HTTPS
- En las opciones, seleccione Inspeccionar elemento
- En las pestañas disponibles, seleccione Consola
Si tiene contenido mixto en su sitio, la Consola mostrará las advertencias de contenido mixto y le mostrará la ubicación del archivo HTTP. Los contenidos mixtos pasivos aparecerán junto a una advertencia amarilla, los contenidos mixtos activos junto a una roja.
Si sólo unas pocas URL aparecen en estos errores y advertencias, puede solucionarlos manualmente en tres pasos rápidos:
Primer paso
Asegúrese de que la URL está disponible a través de HTTPS. Abra una nueva pestaña en su navegador e introduzca la URL en la barra de direcciones cambiando http:// por https://.
Si la imagen se carga sin errores tanto en HTTP como en HTTPS, ¡genial! Vaya al paso siguiente.
Nota: Si aparece un aviso de certificado, la imagen no está disponible de forma segura. Esto puede ocurrir con imágenes alojadas en servicios externos. En este caso, puede descargar la imagen y subirla a su host si está legalmente autorizado, o eliminarla de su sitio. Como regla general, siempre debe alojar las imágenes en su servidor. De este modo, tendrá un control total sobre ellos.
Paso 2
Cambie la URL de http:// a https:/, guarde el archivo fuente y vuelva a desplegar el archivo actualizado si es necesario.
Paso 3
Abra la página en la que ha encontrado el error de contenido mixto y vuelva a comprobar que el error ya no aparece.
¿Cómo arreglar automáticamente el contenido mixto?
Sustituir un par es fácil, pero ¿qué hacer si tiene docenas o incluso cientos de enlaces de contenido mixto? ¿Hay alguna forma de arreglarlas automáticamente? Claro que sí. La mayoría de los sistemas CMS deberían tener plugins listos para ayudarle con su problema. A WordPress, por ejemplo, no le faltan opciones, y el plugin Really Simple SSL es una opción muy popular.
Si eres un usuario más avanzado, puedes utilizar este práctico script para buscar en tu base de datos y reemplazar en masa las URL HTTP. Necesitarás acceso FTP para subir el script. Por favor, tenga cuidado ya que puede romper su sitio si no se hace correctamente.
Siga estas instrucciones de seguridad cuando utilice el guión:
- Renombra la carpeta raíz del script para que los hackers no la encuentren fácilmente
- Haga una copia de seguridad de su sitio y base de datos antes de utilizar
- Compruebe siempre el texto y realice una prueba en seco (práctica) antes de una prueba real.
- Eliminar el script después de que haya hecho su trabajo
¿Cómo detectar y evitar los contenidos mixtos?
Después de habilitar HTTPs, debe comprobar su certificado SSL en busca de errores y vulnerabilidades. Muchas herramientas pueden escanear su sitio web y detectar posibles errores de conexión SSL, incluido el contenido mixto.
JitBit Scanner es una herramienta gratuita que rastrea todo tu sitio web y busca recursos inseguros. Tenga en cuenta que sólo puede escanear hasta 400 páginas con esta herramienta.
Una opción alternativa es Mixed Content Scan, un script CLI (interfaz de línea de comandos) que rastrea y escanea sitios web habilitados para HTTPS en busca de contenido mixto.
Otra forma de corregir automáticamente el contenido mixto es la directiva CSP (content security policy) upgrade-insecure-requests. Esta directiva indica al navegador que actualice las URL inseguras antes de realizar peticiones de red.
Puede activar este comportamiento añadiendo el siguiente fragmento de código de metaetiqueta a la sección HTML de los documentos.
Tenga en cuenta que si el recurso HTTP no está disponible a través de una conexión segura, los navegadores no podrán actualizarlo y cargarlo. Sin embargo, los visitantes podrán seguir accediendo a su página.
Reflexiones finales
Mantener la seguridad de su sitio web es imperativo en el panorama en línea actual. Con un cifrado web que supera el 90% en los servicios de Google y Firefox, los usuarios detectan y cuestionan al instante un sitio web inseguro. Desde luego, no querrá que su sitio web cause una impresión equivocada debido a un error de contenido mixto fácil de prevenir. Controle regularmente su certificado SSL y actualice todos sus enlaces en cuanto migre a HTTPS. Un sitio web seguro es un sitio web seguro tanto para sus visitantes como para su negocio.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10