Escribo este post porque estoy cansado de leer cada vez más estupideces sobre el SEO y el HTTPS (Hypertext Transfer Protocol Secure) a raíz del anuncio de Google en su blog, «HTTPS como señal de ranking». Pero todo esto no empieza aquí, este revuelo empieza a coger más fuerza en el mundo del SEO en marzo de 2014, cuando Matt Cutts dijo en el SMX que «le encantaría que el HTTPS formara parte del algoritmo de ranking este año» (aunque se lleva hablando de esto desde hace tres años).
Tres meses después Pierre Far (Search & Trends Analyst en Google) e Ilya Grigorik (Developer Advocate en Google Chrome) dan una conferencia en el Google I/O titulada «HTTPS Everywhere», donde ya quedaba claro que se avecinaba un cambio global en la búsqueda.
High Performance Browser Networking – Chapter 4. Transport Layer Security (TLS)
El HTTPS (protocolo seguro de transferencia de hipertexto en español) no es más que la versión segura del protocolo HTTP y sirve para la protección en el envío de datos privados (contraseñas y datos personales). Lo que hace este protocolo es crear un canal cifrado entre el cliente y el servidor que encripta los datos por si un atacante consigue interceptarlos. Así de entrada poco tiene que ver con el posicionamiento en buscadores.
Que Google haga este tipo de anuncios no es algo muy común, ya que no suele decir qué es lo que funciona y qué no en su algoritmo. Pero si os paráis a pensar un segundo, la jugada está clara…
Google piensa que él es el Internet. Del mismo modo que por culpa de su algoritmo ineficaz, penaliza a los que no enlazan como a él le gusta rompiendo las reglas de Internet; también quiere obligarnos a que todas las páginas web tengan cifrado seguro, lo que no sé si por proteger al usuario o hay algo más detrás (conspiracy mode on: Google Domains + SSL). ¿Y cuál es la mejor manera de gobernar Internet a tu antojo? decirle a los SEOs que si hacen el cambio tendrán un premio en la SERP.
El problema como siempre que se hace un anuncio de este tipo, es que la gente luego interpreta sus palabras como quiere o puede. Si os leéis el anuncio lo único que dicen es que utilizarán el uso de cifrado TLS como una señal positiva muy ligera (solo ha afectado al 1% de las búsquedas) y que probablemente con el tiempo cogerá más peso.
Por un lado dice que es una señal, no un factor y ni mucho menos destinada a penalizar. Por otro lado dice que es ligera porque afecta al 1% de las queries (hay muchas otras señales con más peso como el TTFB). Y por último no dice contra qué tipo de búsquedas ha afectado, ¿transaccionales?, ¿informacionales?, ¿navegacionales?, ¿multimedia?
El propio Pierre Far comunica a través de Hacker News que él mismo ha estado implicado en el cambio. Y quiere dejar claro que el HTTPS es igualmente importante en los sitios informacionales por dos razones:
- Integridad de los datos: Para evitar ser hackeados y que alguien esté alterando nuestro contenido.
- Autenticación: Para identificar a los usuarios detrás de las páginas web.
Pues a mi las dos razones no me parecen válidas. Con la primera razón Google vuelve a dejar claro que tiene problemas para detectar sitios hackeados (su algoritmo es ineficaz nuevamente). ¡Y la segunda es totalmente falsa! Porque para pedir un SSL te piden los datos igual que para un dominio y estos te los puedes inventar como hasta ahora. A menos que contrates un EV Extended validation que para poder tenerlo te comprueban incluso la hora de cuando vas al baño.
Pues según lo comentado por Pierre, parece que el cambio afectará también a sitios informacionales. Según mi punto de vista, no creo que tenga sentido el cifrado HTTPS más allá de sitios donde los usuarios tengan que poner sus datos como en un ecommerce (y no en todas las zonas). En sitios informacionales sinceramente no lo veo y me sumo a lo que comentó Bill Slawski en su twitter, «mi blog va a seguir teniendo el mismo contenido estando bajo un servidor seguro».
Otra cosa que sabemos por palabras de John Mueller, es que afectará a aquellas urls que tengan el HTTPS activado y son éstas las únicas que se beneficiarán en su algoritmo. Así que en resumen, este cambio afectará a todo tipo de sitios y solo a las URLs de la web que lo tengan activado, por lo que el cifrado tiene que estar desplegado en todo el sitio.
Medios desinformando sobre HTTPS y el SEO
A partir de aquí son numerosos los medios y blogs importantes (y otros SEOs que solo leen titulares y retuitean como si no hubiera mañana) que empiezan a tergiversar la información sobre el SEO y el HTTPS sin pudor alguno. Entre los medios y blogs nos podemos encontrar a The Guardian, VentureBeat, Genbeta, Trecebits y Alt1040:
The Guardian
VentureBeat – Fuente: Aleyda Solis
Genbeta – Fuente: Jaime Cuesta
Trecebits – Fuente: MJ Cachón
ALT1040
Como veis hay mucha diferencia entre lo que dice Google sobre la afectación en el posicionamiento y lo que se dice en estos medios desinformativos. Y lo peor de todo es que esta desinformación crea miedo y este miedo se usa para perjudicar a las empresas y profesionales con pocos conocimientos. A continuación podemos ver una hiena oportunista (con perdón a las hienas que no tienen la culpa) que dice que «Google EXIGE el SSL para SEO» y ofrece paquetes de «certificados alto nivel seguridad nivel SEO Excelence Google Green Toolbar» entre otros (fumada máxima):
Fuente: http://e-andorra.eu/
Pero estos tipos no se quedan aquí y también ofrecen «certificados SSL oficiales de Google», sin instalación en el server (¿un iframe? WTF) y que haciendo esto te empezarán a llegar centenares de enlaces de otros sitios con el mismo «ssl oficial»:
Fuente: http://e-andorra.eu/
Pensaréis que es imposible que alguien se pueda creer esto, pues nada más lejos de la realidad. A continuación os dejo una conversación de e-andorra (mi proveedor de Hosting) con un cliente:
Es un tipo que quiere contratar servidores seguros para hacer SEO a sus clientes y se le ve totalmente convencido de ello, en fin. Según me comenta Jan de e-andorra, hay muchísimos clientes que le están pidiendo SSL por el posicionamiento web, no por seguridad…
Implicaciones SEO de una migración de HTTP a HTTPS
Poca gente sabe lo que este cambio implica a nivel de desarrollo y que si se hace mal puede perjudicarte bastante en SEO. Y aunque parezca lo contrario, cambiar a HTTPS es más difícil y peligroso para empresas grandes que las pequeñas. Y creo que a día de hoy el coste de implementar este protocolo seguro es mayor que el beneficio que puedas llegar a tener en los buscadores.
Hacer el cambio implica que se incrementará el tiempo de carga (negativo para SEO) y tienes que hacer que la infraestructura pueda manejarlo (cacheo, CPU…). No olvidemos tampoco que se trata de una migración con lo que esto implica a nivel SEO (301, canonicación, indicar el cambio en GWT…) y donde la puedes liar si no sabes lo que haces y, para añadir más leña, Webmaster Tools todavía no está preparado para el cambio… Otra cosa a tener en cuenta es que no todos los niveles de encriptación valen y Google nos recomienda el de 2.048 bits.
Hay mucha gente que se ha pasado y han empezado a tener pérdidas de tráfico por hacer mal el cambio. También hay otras que lo han hecho bien y no han notado ningún cambio en los rankings. Solo una persona que conozco me ha dicho que sí que le ha afectado positivamente, pero me falta analizar el caso entero (yo creo que es por el cambio de server). Y como siempre, antes de recomendar esta migración a un cliente porque sí, lo probaré primero.
Aquí podemos ver un estudio de Searchmetrics donde han demostrado que no hay relación entre los rankings los certificados SSL:
No hay relación entre el ranking y los cifrados SSL – Fuente: Searchmetrics
Para añadir más leña, Google no tiene todavía sus productos «secure friendly», así que si tienes AdSense puedes estar perdiendo ingresos como he leído en varios sitios ya, Google’s Trusted Stores todavía no está preparado para el cambio, Webmaster Tools tampoco…
Si queréis más información aquí os dejo a John Mueller comentando las implicaciones y aquí a Jan-Willem Bobbink explicando lo que puede salir mal en la migración http – https. Y si queréis saber qué es el SSL/TSL en profundidad os dejo el capítulo del libro que el propio Ilya Grigorik de Google escribió sobre este tema: Transport Layer Security (TLS).
Donde dije digo, digo Diego
Lo más gracioso de todo esto es escuchar a Matt Cutts en Mayo de 2011 diciendo que ¡no le ve sentido el cambio de una web a HTTPS a menos que sea necesario! Y que si se hace, se haga con mucho cuidado y testeándolo en pequeñas zonas de tu sitio porque puedes tener problemas en tu posicionamiento:
Bueno vale, es del 2011 y los años en Internet es como los años de los perros. Pero ahora qué me decís de John Mueller en febrero de este año diciendo que migrar a HTTPS NO afecta a los rankings? ¿Es para reír o llorar?
Google Domains + SSL ¿La verdadera razón?
Todo lo que hace Google es por alguna razón y siempre con el objetivo de llenar su arcas a costa de la «privacidad». Detrás de esto tiene que haber algo más como mencioné al principio. Y es que el gigante de Silicon Valley, tras sacar Google Domains (todavía en beta) considera ofrecer cifrado SSL gratis junto con los dominios. Ya sabéis que la pasta no está en vender dominios, el verdadero negocio está en todo el upselling que viene después: hosting, CDN, cifrados…
¡Pero la conspiración de monopolio no queda aquí! ya que, casualmente justo después de armar este revuelo, se ha puesto a enviar correos a los que estaban registrados a la beta diciendo que ya tenían acceso a Google Domains…
Acceso a la beta de Google Domains – Fuente: Jaime Cuesta
¿Seguimos con la conspiración? Antes he mencionado que las webs con TSL van más lentas, pues esto también queda bien atado por parte del buscador porque tienen su propio protocolo para solventarlo. Este protocolo es el conocido SPDY que soluciona este problema con el TSL haciendo menos conexiones, consumiendo menos recursos y memoria según comenta Señor Muñoz. De esta forma todavía le daríamos más datos… Y no solo eso, escasos días antes del más que citado anuncio google ha adquirido una patente para mejorar la velocidad en las conexiones SSL.
¡Eh! ¡que todavía tengo más! Google y Symantec tienen una estrecha relación desde hace años. Mirar como ha crecido el market share de SSL de Symantec este año:
Según me ha cuenta Jan de E-Andorra, Symantec ha mejorado las comisiones para partners hasta un 30% por volumen de ventas de SSL, a partir de 12.000 $ en ventas por mes.
¿Don’t be evil? Sacar vuestras propias conclusiones.
Primero tus usuarios y luego el SEO
Conspiraciones y monopolios aparte, no os olvidéis que el SSL es una señal más de todas las que hay que trabajar y a día de hoy si tiene algún peso es mínimo. Así que si te decides a hacer este cambio, hazlo por que tus usuarios estén y se sientan más seguros en tu sitio y no por el SEO. Como dije en el anterior artículo, los usuarios son la base de tu negocio y van antes que el SEO. Y este cuento se lo podrían aplicar los medios también, ya que es muy difícil recuperar tu credibilidad una vez las has perdido por tus ansias de aumentar el tráfico a cualquier precio.