Redireccion HTTPS: Guia Completa

Que es

La redireccion HTTPS es un mecanismo del servidor que automaticamente envia a los usuarios desde la version HTTP (no cifrada) a la version HTTPS (cifrada) de tu sitio web. Se implementa mediante una respuesta HTTP 301 (redireccion permanente) que indica al navegador y a los motores de busqueda que la version segura es la canonica. Complementariamente, HSTS (HTTP Strict Transport Security) es una cabecera que instruye al navegador a usar HTTPS exclusivamente para tu dominio durante un periodo definido, eliminando incluso la primera peticion insegura. La lista HSTS preload de los navegadores va un paso mas alla: incluye tu dominio directamente en el codigo del navegador, asegurando HTTPS desde la primera visita.

Por que importa

Sin redireccion HTTPS, la mitad de tus visitantes podrian estar navegando sin cifrado. Cuando un usuario escribe "tudominio.com" en la barra del navegador, la peticion inicial va por HTTP. Si no hay redireccion, la sesion completa sera insegura. Un atacante en la misma red WiFi puede interceptar cookies de sesion, credenciales y datos personales. Ademas, Google indexa HTTP y HTTPS como URLs diferentes, lo que puede causar problemas de contenido duplicado y diluir tu autoridad SEO. La redireccion 301 consolida todo el valor SEO en la version HTTPS.

Problemas comunes

• Redireccion no configurada: el sitio responde tanto en HTTP como en HTTPS, exponiendo a usuarios que acceden sin especificar el protocolo.

• Redireccion 302 en lugar de 301: una redireccion temporal no transfiere el valor SEO y no indica a los navegadores que cacheen la redireccion.

• Cadenas de redireccion: HTTP redirige a HTTPS con www, que redirige a HTTPS sin www (o viceversa), anadiendo latencia innecesaria.

• HSTS no configurado: sin esta cabecera, cada nueva sesion del usuario comienza con una peticion HTTP insegura antes de ser redirigida.

• Contenido mixto tras la migracion: recursos como imagenes, scripts o CSS que aun se cargan por HTTP, rompiendo el candado de seguridad.

• HSTS preload sin requisitos completos: enviar el dominio a la lista preload requiere HSTS con max-age minimo de 1 ano, includeSubDomains y la directiva preload.

Como solucionarlo

Configura una redireccion 301 global de HTTP a HTTPS en tu servidor web. Evita las cadenas de redireccion apuntando directamente a la URL canonica final. Activa HSTS con un max-age alto (al menos 6 meses, idealmente 2 anos). Una vez verificado que todo funciona correctamente, considera enviar tu dominio a la lista HSTS preload en hstspreload.org. Recuerda actualizar todos los enlaces internos a HTTPS y usar URLs relativas al protocolo donde sea posible.

# Nginx - Redireccion HTTP a HTTPS
server {
    listen 80;
    server_name tudominio.com www.tudominio.com;
    return 301 https://tudominio.com$request_uri;
}

server {
    listen 443 ssl http2;
    server_name tudominio.com;
    # Activar HSTS con preload
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
}

# Apache - .htaccess
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

# Header HSTS en Apache
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Guias relacionadas