Kit Digital - ayudas económicas para la transformación digital
Google Analytics 4: cómo actualizar y empezar a usar el nuevo GA4
Pin it

Google Chrome bloquea contenido mixto HTTPS HTTP

El navegador Google Chrome comenzará a bloquear el contenido mixto de forma predeterminada a partir de diciembre de 2019, impidiendo que las páginas que usen el protocolo HTTPS puedan cargar recursos HTTP y afectando al SEO de tu web.

Si contenidos o fragmentos de código de tu web se cargan usando HTTP, su ausencia puede afectar drásticamente a la calidad y relevancia o incluso a la forma de mostrarse de tu página, lo que tendría un impacto negativo en el posicionamiento en buscadores.

Esta noticia tiene importancia en sí misma, pero se convierte en mucho mayor tras el anuncio de actualización del agente de usuario de Googlebot, que usará la última versión disponible de Google Chrome para rastrear e indexar tu web.

Entrando en materia, la versión actual de Google Chrome carga las páginas con contenido mixto pero a partir de diciembre de 2019, con la actualización del navegador a Chrome 79, será necesario que los usuarios desbloqueen manualmente los recursos HTTP.

Posteriormente, con Chrome 80, estos recursos serán bloqueados de forma definitiva.

Esto significa dos cosas:

  1. Los usuarios no verán estos recursos
  2. Googlebot no tendrá acceso a estos recursos, que no serán rastreados ni indexados

De esta forma, cuando Googlebot visite tu web usando una versión de Google Chrome que bloquee los contenidos HTTP, no los verá y por lo tanto rastreará una versión parcial.

Al final de esta publicación encontrarás la transcripción en español de los dos artículos a los que hago referencia, con enlaces a los originales en inglés.

¿Qué es el contenido mixto HTTPS/HTTP?

El contenido mixto HTTPS/HTTP aparece cuando una web que utiliza el protocolo seguro HTTPS contiene scripts, iframes, hojas de estilo o contenido multimedia (imágenes, audio o video) que se cargan usando el protocolo inseguro HTTP.

El uso de HTTPS tiene tres beneficios principales: Autenticación, Integridad de los datos y Confidencialidad.

Sin embargo, el contenido mixto debilita la seguridad y la experiencia de usuario de los sitios HTTPS, porque usando estos recursos un atacante puede tomar el control completo sobre la página.

Según la página de desarrolladores de Google sobre contenido mixto:

"Si se realizan solicitudes de subrecursos usando el protocolo HTTP inseguro, la seguridad de toda la página se verá comprometida porque estas solicitudes serán vulnerables a ataques de intermediarios, en los cuales un atacante espía una conexión de red y es capaz de ver o modificar la comunicación entre dos partes. Mediante estos recursos, un atacante a menudo puede tomar todo el control de una página, no solo del recurso comprometido.

Si bien muchos navegadores muestran advertencias al usuario cuando aparece contenido mixto, para el momento en que estas lleguen será demasiado tarde: se habrán concretado las solicitudes inseguras y la seguridad de la página estará comprometida. Desafortunadamente, esto es bastante común en la web. Por eso, los navegadores no pueden simplemente bloquear todas las solicitudes mixtas sin que con ello restrinjan la funcionalidad de muchos sitios."

Cómo detectar el contenido mixto?

Para detectar el contenido mixto de tu web puedes utilizar el inspector de elementos que incluyen la mayor parte de los navegadores, haciendo clic con el botón derecho y eligiendo "inspeccionar" o usando la combinación de teclas "Control+Mayúsculas+I", o utilizar alguna extensión adicional para el navegador como Firebug.

También puedes utilizar recursos en línea como whynopadlock.com, en el que puedes introducir la URL de tu web y te facilitará un completo informe.

Cómo empezar a usar el protocolo HTTPS?

Este paso es una fase más de la lucha de Google contra el protocolo HTTP, que pretende desterrar por considerarlo demasiado inseguro.

Si tu web todavía no usa el protocolo HTTPS, puedes empezar por un Certificados SSL gratis: Let's Encrypt.

No más mensajes mezclados sobre HTTPS

Publicado por Emily Stark y Carlos Joan Rafael Ibarra López, equipo de seguridad de Chrome. Artículo original en inglés: No More Mixed Messages About HTTPS

Hoy anunciamos que Chrome comenzará gradualmente a garantizar que las páginas https: // solo puedan cargar recursos https: // seguros.

En una serie de pasos detallados a continuación, comenzaremos a bloquear el contenido mixto (http: // subrecursos inseguros en https: // páginas) de forma predeterminada.

Este cambio mejorará la privacidad y la seguridad del usuario en la web y presentará una experiencia de usuario de seguridad del navegador más clara para los usuarios.

En los últimos años, la web ha hecho un gran progreso en la transición a HTTPS: los usuarios de Chrome ahora pasan más del 90% de su tiempo de navegación en HTTPS en todas las plataformas principales.

Ahora estamos dirigiendo nuestra atención a asegurarnos de que las configuraciones HTTPS en la web sean seguras y actualizadas.

Las páginas HTTPS comúnmente sufren un problema llamado contenido mixto, donde los recursos secundarios en la página se cargan de forma insegura sobre http: //.

Los navegadores bloquean muchos tipos de contenido mixto de forma predeterminada, como scripts e iframes, pero las imágenes, el audio y el video aún pueden cargarse, lo que amenaza la privacidad y seguridad de los usuarios.

Por ejemplo, un atacante podría alterar una imagen mixta de un gráfico de acciones para engañar a los inversores o inyectar una cookie de seguimiento en una carga de recursos mixtos.

La carga de contenido mixto también conduce a una confusa UX de seguridad del navegador, donde la página se presenta como no segura ni insegura, sino en algún punto intermedio.

En una serie de pasos que comienzan en Chrome 79, Chrome pasará gradualmente a bloquear todo el contenido mixto de forma predeterminada.

Para minimizar la rotura, actualizaremos automáticamente los recursos mixtos a https: //, para que los sitios continúen funcionando si sus recursos secundarios ya están disponibles en https: //.

Los usuarios podrán habilitar una configuración para optar por el bloqueo de contenido mixto en sitios web particulares, y a continuación describiremos los recursos disponibles para los desarrolladores para ayudarlos a encontrar y corregir contenido mixto.

Línea de tiempo

En lugar de bloquear todo el contenido mixto de una vez, implementaremos este cambio en una serie de pasos.

Chrome 79

En Chrome 79, que se lanzará a un canal estable en diciembre de 2019, presentaremos una nueva configuración para desbloquear contenido mixto en sitios específicos.

Esta configuración se aplicará a secuencias de comandos mixtas, marcos flotantes y otros tipos de contenido que Chrome bloquea actualmente de forma predeterminada.

Los usuarios pueden alternar esta configuración haciendo clic en el icono de candado en cualquier página https: // y haciendo clic en Configuración del sitio.

Esto reemplazará el ícono de escudo que aparece en el lado derecho del omnibox para desbloquear contenido mixto en versiones anteriores de Chrome de escritorio.

conexión segura google chrome

Accediendo a la configuración del sitio, desde la cual los usuarios podrán desbloquear cargas de contenido mixto en Chrome 79.

Chrome 80

En Chrome 80, los recursos mixtos de audio y video se actualizarán automáticamente a https: //, y Chrome los bloqueará de manera predeterminada si no se cargan a través de https: //.

Chrome 80 se lanzará a los canales de lanzamiento anticipado en enero de 2020. Los usuarios pueden desbloquear los recursos de audio y video afectados con la configuración descrita anteriormente.

También en Chrome 80, las imágenes mixtas aún podrán cargarse, pero harán que Chrome muestre un chip "No seguro" en el omnibox.

Anticipamos que esta es una interfaz de usuario de seguridad más clara para los usuarios y que motivará a los sitios web a migrar sus imágenes a HTTPS.

Los desarrolladores pueden usar las directivas de la Política de seguridad de bloqueo de contenido inseguro o bloquear todo contenido mixto para evitar esta advertencia.

tratamiento imagenes mixtas chrome 80

Tratamiento omnibox para sitios web que cargan imágenes mixtas en Chrome 80.

Chrome 81

En Chrome 81, las imágenes mixtas se actualizarán automáticamente a https: //, y Chrome las bloqueará de manera predeterminada si no se cargan a través de https: //. Chrome 81 se lanzará a los canales de lanzamiento temprano en febrero de 2020.

Recursos para desarrolladores

Los desarrolladores deben migrar su contenido mixto a https: // inmediatamente para evitar advertencias y roturas. Aquí hay algunos recursos:

  • Use la Política de seguridad de contenido y la auditoría de contenido mixto de Lighthouse para descubrir y corregir contenido mixto en su sitio.
  • Consulte esta guía para obtener consejos generales sobre la migración de servidores a HTTPS.
  • Verifique con su CDN, servidor web o sistema de administración de contenido para ver si tienen herramientas especiales para depurar contenido mixto. Por ejemplo, Cloudflare ofrece una herramienta para reescribir contenido mixto en https: //, y los complementos de WordPress también están disponibles.

Actualización del agente de usuario de Googlebot

Publicado por Zoe Clifford, ingeniero de software en el equipo del servicio de renderizado web. Artículo original en inglés: Updating the user agent of Googlebot

Googlebot utiliza un navegador basado en Chrome para representar páginas web, como anunciamos en Google I / O a principios de este año.

Como parte de esto, en diciembre de 2019 actualizaremos las cadenas de agente de usuario de Googlebot para reflejar la nueva versión del navegador, y actualizaremos periódicamente los números de versión para que coincidan con las actualizaciones de Chrome en Googlebot.

Consulte los rastreadores de Google (agentes de usuario) y asegúrese de que Google pueda indexar JavaScript para leer en segundo plano las cadenas y la representación del agente de usuario.

Agentes de usuario de Googlebot hoy

Móvil: Mozilla / 5.0 (Linux; Android 6.0.1; Nexus 5X Build / MMB29P) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 41.0.2272.96 Mobile Safari / 537.36 (compatible; Googlebot / 2.1; + http: // www .google.com / bot.html)

Escritorio:

  • Mozilla / 5.0 (compatible; Googlebot / 2.1; + http: //www.google.com/bot.html)
  • Mozilla / 5.0 AppleWebKit / 537.36 (KHTML, como Gecko; compatible ; Googlebot / 2.1; + http: //www.google.com/bot.html) Safari / 537.36

El nuevo Googlebot de hoja perenne y su agente de usuario

En diciembre, comenzaremos a actualizar periódicamente las cadenas de agente de usuario anteriores para reflejar la versión de Chrome utilizada en Googlebot. En las siguientes cadenas de agente de usuario, " WXYZ " se sustituirá con la versión de Chrome que estamos utilizando.

Por ejemplo, en lugar de WXYZ , verá algo similar a " 76.0.3809.100 ". Este número de versión se actualizará periódicamente.

Móvil: Mozilla / 5.0 (Linux; Android 6.0.1; Nexus 5X Build / MMB29P) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / WXYZ Mobile Safari / 537.36 (compatible; Googlebot / 2.1; + http: //www.google .com / bot.html)

Escritorio:

  • Mozilla / 5.0 (compatible; Googlebot / 2.1; + http: //www.google.com/bot.html)
  • Mozilla / 5.0 AppleWebKit / 537.36 (KHTML, como Gecko; compatible; Googlebot / 2.1; + http: //www.google.com/bot.html) Chrome / WXYZ Safari / 537.36

Cómo probar tu sitio

Hemos realizado una evaluación, por lo que confiamos en que la mayoría de los sitios web no se verán afectados por el cambio.

Los sitios que siguen nuestras recomendaciones para usar la detección de funciones y la mejora progresiva en lugar de la detección de agentes de usuario deberían continuar funcionando sin ningún cambio.

Si su sitio busca un agente de usuario específico, puede verse afectado. Debería usar la detección de características en lugar de la detección de agentes de usuario. Si no puede utilizar la detección de funciones y necesita detectar Googlebot a través del agente de usuario, busque "Googlebot" dentro del agente de usuario.

Algunos problemas comunes que vimos al evaluar este cambio incluyen:

  • Páginas que presentan un mensaje de error en lugar del contenido normal de la página. Por ejemplo, una página puede asumir que Googlebot es un usuario con un bloqueador de anuncios y evitar accidentalmente que acceda al contenido de la página.
  • Páginas que redirigen a un documento robotizado o no indexado.

Si no está seguro de si su sitio se ve afectado o no, puede intentar cargar su página web en su navegador utilizando el nuevo agente de usuario Googlebot.

Estas instrucciones muestran cómo anular su agente de usuario en Chrome.

Si tiene alguna pregunta, asegúrese de comunicarse con nuestra comunidad de ayuda para webmasters, únase a nuestro horario de oficina para webmasters en YouTube o síganos en Twitter.

­