en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Repare las advertencias de elementos no SSL en su sitio

Advertencias de contenido mixto del navegador

Los visitantes de sitios protegidos por SSL esperan (y merecen) una protección perfecta. Cuando un sitio no protege completamente todo el contenido, un navegador mostrará una advertencia de "contenido mixto". Cuando sus clientes ven esta advertencia, pueden reaccionar de dos maneras. Si ellos no tomen en serio la seguridad, la ignorarán, harán clic y presumirán que todo estará bien (muy mal). Si ellos do tómese en serio la seguridad, le prestará atención, saldrá de su sitio y asumirá que no se tome la seguridad en serio (peor aún).

Además, todos los navegadores modernos bloquearán los tipos más maliciosos de contenido mixto y, al hacerlo, pueden dañar su sitio.

La mejor solución, por supuesto, es asegurarse de que estas advertencias y / o bloqueos no ocurran en primer lugar configurando correctamente su sitio para ofrecer solo contenido seguro.

¿Por qué estoy viendo esta advertencia?

Una advertencia de contenido mixto significa que los elementos seguros y no seguros se están sirviendo en una página que debe estar completamente encriptada. Cualquier página que use una dirección HTTPS debe tener todo el contenido proveniente de una fuente segura. Cualquier página que se vincule a un recurso HTTP se considera insegura y su navegador la marca como un riesgo de seguridad.

Las advertencias de contenido mixto se dividen en dos categorías: contenido pasivo mixto y la contenido activo mixto.

Contenido pasivo mixto

El contenido pasivo se refiere a elementos que se pueden reemplazar o modificar, pero que no pueden cambiar otras partes de la página, por ejemplo, un gráfico o una fotografía. Probablemente, la causa más común de todas las advertencias de contenido mixto es cuando un sitio (teóricamente) seguro está configurado para extraer imágenes de una fuente no segura.

Las solicitudes HTTP pasivas se sirven a través de estas etiquetas:<audio>(src atributo)
<img> (src atributo)
<video> (src atributo)
<object> subrecursos (cuando un <object> realiza solicitudes HTTP)

Contenido activo mixto

El contenido activo puede alterar la propia página web. Un ataque man-in-the-middle podría permitir que una solicitud de contenido HTTP en cualquier página HTTPS sea interceptada y / o reescrita. Esto hace que el contenido activo malicioso sea muy peligroso: las credenciales de usuario y los datos confidenciales pueden ser robados o se puede instalar malware en el sistema del usuario. Por ejemplo, un poco de JavaScript en una página de creación de cuentas diseñada para ayudar a los usuarios a generar una contraseña aleatoria podría reemplazarse por un código que proporcione una de apariencia aleatoria pero pregenerada en su lugar, o para entregar una contraseña segura en secreto a un tercero. .

El contenido mixto activo puede explotarse para comprometer datos privados confidenciales, pero incluso las páginas web que parecen inocuas pueden redirigir a los visitantes a sitios peligrosos, entregar contenido no deseado o robar cookies para su explotación.

Las solicitudes HTTP activas se sirven a través de:<script> (src atributo)
<link> (href atributo) (esto incluye hojas de estilo CSS)
XMLHttpRequest solicitudes de objeto
<iframe> (src atributos)
Todos los casos en CSS donde se usa un valor de URL (@font-face, cursor, background-image, Etc.)
<object> (data atributo)

Todos los navegadores modernos bloquearán el contenido mixto activo de forma predeterminada (que puede romper un sitio configurado incorrectamente)

Por qué y cómo solucionar advertencias de contenido mixto

Asegurar su sitio web permite a sus visitantes confiar en usted, lo cual es de vital importancia. Sin embargo, eliminar todo el contenido inseguro de su sitio tiene una ventaja aún mayor al eliminar las advertencias de falsos positivos: si su sitio correctamente configurado se ve comprometido, cualquier elemento inseguro que inserte un atacante activará la advertencia de contenido mixto, lo que le proporcionará un cable extra para detectar y abordar estos problemas.

Nuevamente, la mejor manera de evitar problemas de contenido mixto es servir todo el contenido a través de HTTPS en lugar de HTTP.

Para su propio dominio, proporcione todo el contenido como HTTPS y corrija sus enlaces. A menudo, la versión HTTPS del contenido ya existe y esto solo requiere agregar una "s" a los enlaces: http:// a https://.

Para otros dominios, use la versión HTTPS del sitio si está disponible. Si HTTPS no está disponible, puede intentar comunicarse con el dominio y preguntarles si pueden hacer que el contenido esté disponible a través de HTTPS.

Alternativamente, el uso de "URL relativas" permite que el navegador elija automáticamente HTTP o HTTPS, según el protocolo que utilice el usuario. Por ejemplo, en lugar de vincular a una imagen mediante un vínculo con la "ruta absoluta" de:

El sitio puede usar una ruta relativa:

Esto permite que el navegador agregue automáticamente http: or https: al inicio de la URL según sea necesario. (Tenga en cuenta que el sitio vinculado tendrá que ofrecer el recurso a través de HTTP y HTTPS para que funcionen las URL relativas).

Siga estos enlaces para obtener más información específica del navegador sobre advertencias de contenido mixto:
Chrome
Firefox
Internet Explorer
Excelentes herramientas para ayudar a rastrear enlaces que no son SSL en su código fuente son las herramientas de desarrollo integradas en el Firefox y la Chrome navegadores. La información sobre cómo forzar a un servidor Apache a manejar solo HTTPS se puede encuentran aquí.

Suscríbase al boletín de SSL.com

No te pierdas los nuevos artículos y actualizaciones de SSL.com