¿Qué es el contenido mixto?
El contenido mixto aparece cuando una página se carga mediante HTTPS, pero solicita uno o varios recursos por medio de una conexión insegura como HTTP.
Una página web no está formada solamente por su documento HTML principal. También puede cargar imágenes, hojas de estilo, scripts, tipografías, videos, marcos y otros recursos desde el mismo servidor o desde servicios externos.
Si el documento principal utiliza HTTPS, pero uno de esos recursos se solicita mediante HTTP, la página combina conexiones seguras e inseguras.
Esta situación puede existir aunque el navegador muestre una dirección HTTPS y el sitio tenga un certificado válido.
¿Por qué es un problema?
HTTPS busca proteger la comunicación entre el navegador y el servidor. Un recurso cargado mediante HTTP no recibe la misma protección durante su traslado.
Dependiendo del recurso y del navegador, el contenido mixto puede actualizarse automáticamente a HTTPS, ser bloqueado o generar una advertencia de seguridad.
Los scripts y marcos son especialmente sensibles porque pueden modificar el comportamiento o el contenido visible de una página. Las imágenes y otros recursos también pueden revelar una configuración inconsistente y dejar de cargar cuando las reglas del navegador se vuelven más estrictas.
El contenido mixto puede producir distintos efectos:
- Algunos recursos pueden no cargar correctamente.
- El navegador puede mostrar advertencias.
- Partes de la página pueden dejar de funcionar.
- La configuración HTTPS puede considerarse incompleta.
- Las dependencias externas pueden generar solicitudes inseguras.
El problema no se resuelve únicamente instalando o renovando un certificado. Cada recurso utilizado por la página también debe solicitarse mediante una conexión segura adecuada.
¿Cuándo debe revisarse?
El contenido mixto debe revisarse después de migrar un sitio de HTTP a HTTPS, cambiar de dominio, importar contenido antiguo o agregar scripts y recursos externos.
También puede aparecer cuando permanecen direcciones absolutas con HTTP dentro de la base de datos, hojas de estilo, plantillas o integraciones de terceros.
Una página puede funcionar durante una prueba inicial y presentar problemas después, debido a que un servicio externo cambia su dirección o un navegador comienza a bloquear un recurso que antes permitía.
Por esta razón, la revisión debe considerar el conjunto completo de recursos solicitados por la página y no solamente la dirección que aparece en la barra del navegador.
Una página segura necesita más que una dirección HTTPS: los recursos que la forman también deben viajar mediante conexiones seguras.
Comprender el contenido mixto ayuda a explicar por qué un sitio puede tener certificado y aun así mostrar advertencias o una protección incompleta.