Si tu web todavía no usa HTTPS, estás perdiendo visitantes, posiciones en Google y la confianza de tus usuarios. Desde que Google anunció que HTTPS es un factor de ranking y que Chrome marca como «No segura» cualquier web sin certificado SSL, tener HTTPS ha pasado de ser una recomendación a ser una obligación.
Pero más allá del SEO, el certificado SSL protege la información que tus usuarios comparten en tu web: contraseñas, datos de contacto, información de pago. Es la base mínima de seguridad que cualquier web profesional debe tener.
En LaudeMMedia, como agencia de marketing digital y empresa de administración de sistemas, gestionamos certificados SSL para cientos de webs. En esta guía completa te explicamos todo lo que necesitas saber sobre certificados SSL y HTTPS, desde los conceptos básicos hasta la implementación avanzada.
Qué Es SSL/TLS y Cómo Funciona
Definición sencilla
SSL (Secure Sockets Layer) y su sucesor TLS (Transport Layer Security) son protocolos de encriptación que aseguran la comunicación entre el navegador del usuario y el servidor web. Cuando ves el candado en la barra de direcciones y la URL empieza por https://, significa que la conexión está encriptada con TLS.
Aunque técnicamente SSL está obsoleto (la última versión fue SSL 3.0 en 1996, reemplazada por TLS 1.0 en 1999), el término «SSL» se sigue usando coloquialmente para referirse a los certificados digitales que habilitan HTTPS.
Cómo funciona el handshake TLS
Cuando un usuario accede a tu web por HTTPS, ocurre lo siguiente en milisegundos:
- Client Hello: El navegador envía al servidor la lista de protocolos y cifrados que soporta.
- Server Hello: El servidor elige el protocolo y cifrado, y envía su certificado SSL.
- Verificación: El navegador verifica que el certificado es válido, no ha expirado, y ha sido emitido por una Autoridad de Certificación (CA) de confianza.
- Intercambio de claves: Se establece una clave de sesión compartida mediante criptografía asimétrica.
- Comunicación encriptada: Toda la comunicación posterior usa encriptación simétrica con la clave de sesión.
Todo este proceso tarda menos de 100 milisegundos y es transparente para el usuario.
HTTP vs HTTPS: Las diferencias
| Aspecto | HTTP | HTTPS |
|---|---|---|
| Encriptación | Ninguna (texto plano) | TLS 1.2 o 1.3 |
| Puerto por defecto | 80 | 443 |
| Indicador en navegador | «No es seguro» | Candado + «La conexión es segura» |
| Interceptación de datos | Posible (man-in-the-middle) | Protegida |
| SEO (Google) | Penalizado | Factor de ranking positivo |
| HTTP/2 y HTTP/3 | No disponible | Disponible (mejor rendimiento) |
| Confianza del usuario | Baja | Alta |
| Requisito para funcionalidades | — | Necesario para geolocation, camera, push notifications, service workers |
Tipos de Certificados SSL
No todos los certificados SSL son iguales. Existen diferentes niveles de validación y cobertura:
Por nivel de validación
DV (Domain Validation) — Validación de Dominio:
- Solo verifica que controlas el dominio.
- Proceso: automático, en minutos.
- Indicador: Candado en el navegador.
- Coste: Gratis (Let’s Encrypt) a 50€/año.
- Ideal para: Blogs, webs informativas, pequeños negocios.
OV (Organization Validation) — Validación de Organización:
- Verifica el dominio y la identidad de la empresa.
- Proceso: 1-3 días hábiles con verificación documental.
- Indicador: Candado + información de la empresa en el certificado.
- Coste: 50-200€/año.
- Ideal para: Empresas, instituciones, webs corporativas.
EV (Extended Validation) — Validación Extendida:
- Verificación exhaustiva de la empresa (documentación legal, dirección, teléfono).
- Proceso: 3-7 días hábiles.
- Indicador: Candado + nombre de la empresa visible (en algunos navegadores).
- Coste: 150-500€/año.
- Ideal para: Banca, ecommerce de alto volumen, webs gubernamentales.
Por cobertura de dominios
| Tipo | Cubre | Ejemplo | Coste orientativo |
|---|---|---|---|
| Single Domain | Un solo dominio | tuempresa.com | Desde gratis |
| Wildcard | Dominio + todos los subdominios | *.tuempresa.com | 50-300€/año |
| Multi-Domain (SAN) | Varios dominios diferentes | tuempresa.com + tuempresa.es + otraempresa.com | 100-500€/año |
| Multi-Domain Wildcard | Wildcards en varios dominios | .tuempresa.com + .tuempresa.es | 200-800€/año |
Comparativa de Autoridades de Certificación (CA)
| CA | Tipo | Coste | Ideal para |
|---|---|---|---|
| Let’s Encrypt | DV gratis | 0€ | Cualquier web |
| ZeroSSL | DV gratis / DV-OV pago | 0-100€/año | Alternativa a LE |
| Sectigo (Comodo) | DV, OV, EV | 50-500€/año | Empresas |
| DigiCert | OV, EV premium | 200-1.000€/año | Enterprise, banca |
| GlobalSign | DV, OV, EV | 150-800€/año | Enterprise |
| GoDaddy | DV, OV | 50-300€/año | Pymes (no recomendado por precio/calidad) |
Let’s Encrypt: El Certificado SSL Gratuito
Let’s Encrypt ha revolucionado la seguridad web al ofrecer certificados SSL DV completamente gratuitos y automatizados. Desde su lanzamiento en 2016, ha emitido más de 3.000 millones de certificados.
Ventajas de Let’s Encrypt
- Gratis: Sin coste, para siempre.
- Automatizado: Emisión y renovación automática con Certbot u otros clientes ACME.
- Seguro: Los certificados DV de Let’s Encrypt son técnicamente idénticos en seguridad a los de pago.
- Ampliamente aceptado: Reconocido por todos los navegadores y dispositivos modernos.
- Transparencia: Proyecto sin ánimo de lucro respaldado por la ISRG.
Limitaciones de Let’s Encrypt
- Solo certificados DV (no OV ni EV).
- Validez de 90 días (requiere renovación frecuente, pero se automatiza).
- Límite de 50 certificados por dominio registrado por semana.
- No incluye garantía financiera (los certificados de pago sí).
- Sin soporte técnico directo.
Cómo instalar Let’s Encrypt con Certbot
En Ubuntu/Debian con Nginx:
# Instalar Certbot
sudo apt update
sudo apt install certbot python3-certbot-nginx
# Obtener e instalar certificado
sudo certbot --nginx -d tudominio.com -d www.tudominio.com
# Verificar renovación automática
sudo certbot renew --dry-runEn Ubuntu/Debian con Apache:
# Instalar Certbot
sudo apt update
sudo apt install certbot python3-certbot-apache
# Obtener e instalar certificado
sudo certbot --apache -d tudominio.com -d www.tudominio.comRenovación automática: Certbot configura un cron job o timer de systemd que renueva automáticamente antes del vencimiento. Puedes verificar con:
sudo systemctl status certbot.timerSSL y SEO: El Impacto en el Posicionamiento
Google confirmó en 2014 que HTTPS es un factor de ranking. Desde entonces, su peso ha ido aumentando progresivamente.
Impacto directo en SEO
| Factor SEO | Impacto de HTTPS |
|---|---|
| Ranking directo | Factor de posicionamiento confirmado por Google |
| Crawl budget | Google prioriza el rastreo de páginas HTTPS |
| Datos de referencia | GA4 pierde datos de referrer en tráfico HTTP→HTTPS |
| Core Web Vitals | TLS 1.3 + HTTP/2 mejoran velocidad de carga |
| Confianza del usuario | Menos rebote, más tiempo en página |
| Chrome warnings | Sin SSL, Chrome muestra «No seguro» (aumenta rebote) |
Errores comunes de SSL que afectan al SEO
Contenido mixto (Mixed Content): Tu web carga por HTTPS pero algunos recursos (imágenes, scripts, CSS) se cargan por HTTP. El navegador puede bloquearlos o mostrar advertencias.
Solución: Actualizar todas las URLs internas a HTTPS o usar URLs relativas al protocolo.
Redirecciones incorrectas: Si no rediriges correctamente HTTP a HTTPS, Google puede indexar versiones duplicadas.
Solución: Redirección 301 de HTTP a HTTPS para todas las URLs:
# Nginx
server {
listen 80;
server_name tudominio.com www.tudominio.com;
return 301 https://$server_name$request_uri;
}# Apache (.htaccess)
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Certificado expirado: Un certificado expirado muestra un error de seguridad en el navegador que impide el acceso. Google puede desindexar la página.
Solución: Configurar renovación automática y monitorizar fechas de expiración.
HSTS no configurado: HTTP Strict Transport Security indica al navegador que solo use HTTPS.
# Nginx - añadir en la configuración del server HTTPS
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;Nuestro equipo de posicionamiento SEO verifica la correcta implementación de SSL como parte de cualquier auditoría técnica.
SSL para WordPress
WordPress es el CMS más usado del mundo, y la configuración de SSL tiene sus particularidades.
Activar HTTPS en WordPress
- Instalar certificado SSL en el servidor (Certbot, panel de hosting, etc.).
- Cambiar URLs en WordPress:
- Ir a Ajustes → Generales.
- Cambiar
http://porhttps://en «Dirección de WordPress (URL)» y «Dirección del sitio (URL)». - Actualizar URLs en base de datos: Usar el plugin Better Search Replace o WP-CLI:
- Configurar redirección HTTP→HTTPS en el servidor web o en .htaccess.
- Verificar contenido mixto: Usar el plugin SSL Insecure Content Fixer o revisar manualmente.
- Actualizar Google Search Console: Añadir la propiedad con HTTPS.
- Actualizar sitemap: Regenerar y enviar a Google.
wp search-replace 'http://tudominio.com' 'https://tudominio.com' --all-tablesPlugins útiles para SSL en WordPress
| Plugin | Función | Gratis |
|---|---|---|
| Really Simple SSL | Detección y corrección automática de problemas SSL | Sí (básico) |
| SSL Insecure Content Fixer | Corregir contenido mixto | Sí |
| WP Force SSL | Forzar HTTPS | Sí |
| Health Check & Troubleshooting | Diagnosticar problemas SSL | Sí |
Si tu web está en WordPress, nuestro equipo de diseño web WordPress en Málaga se encarga de la configuración completa de SSL incluyendo todas las optimizaciones SEO asociadas.
SSL para Ecommerce: Requisito Legal y Técnico
Para tiendas online, SSL no es opcional. Es un requisito tanto técnico como legal.
PCI DSS y SSL
Si tu ecommerce procesa pagos con tarjeta, estás obligado a cumplir con PCI DSS (Payment Card Industry Data Security Standard), que exige:
- TLS 1.2 o superior para toda transmisión de datos de tarjeta.
- Certificado SSL válido en todas las páginas que manejen datos de pago.
- Desactivación de protocolos antiguos (SSL 3.0, TLS 1.0, TLS 1.1).
Recomendaciones para ecommerce
- Certificado OV o EV: Para una tienda online, un certificado con validación de organización o extendida añade confianza.
- HTTPS en toda la web: No solo en el checkout. Toda la tienda debe estar en HTTPS.
- Wildcard si usas subdominios: Para cubrir tienda.tudominio.com, blog.tudominio.com, etc.
- HSTS activado: Para evitar ataques de downgrade a HTTP.
- CAA records: Configurar en DNS qué autoridades de certificación pueden emitir certificados para tu dominio.
Si tu tienda está en WooCommerce, nuestro servicio de diseño web WooCommerce incluye la configuración de seguridad SSL completa.
Configuración Avanzada de SSL/TLS
TLS 1.3: La versión que debes usar
TLS 1.3 (2018) es la versión más reciente y recomendada:
| Mejora sobre TLS 1.2 | Detalle |
|---|---|
| Handshake más rápido | 1-RTT en vez de 2-RTT (más velocidad) |
| 0-RTT resumption | Reconexiones instantáneas |
| Cifrados más seguros | Eliminados cifrados obsoletos |
| Perfect Forward Secrecy | Obligatorio (en TLS 1.2 era opcional) |
| Menor latencia | Hasta 100ms menos por conexión |
Configuración Nginx para TLS 1.3:
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;Headers de seguridad relacionados con SSL
Además del certificado, estos headers HTTP refuerzan la seguridad:
# HSTS - Forzar HTTPS
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
# Evitar clickjacking
add_header X-Frame-Options "SAMEORIGIN" always;
# Evitar MIME type sniffing
add_header X-Content-Type-Options "nosniff" always;
# Política de referrer
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
# Content Security Policy (básica)
add_header Content-Security-Policy "upgrade-insecure-requests" always;OCSP Stapling
OCSP Stapling mejora el rendimiento y la privacidad al incluir la verificación del certificado directamente en la respuesta del servidor:
ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 8.8.8.8 valid=300s;
resolver_timeout 5s;CAA Records en DNS
Los CAA (Certificate Authority Authorization) records especifican qué autoridades de certificación pueden emitir certificados para tu dominio:
tudominio.com. IN CAA 0 issue "letsencrypt.org"
tudominio.com. IN CAA 0 issuewild "letsencrypt.org"
tudominio.com. IN CAA 0 iodef "mailto:[email protected]"Monitorización y Renovación de Certificados
Herramientas de monitorización
| Herramienta | Función | Coste |
|---|---|---|
| SSL Labs (ssllabs.com) | Test completo de configuración SSL | Gratis |
| SSL Checker (sslshopper.com) | Verificación rápida de certificado | Gratis |
| Certbot timer | Renovación automática de Let’s Encrypt | Gratis |
| UptimeRobot | Monitorización de expiración SSL | Gratis (básico) |
| Keychest | Monitorización de múltiples certificados | Desde gratis |
Checklist de verificación SSL
Después de instalar o renovar un certificado, verifica:
- ✅ El candado aparece en el navegador sin errores.
- ✅ No hay contenido mixto (DevTools → Console).
- ✅ HTTP redirige correctamente a HTTPS (301).
- ✅ HSTS header está presente.
- ✅ TLS 1.2 o 1.3 activo (desactivar 1.0 y 1.1).
- ✅ Renovación automática configurada.
- ✅ Calificación A o A+ en SSL Labs.
- ✅ Sitemap y canonical URLs usan HTTPS.
- ✅ Google Search Console tiene la propiedad HTTPS.
- ✅ No hay redirecciones en cadena (HTTP→HTTPS→www o similar).
Problemas Comunes y Soluciones
«Tu conexión no es privada» (NET::ERR_CERT_AUTHORITY_INVALID)
Causa: Certificado auto-firmado, CA no reconocida, o cadena de certificados incompleta.
Solución: Usar un certificado de una CA reconocida. Si es Let’s Encrypt, verificar que la cadena completa está incluida.
Contenido mixto (Mixed Content)
Causa: Recursos HTTP cargados en página HTTPS.
Solución: Cambiar todas las URLs a HTTPS o usar // (protocol-relative, aunque HTTPS absoluto es preferible). En WordPress, usar Better Search Replace.
ERR_SSL_PROTOCOL_ERROR
Causa: Configuración incorrecta de SSL en el servidor.
Solución: Verificar que el certificado, clave privada y cadena intermedia son correctos y coinciden.
Certificado expirado
Causa: Renovación automática falló o no estaba configurada.
Solución: Renovar manualmente (sudo certbot renew --force-renewal) y verificar que el timer de renovación está activo.
Redirección infinita (ERR_TOO_MANY_REDIRECTS)
Causa: Conflicto entre redirecciones del servidor y de la aplicación (común con proxies reversos y CDN).
Solución: Configurar la redirección en un solo punto. Si usas Cloudflare, configurar «Full (Strict)» en SSL/TLS.
Preguntas Frecuentes
¿Un certificado SSL gratis es menos seguro que uno de pago?
No. La encriptación de un certificado DV de Let’s Encrypt es técnicamente idéntica a la de un certificado de pago del mismo tipo. La diferencia está en el nivel de validación (DV vs OV vs EV) y en servicios adicionales como garantía financiera y soporte.
¿Necesito SSL si mi web no tiene formularios ni vende nada?
Sí. Google penaliza las webs sin HTTPS en el ranking, Chrome muestra «No seguro», y funcionalidades modernas del navegador (geolocalización, cámara, service workers) requieren HTTPS. Además, protege a tus visitantes de inyección de contenido por parte de ISPs o redes WiFi públicas.
¿Cuánto tarda en activarse un certificado SSL?
Los certificados DV (como Let’s Encrypt) se activan en minutos. Los OV tardan 1-3 días laborables por la verificación de la empresa. Los EV pueden tardar 3-7 días laborables por la verificación exhaustiva.
¿Puedo tener SSL gratis con Cloudflare?
Sí. Cloudflare ofrece SSL gratis en su plan Free. Sin embargo, es importante configurar el modo «Full (Strict)» que requiere un certificado válido también en tu servidor de origen. El modo «Flexible» solo encripta entre el usuario y Cloudflare, no entre Cloudflare y tu servidor.
¿SSL afecta a la velocidad de mi web?
Con TLS 1.3 y HTTP/2 (que requiere HTTPS), tu web será más rápida con SSL que sin él. El overhead de la encriptación es negligible en hardware moderno (< 1% de CPU). La primera conexión añade ~50-100ms por el handshake TLS, pero las reconexiones son prácticamente instantáneas.
¿Qué pasa si mi certificado SSL caduca?
Los visitantes verán una pantalla de error de seguridad que impide el acceso (la mayoría no la pasará). Google puede desindexar temporalmente las páginas afectadas. Los emails transaccionales que dependan de tu dominio pueden fallar. Es una urgencia que debe resolverse en minutos, no en horas.
¿Necesito un certificado diferente para cada subdominio?
Depende. Un certificado Single Domain cubre solo un dominio (o subdominio). Un Wildcard cubre el dominio principal y todos los subdominios de un nivel (*.tudominio.com). Un Multi-Domain (SAN) puede cubrir dominios completamente diferentes.
¿Cómo verifico que mi SSL está bien configurado?
Usa SSL Labs (ssllabs.com/ssltest). Introduce tu dominio y obtendrás una calificación de A a F con un informe detallado de la configuración, protocolos, cifrados y vulnerabilidades. Apunta siempre a una calificación A o A+.
—
Conclusión
El certificado SSL ya no es un extra técnico: es un requisito fundamental para cualquier web profesional. Protege a tus usuarios, mejora tu SEO, habilita tecnologías modernas como HTTP/2 y HTTP/3, y transmite la confianza que tus visitantes necesitan para interactuar con tu negocio online.
La buena noticia es que, gracias a Let’s Encrypt, tener SSL es gratuito y automatizable. La configuración correcta, sin embargo, requiere atención a los detalles: redirecciones, headers de seguridad, TLS 1.3, HSTS, contenido mixto y monitorización.
En LaudeMMedia gestionamos la seguridad SSL de todos nuestros proyectos de diseño web y ofrecemos servicios de VPS administrado donde el SSL está incluido y monitorizado. Si necesitas ayuda con la implementación o gestión de certificados SSL, contacta con nosotros.
Deja una respuesta