HTTPS (HyperText Transfer Protocol Secure) es la versión cifrada del protocolo HTTP. Utiliza el protocolo TLS (Transport Layer Security) para establecer una conexión encriptada entre el navegador del usuario y el servidor web, protegiendo todos los datos que se transmiten entre ambos. Un certificado SSL/TLS es el documento digital que hace posible esa conexión segura: contiene la clave pública del servidor y su identidad verificada por una Autoridad Certificadora de confianza. En 2026, cualquier sitio web sin HTTPS es marcado como "No seguro" por Chrome y tiene una desventaja de posicionamiento confirmada en Google. HTTPS es el estándar mínimo de seguridad en la web moderna, no un añadido opcional.
HTTP vs HTTPS: la diferencia fundamental
HTTP (HyperText Transfer Protocol) es el protocolo de comunicación original de la web, definido en 1991. Transmite todos los datos entre el navegador y el servidor en texto plano: cualquier tercero que intercepte el tráfico de red puede leer exactamente lo que se está enviando, incluyendo contraseñas, datos personales, números de tarjeta de crédito y cualquier otra información.
HTTPS resuelve este problema añadiendo una capa de cifrado mediante TLS. Desde el primer byte de la comunicación, todos los datos viajan cifrados: aunque alguien intercepte el tráfico de red, solo verá datos binarios sin ningún significado interpretable sin la clave de descifrado.
| Característica | HTTP | HTTPS |
|---|---|---|
| Protocolo de transporte | TCP puro, sin cifrado | TCP + TLS (cifrado de extremo a extremo) |
| Puerto por defecto | 80 | 443 |
| Cifrado de datos | No: los datos viajan en texto plano | Sí: los datos viajan cifrados con TLS 1.3 |
| Autenticación del servidor | No: no hay garantía de que el servidor es quien dice ser | Sí: el certificado SSL verifica la identidad del servidor |
| Integridad de los datos | No: los datos pueden ser modificados en tránsito | Sí: cualquier modificación es detectada automáticamente |
| Indicador en Chrome | "No seguro" en la barra de direcciones | Icono de candado (o sin indicador negativo) |
| Factor de ranking en Google | Neutral o ligeramente negativo | Factor positivo confirmado desde 2014 |
| Compatible con HTTP/2 y HTTP/3 | No (en la práctica, los navegadores no implementan HTTP/2 sobre HTTP) | Sí: HTTP/2 y HTTP/3 requieren TLS en todos los navegadores |
| Requerido por PCI-DSS | No: no se puede usar para transmitir datos de pago | Sí: obligatorio para cualquier transmisión de datos de tarjetas |
| Coste del certificado | No aplica | Desde 0€ (Let's Encrypt) hasta varios cientos de euros anuales (EV) |
Qué es SSL y qué es TLS: historia y diferencias
Los términos SSL y TLS se usan a menudo de forma intercambiable en el lenguaje cotidiano, pero técnicamente son protocolos distintos con una relación histórica clara:
SSL (Secure Sockets Layer) fue el protocolo de seguridad original desarrollado por Netscape en los años 90. Tuvo tres versiones: SSL 1.0 (nunca publicado por sus fallos de seguridad), SSL 2.0 (1995) y SSL 3.0 (1996). Todas las versiones de SSL tienen vulnerabilidades conocidas graves y están completamente obsoletas y desactivadas en todos los sistemas modernos.
TLS (Transport Layer Security) es el sucesor de SSL, desarrollado por el IETF como estándar abierto. TLS 1.0 (1999) fue básicamente SSL 3.1 con mejoras de seguridad. TLS 1.1 (2006) y TLS 1.2 (2008) añadieron mejoras adicionales. TLS 1.3 (2018) es el estándar actual: es significativamente más rápido (el handshake requiere solo un viaje de ida y vuelta, la mitad que TLS 1.2) y más seguro (elimina algoritmos de cifrado obsoletos y vulnerables).
| Versión | Año | Estado en 2026 | Motivo |
|---|---|---|---|
| SSL 2.0 | 1995 | Obsoleto y prohibido (RFC 6176) | Vulnerabilidades criptográficas graves |
| SSL 3.0 | 1996 | Obsoleto y prohibido (RFC 7568) | Vulnerable a POODLE attack |
| TLS 1.0 | 1999 | Desactivado (PCI-DSS desde 2018) | Vulnerable a BEAST y POODLE over TLS |
| TLS 1.1 | 2006 | Desactivado (retirado por IETF en RFC 8996, 2021) | Algoritmos débiles, mejor sustituir por TLS 1.2+ |
| TLS 1.2 | 2008 | Vigente y aceptado | Seguro cuando se configura correctamente |
| TLS 1.3 | 2018 | Vigente y recomendado | El más seguro y rápido; estándar de facto en 2026 |
Cuando tu proveedor de hosting habla de "certificado SSL", en realidad se refiere a un certificado que habilita TLS 1.2 y TLS 1.3. El término "SSL" persiste como sinónimo popular aunque el protocolo SSL en sí esté completamente obsoleto.
Cómo funciona HTTPS: el handshake TLS explicado
Cuando tu navegador se conecta a una web con HTTPS, ocurre un proceso de negociación llamado handshake TLS antes de que se transmita ningún dato. Con TLS 1.3, este proceso es extremadamente eficiente y ocurre en un único viaje de ida y vuelta (1-RTT):
- ClientHello: el navegador envía al servidor la lista de versiones de TLS y algoritmos de cifrado que soporta, más un número aleatorio (client random).
- ServerHello: el servidor elige la versión de TLS y el algoritmo de cifrado a usar, envía su certificado SSL/TLS y su propia clave pública, más otro número aleatorio (server random).
- Verificación del certificado: el navegador verifica que el certificado del servidor es válido: está firmado por una Autoridad Certificadora de confianza, no ha caducado y el nombre de dominio coincide.
- Intercambio de claves: ambas partes generan la misma clave de sesión simétrica a partir de sus claves y los números aleatorios, sin transmitir nunca esa clave por la red.
- Comunicación cifrada: a partir de este punto, todos los datos se cifran con esa clave de sesión única. Cada conexión tiene su propia clave, por lo que aunque se comprometiera una clave de sesión, las demás conexiones permanecen seguras (Forward Secrecy).
HTTPS garantiza tres propiedades fundamentales en toda comunicación:
| Propiedad | Qué garantiza | Cómo lo consigue |
|---|---|---|
| Confidencialidad | Solo el emisor y el receptor pueden leer los datos. Nadie que intercepte el tráfico puede descifrarlos. | Cifrado simétrico AES-256 o ChaCha20 con la clave de sesión |
| Integridad | Los datos no pueden ser modificados en tránsito sin que el receptor lo detecte. Previene los ataques man-in-the-middle. | Códigos de autenticación de mensajes (MAC) que detectan cualquier alteración |
| Autenticación | El servidor es realmente quien dice ser. El certificado SSL verifica que estás hablando con el servidor legítimo, no con un impostor. | Certificado SSL firmado por una Autoridad Certificadora de confianza |
Qué es un certificado SSL/TLS
Un certificado SSL/TLS es un archivo digital que contiene tres elementos esenciales:
- La clave pública del servidor: la mitad pública del par de claves criptográficas del servidor. Se comparte con todos los clientes que se conectan.
- La identidad del servidor: el nombre de dominio (o dominios) para los que es válido el certificado, más información sobre la organización propietaria (en certificados OV y EV).
- La firma digital de la Autoridad Certificadora: la CA firma el certificado con su propia clave privada, garantizando que los datos del certificado son auténticos y no han sido modificados.
Los navegadores tienen preinstalada una lista de Autoridades Certificadoras de confianza (Root CAs). Cuando reciben un certificado, verifican que está firmado por una CA de esa lista (directamente o a través de una cadena de certificados intermedios). Si la verificación es exitosa, el navegador confía en el certificado y establece la conexión HTTPS.
Tipos de certificados SSL/TLS
Los certificados SSL/TLS se clasifican según el nivel de validación que realiza la Autoridad Certificadora antes de emitirlos y según la cobertura de dominios que proporcionan:
Por nivel de validación
| Tipo | Nombre completo | Qué valida la CA | Tiempo de emisión | Para quién |
|---|---|---|---|---|
| DV | Domain Validation | Solo que el solicitante controla el dominio (validación automática) | Minutos | Blogs, webs personales, proyectos sin datos sensibles. Let's Encrypt emite DV. |
| OV | Organization Validation | Identidad del dominio más verificación de la existencia legal de la organización | 1-3 días laborables | Empresas y organizaciones que quieren mostrar su identidad verificada |
| EV | Extended Validation | Validación exhaustiva: dominio, organización, dirección física, representante legal | 1-2 semanas | Banca online, e-commerce de alto valor, instituciones que necesitan máxima confianza |
Por cobertura de dominios
| Tipo | Cobertura | Ejemplo de uso | Consideraciones |
|---|---|---|---|
| Single domain | Un único nombre de dominio exacto | sys4net.com (cubre solo ese dominio, no www.sys4net.com) | El más sencillo y económico para un solo dominio |
| Multi-domain (SAN) | Múltiples dominios específicos en un solo certificado | sys4net.com, www.sys4net.com, blog.sys4net.com, sys4net.es | Útil para cubrir un dominio y sus variaciones o varios dominios distintos |
| Wildcard | Un dominio y todos sus subdominios de primer nivel | *.sys4net.com cubre www, blog, mail, api, app, etc. | No cubre el dominio raíz ni subdominios de segundo nivel (*.*.dominio.com) |
| Wildcard multi-domain | Múltiples dominios y todos sus subdominios | *.sys4net.com y *.sys4net.es | El más versátil para organizaciones con múltiples dominios y subdominios |
Let's Encrypt: el certificado SSL gratuito que cambió la web
Let's Encrypt es una Autoridad Certificadora gratuita, automática y de código abierto creada en 2014 y operada por la Internet Security Research Group (ISRG), con el apoyo de Mozilla, EFF, Cisco y otras organizaciones. Su misión es hacer el cifrado HTTPS universal y gratuito para toda la web.
Antes de Let's Encrypt, obtener un certificado SSL/TLS implicaba pagar entre 50 y varios cientos de euros anuales, enviar documentación a una CA comercial y esperar días para la emisión. Let's Encrypt automatizó completamente este proceso mediante el protocolo ACME (Automatic Certificate Management Environment, RFC 8555), reduciendo el tiempo de obtención e instalación a minutos y el coste a cero.
El impacto ha sido enorme: en 2014, menos del 30% del tráfico web global usaba HTTPS. En 2026, Let's Encrypt protege más de 500 millones de sitios web activos y el porcentaje de tráfico web cifrado supera el 95%.
Características clave de Let's Encrypt
| Característica | Detalle |
|---|---|
| Coste | Completamente gratuito: sin coste de emisión, sin coste de renovación |
| Tipo de certificado | DV (Domain Validation): verifica el control del dominio, no la identidad de la organización |
| Validez del certificado | 90 días (diseñado para renovación automática; el corto período limita el daño si una clave se compromete) |
| Renovación | Automática mediante Certbot o clientes ACME integrados en el servidor; sin intervención manual |
| Confianza en navegadores | 100%: reconocido por todos los navegadores modernos (Chrome, Firefox, Safari, Edge) |
| Certificados wildcard | Sí, disponibles desde 2018 mediante el método de validación DNS-01 |
| Protocolo de emisión | ACME (RFC 8555): estándar abierto implementado por múltiples clientes |
| Límites de emisión | 50 certificados por dominio registrado por semana (límite generoso para uso normal) |
¿Cuándo Let's Encrypt NO es suficiente?
Let's Encrypt cubre perfectamente la gran mayoría de casos de uso. Sin embargo, hay escenarios específicos donde puede ser necesario un certificado de pago:
- Certificados OV o EV: si tu empresa necesita mostrar su identidad verificada en el certificado (nombre de la organización visible en la información del certificado), Let's Encrypt no es válido porque solo emite DV.
- Garantía económica por problemas de seguridad: algunos certificados de pago incluyen garantías económicas (de hasta un millón de dólares en algunos EV) si la CA comete un error en la verificación. Let's Encrypt no ofrece garantías de este tipo.
- Requisitos contractuales específicos:
- algunos sectores regulados o contratos con clientes grandes pueden exigir explícitamente certificados OV o EV de CAs específicas.
- Soporte técnico dedicado: Let's Encrypt no ofrece soporte técnico. Si necesitas soporte garantizado de la CA para resolver problemas de certificados, un proveedor de pago puede ser más adecuado.
Por qué tu sitio web necesita HTTPS en 2026
1. Seguridad y privacidad de los usuarios
Sin HTTPS, cualquier dato que un usuario envíe a tu sitio web (formularios de contacto, contraseñas, datos personales, números de tarjeta) viaja en texto plano por la red. Cualquier nodo de red entre el usuario y tu servidor (router del usuario, red WiFi pública, proveedor de internet, nodos de tránsito) puede leer esos datos sin ningún esfuerzo técnico especial.
Con HTTPS, esos datos viajan cifrados con AES-256 o ChaCha20: aunque alguien intercepte el tráfico, solo verá datos binarios sin ningún significado interpretable. La privacidad de tus usuarios está protegida de extremo a extremo.
2. Factor de posicionamiento en Google
Google anunció en agosto de 2014 que HTTPS es una señal de ranking. En 2021 confirmó que HTTPS forma parte de las señales de experiencia de página que alimentan el sistema de ranking. En 2026, prácticamente el 100% de los resultados en las primeras posiciones de Google usan HTTPS. Un sitio sin HTTPS tiene una desventaja de posicionamiento real frente a sitios equivalentes con HTTPS.
3. Confianza y conversión
Desde 2018, Google Chrome marca como "No seguro" todas las páginas HTTP que contienen formularios. Desde 2021, muestra el aviso en todas las páginas HTTP, independientemente de si tienen formularios. Este aviso visible en la barra de direcciones reduce de forma significativa la confianza de los usuarios y la tasa de conversión, especialmente en tiendas online, formularios de contacto y páginas de registro.
4. HTTP/2 y HTTP/3: velocidad de carga
Las versiones modernas del protocolo HTTP ofrecen mejoras de rendimiento sustanciales respecto a HTTP/1.1: multiplexación de solicitudes, compresión de cabeceras, server push y conexiones más eficientes. El problema es que todos los navegadores modernos implementan HTTP/2 y HTTP/3 exclusivamente sobre TLS. Si tu servidor no tiene HTTPS, los navegadores usan HTTP/1.1 aunque el servidor soporte HTTP/2, perdiendo todas esas mejoras de rendimiento.
5. Obligaciones legales y normativas
- RGPD (Reglamento General de Protección de Datos): el RGPD exige que los datos personales de ciudadanos europeos estén protegidos durante su transmisión. Transmitir datos personales sin cifrado (sin HTTPS) es técnicamente una violación del principio de integridad y confidencialidad del RGPD y puede derivar en sanciones de la AEPD.
- PCI-DSS (Payment Card Industry Data Security Standard): obliga a usar TLS 1.2 o superior para cualquier transmisión de datos de tarjetas de pago. Sin HTTPS no se puede cumplir PCI-DSS y no se pueden aceptar pagos con tarjeta de forma legalmente conforme.
- LOPD-GDD: la Ley Orgánica de Protección de Datos española, que implementa el RGPD en España, tiene los mismos requisitos de seguridad en la transmisión de datos personales.
Cómo instalar HTTPS en tu sitio web
En servidores con Plesk (los servidores de sys4net)
En los servidores de sys4net, todos los planes de hosting incluyen Let's Encrypt preintegrado en Plesk. La instalación es un proceso de tres clics sin necesidad de línea de comandos:
- Accede al panel de control de Plesk.
- Ve a Websites y Dominios > [tu dominio] > SSL/TLS Certificates.
- Haz clic en "Instalar" junto a Let's Encrypt.
- Marca la casilla "Asegurar también www.[tudominio]" si quieres cubrir ambas versiones.
- Haz clic en "Obtener de forma gratuita".
Plesk instala automáticamente el certificado, configura la redirección de HTTP a HTTPS y programa la renovación automática antes de que el certificado caduque a los 90 días.
En servidores Linux con acceso SSH (Certbot)
# Ubuntu/Debian — instalar Certbot:
sudo apt update
sudo apt install certbot python3-certbot-nginx # Para Nginx
sudo apt install certbot python3-certbot-apache # Para Apache
# Obtener e instalar el certificado para Nginx:
sudo certbot --nginx -d tudominio.com -d www.tudominio.com
# Obtener e instalar el certificado para Apache:
sudo certbot --apache -d tudominio.com -d www.tudominio.com
# Verificar que la renovación automática funciona:
sudo certbot renew --dry-run
# Ver cuándo caducan los certificados instalados:
sudo certbot certificatesConfigurar la redirección de HTTP a HTTPS
# En Apache .htaccess — redirección correcta con soporte de proxy inverso:
RewriteEngine On
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
# En Nginx — bloque server para HTTP que redirige a HTTPS:
server {
listen 80;
server_name tudominio.com www.tudominio.com;
return 301 https://tudominio.com$request_uri;
}
# En Nginx — bloque server para HTTPS:
server {
listen 443 ssl http2;
server_name tudominio.com;
ssl_certificate /etc/letsencrypt/live/tudominio.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/tudominio.com/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
# ... resto de la configuración del sitio
}Cómo verificar que tu certificado SSL está correctamente instalado
Después de instalar el certificado SSL, verifica que todo está correcto con estas herramientas:
SSL Labs de Qualys (herramienta online gratuita)
SSL Labs (ssllabs.com/ssltest/) es el estándar de la industria para verificar la configuración SSL/TLS de un servidor. Analiza el certificado, la cadena de certificados, las versiones de TLS soportadas, los algoritmos de cifrado disponibles y muchos otros parámetros, y asigna una nota de A+ a F.
# Desde la línea de comandos — verificación básica del certificado:
echo | openssl s_client -connect tudominio.com:443 2>/dev/null | openssl x509 -noout -text | grep -E "Subject:|Issuer:|Not Before:|Not After:"
# Verificar la fecha de caducidad:
echo | openssl s_client -connect tudominio.com:443 2>/dev/null | openssl x509 -noout -dates
# Verificar qué versiones de TLS soporta el servidor:
nmap --script ssl-enum-ciphers -p 443 tudominio.com
# Verificar la redirección HTTP a HTTPS:
curl -I http://tudominio.comErrores comunes después de instalar HTTPS
Contenido mixto (Mixed Content)
El contenido mixto ocurre cuando una página HTTPS carga recursos (imágenes, scripts, CSS, iframes) mediante URLs HTTP en lugar de HTTPS. El navegador bloquea los recursos activos (scripts, CSS) que se cargan por HTTP en una página HTTPS, y puede mostrar advertencias para los recursos pasivos (imágenes). Esto rompe la apariencia y el funcionamiento del sitio y anula las protecciones de HTTPS.
# En WordPress — corregir el contenido mixto con Better Search Replace:
# Instala el plugin Better Search Replace y busca:
# Buscar: http://tudominio.com
# Reemplazar: https://tudominio.com
# En todas las tablas de la base de datos
# Con WP-CLI:
wp search-replace 'http://tudominio.com' 'https://tudominio.com' --skip-columns=guid --report-changed-only
# Detectar contenido mixto desde la línea de comandos:
curl -s https://tudominio.com | grep -o 'src="http://[^"]*"\|href="http://[^"]*"' | head -20
# En el navegador: abre Chrome DevTools (F12) > Console
# Verás advertencias "Mixed Content" con las URLs exactas de los recursos problemáticosERR_TOO_MANY_REDIRECTS tras instalar HTTPS
Este error es muy frecuente al instalar HTTPS en WordPress. Ocurre cuando WordPress no detecta correctamente que la conexión ya es HTTPS (especialmente detrás de Cloudflare o un proxy inverso) y genera un bucle de redirecciones. La solución es añadir en wp-config.php:
# En wp-config.php — antes de "/* That's all, stop editing! */":
define('WP_HOME', 'https://tudominio.com');
define('WP_SITEURL', 'https://tudominio.com');
# Si el servidor está detrás de un proxy inverso (Cloudflare, Nginx delante de Apache):
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) &&
$_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
$_SERVER['HTTPS'] = 'on';
}Certificado SSL caducado
Los certificados de Let's Encrypt caducan cada 90 días. Si la renovación automática falla (por un problema de configuración del servidor, un cambio de IP o un problema con el DNS), el certificado caduca y los navegadores muestran una advertencia de seguridad que impide el acceso al sitio.
# Verificar el estado de la renovación automática de Certbot:
sudo systemctl status certbot.timer
sudo journalctl -u certbot --since "7 days ago"
# Renovar manualmente si la renovación automática falló:
sudo certbot renew
# En Plesk: la renovación automática está configurada por defecto.
# Verifica en SSL/TLS Certificates que el certificado tiene más de 30 días de validez.HTTPS y el correo electrónico: SSL/TLS en email
HTTPS no es solo para sitios web. El correo electrónico también necesita cifrado TLS para proteger las credenciales y el contenido de los emails en tránsito. Los puertos correctos para correo cifrado son:
| Protocolo | Puerto sin cifrado | Puerto SSL/TLS | Puerto STARTTLS |
|---|---|---|---|
| IMAP (recepción) | 143 | 993 | 143 |
| POP3 (recepción) | 110 | 995 | 110 |
| SMTP (envío) | 25 / 587 | 465 | 587 |
La diferencia entre SSL/TLS implícito y STARTTLS: con SSL/TLS implícito (puertos 993, 995, 465), la conexión es cifrada desde el primer byte. Con STARTTLS (puertos 143, 110, 587), la conexión comienza sin cifrar y se actualiza a TLS mediante el comando STARTTLS. En 2026 se recomienda usar SSL/TLS implícito siempre que sea posible.
Impacto de HTTPS en el rendimiento web
Una preocupación frecuente es si HTTPS ralentiza el sitio web. La respuesta en 2026 es que con TLS 1.3 y HTTP/2 o HTTP/3, HTTPS es igual o más rápido que HTTP en la mayoría de los escenarios:
- TLS 1.3 vs TLS 1.2: TLS 1.3 reduce el handshake a 1-RTT (un solo viaje de ida y vuelta) frente a los 2-RTT de TLS 1.2. También soporta 0-RTT para reconexiones, eliminando prácticamente la latencia del handshake para visitantes recurrentes.
- HTTP/2 sobre HTTPS: HTTP/2 permite multiplexar múltiples solicitudes sobre una misma conexión TCP, eliminar el head-of-line blocking y comprimir las cabeceras HTTP. Todo esto supera con creces la pequeña latencia añadida por el handshake TLS.
- Impacto real en Core Web Vitals: los sitios bien configurados con HTTPS, HTTP/2 y TLS 1.3 tienen métricas de LCP (Largest Contentful Paint) y TTFB (Time to First Byte) iguales o mejores que los mismos sitios con HTTP/1.1 sin cifrado.
Preguntas frecuentes sobre HTTPS y SSL
¿Cuál es la diferencia entre SSL y TLS?
SSL (Secure Sockets Layer) es el protocolo original, desarrollado por Netscape en los años 90. TLS (Transport Layer Security) es su sucesor, desarrollado por el IETF como estándar abierto. Todas las versiones de SSL (2.0 y 3.0) tienen vulnerabilidades de seguridad graves y están completamente obsoletas. Lo que se usa en 2026 es TLS 1.2 y TLS 1.3. El término "certificado SSL" persiste en el lenguaje cotidiano como sinónimo de "certificado TLS", aunque técnicamente SSL ya no existe en ningún servidor moderno.
¿Let's Encrypt es seguro para un sitio de empresa?
Sí, completamente. Los certificados de Let's Encrypt ofrecen exactamente el mismo nivel de cifrado criptográfico (TLS 1.3, AES-256) que los certificados de pago más caros. La diferencia no está en la seguridad del cifrado sino en el nivel de validación: Let's Encrypt solo verifica que controlas el dominio (DV), mientras que los certificados OV y EV verifican también la identidad de la organización. Para la gran mayoría de sitios web empresariales, el nivel DV de Let's Encrypt es perfectamente adecuado. Si tu empresa necesita mostrar su nombre verificado en el certificado, entonces necesitas un OV o EV de pago.
¿HTTPS mejora el posicionamiento en Google?
Sí, aunque es una señal de ranking relativamente ligera comparada con factores como la calidad del contenido o los backlinks. Google confirmó HTTPS como factor de ranking en 2014 y lo reconfirmó como parte de las señales de experiencia de página en 2021. En la práctica, dos páginas equivalentes en calidad de contenido y autoridad, una con HTTPS y otra sin él, la de HTTPS tendrá una ligera ventaja. Más importante que la ventaja directa de HTTPS es la desventaja de no tenerlo: Chrome muestra "No seguro" en páginas HTTP, lo que reduce la confianza del usuario y puede afectar negativamente a la tasa de clics desde los resultados de búsqueda.
¿Cuánto cuesta un certificado SSL?
El coste varía enormemente según el tipo. Los certificados DV de Let's Encrypt son completamente gratuitos e incluyen renovación automática. Los certificados DV de pago de CAs comerciales (DigiCert, Sectigo, GlobalSign) cuestan entre 10 y 100 euros anuales. Los certificados OV oscilan entre 50 y 300 euros anuales. Los certificados EV, con validación extendida, pueden costar entre 200 y más de 1.000 euros anuales. En los servidores de sys4net, Let's Encrypt está incluido y preconfigurado en todos los planes sin coste adicional.
¿Qué pasa si el certificado SSL caduca?
Cuando un certificado SSL caduca, los navegadores muestran inmediatamente una advertencia de seguridad que impide el acceso al sitio a la mayoría de los usuarios: "Tu conexión no es privada" en Chrome, "Advertencia: Riesgo de seguridad potencial" en Firefox. Este error bloquea eficazmente el acceso al sitio para usuarios no técnicos y tiene un impacto inmediato y grave en el tráfico y las conversiones. Con Let's Encrypt y Certbot correctamente configurados, la renovación es automática y ocurre cuando quedan 30 días para la caducidad, eliminando prácticamente el riesgo de caducidad inesperada.
¿Puedo tener HTTPS en solo algunas páginas de mi sitio?
Técnicamente es posible, pero es una práctica obsoleta y perjudicial que no se recomienda en ningún caso. Tener HTTPS solo en el checkout de una tienda pero HTTP en el resto del sitio crea inconsistencias que los navegadores marcan, problemas de contenido mixto y una experiencia de usuario confusa. El estándar actual es usar HTTPS en todo el sitio de forma universal, redirigiendo todo el tráfico HTTP a HTTPS mediante una redirección 301. Los certificados modernos (incluyendo Let's Encrypt) no tienen coste adicional por cubrir todas las páginas del sitio.
¿HTTPS protege contra todos los ataques web?
No. HTTPS protege la comunicación en tránsito entre el navegador y el servidor, garantizando confidencialidad, integridad y autenticación. Pero no protege contra vulnerabilidades en el código de la aplicación web (inyección SQL, XSS, CSRF), ataques al servidor (explotación de vulnerabilidades del sistema operativo o del servidor web), contraseñas débiles o reutilizadas, o ataques de phishing donde el atacante tiene su propio certificado SSL válido para un dominio fraudulento. HTTPS es una capa de seguridad imprescindible, pero no sustituye a otras medidas de seguridad como el mantenimiento actualizado del software, las copias de seguridad regulares y el uso de contraseñas seguras.
