HTTPS y certificado SSL: qué son y por qué tu sitio los necesita

Has visto ese candado al lado de la dirección de un sitio web. A veces falta, y el navegador muestra un aviso rojo de "No es seguro". Detrás de ese pequeño icono hay dos cosas que protegen a tu sitio y a quien lo visita: HTTPS y el certificado SSL/TLS.

No necesitas ser técnico para entenderlos, y sí necesitas tenerlos bien puestos. Si tu sitio carga sin candado, vende menos, posiciona peor en Google y expone los datos de tus visitantes. La buena noticia: hoy conseguir un certificado es gratis y, en muchos casos, automático.

En esta guía te explicamos en simple qué es HTTPS, qué es un certificado SSL, por qué importa, qué pasa si falta o vence, cómo obtener uno y los errores más comunes. Al final te dejamos una sección accionable para revisar tu propio sitio hoy mismo.

Qué es HTTP y qué es HTTPS

Cada vez que abres una página web, tu navegador y el servidor del sitio se hablan usando un "idioma" llamado HTTP (HyperText Transfer Protocol). El problema es que HTTP envía toda la información en texto plano: como una postal que cualquiera en el camino puede leer.

HTTPS es ese mismo idioma, pero con una capa de seguridad encima (la "S" es de Secure). En lugar de una postal, tu información viaja dentro de un sobre cerrado y sellado que solo el destinatario correcto puede abrir.

Esa capa de seguridad la aporta el cifrado TLS (antes llamado SSL). Por eso verás los términos juntos: HTTPS es el resultado de poner TLS encima de HTTP.

Qué es un certificado SSL/TLS

Para que HTTPS funcione, tu sitio necesita un certificado SSL/TLS. Piensa en él como el carnet de identidad de tu sitio web. Hace dos cosas:

1. Identifica que tu sitio es realmente quien dice ser (que tutienda.com es de verdad tu tienda y no una copia falsa).
2. Habilita el cifrado para que la información que viaja entre el navegador y tu servidor no pueda ser leída por terceros.

El certificado lo emite una Autoridad Certificadora (CA, por sus siglas en inglés): una entidad de confianza que verifica que controlas tu dominio antes de darte el carnet. Los navegadores conocen y confían en estas autoridades, así que cuando ven un certificado válido emitido por una de ellas, muestran el candado.

Un dato útil: "SSL" es el nombre antiguo y técnicamente obsoleto del protocolo. Hoy todo usa TLS, pero por costumbre se sigue diciendo "certificado SSL". Cuando alguien dice SSL, casi siempre se refiere a TLS moderno. No te preocupes por el nombre; preocúpate por tenerlo activo y vigente.

El candado del navegador: qué significa de verdad

Mucha gente cree que el candado significa "este sitio es 100% seguro y confiable". No es exactamente así. El candado significa una cosa concreta:

• La conexión está cifrada y nadie en el camino puede espiar lo que envías o recibes.
• El sitio presentó un certificado válido para el dominio que estás visitando.

Lo que el candado no garantiza es que el dueño del sitio sea honesto. Un sitio de phishing también puede tener candado. Por eso el candado es necesario pero no suficiente: es el piso mínimo de confianza, no la prueba final.

Para tu propio sitio, en cambio, el mensaje es claro: si no tienes candado, estás por debajo de ese piso mínimo y los visitantes lo notan.

Por qué importa tener HTTPS

1. Confianza de tus visitantes

El aviso de "No es seguro" en rojo espanta a la gente. Si vendes algo, capturas correos o pides cualquier dato, un sitio sin candado siembra dudas justo en el momento en que el visitante decide si confía en ti. Es una de las fugas de conversión más silenciosas y fáciles de arreglar.

2. Mejor posicionamiento en buscadores (SEO)

Google confirmó hace años que HTTPS es una señal de posicionamiento. Entre dos sitios parecidos, el que tiene HTTPS tiene ventaja. Además, los navegadores marcan los sitios HTTP como inseguros, lo que aumenta el rebote y empeora indirectamente tus métricas.

3. Datos cifrados

Formularios de contacto, logins, pagos, búsquedas internas: todo lo que tu visitante escribe viaja protegido. Sin HTTPS, en una red wifi pública cualquiera podría interceptar una contraseña o un número de tarjeta. Con HTTPS, eso deja de ser posible.

4. Requisito de muchas herramientas modernas

Funciones del navegador como geolocalización, notificaciones, pagos con tarjeta guardada o instalar tu sitio como app (PWA) exigen HTTPS. Sin él, simplemente no funcionan.

Qué pasa si tu certificado falta o vence

Esta es la parte que sorprende a muchos dueños de sitios. Un certificado no es para siempre: tiene fecha de vencimiento. Hoy lo normal es que dure entre 90 días y un año, y la tendencia de la industria es a plazos cada vez más cortos.

Esto es lo que ocurre en cada caso:

• Si nunca tuviste certificado: el sitio carga por HTTP, aparece el aviso "No es seguro" y pierdes confianza y SEO.
• Si el certificado venció: el navegador muestra una pantalla de advertencia a pantalla completa ("Tu conexión no es privada") que asusta y, muchas veces, bloquea el acceso hasta que el visitante decide ignorar el riesgo. La mayoría se va.
• Si el certificado no coincide con el dominio: por ejemplo, tienes certificado para tutienda.com pero el visitante entra por www.tutienda.com y ese subdominio no está cubierto. Mismo resultado: pantalla de advertencia.

Un certificado vencido puede tumbar tu sitio comercialmente en cuestión de minutos, aunque el servidor siga "funcionando". Por eso la renovación automática es tan importante.

Cómo obtener un certificado SSL

La buena noticia: hoy es fácil y, en la mayoría de los casos, gratis. Estas son tus opciones según cómo tengas montado tu sitio.

Opción 1: tu hosting ya lo incluye (lo más común)

Plataformas como WordPress.com, Shopify, Wix, Squarespace, Vercel, Netlify y la mayoría de los hostings modernos incluyen HTTPS automáticamente. No tienes que hacer nada: emiten y renuevan el certificado por ti. Si usas una de estas y aún ves "No es seguro", suele ser un ajuste pendiente (ver la sección de errores comunes).

Opción 2: Let's Encrypt (gratis y automático)

Let's Encrypt es una autoridad certificadora gratuita y sin fines de lucro que emitió cientos de millones de certificados. Es el estándar de facto para sitios que se autogestionan. La mayoría de paneles de hosting (cPanel, Plesk) tienen un botón de "instalar Let's Encrypt" que lo configura y lo renueva solo cada 90 días.

Si administras tu propio servidor, herramientas como Certbot automatizan todo el proceso desde la línea de comandos.

Opción 3: certificado pagado (casos específicos)

Existen certificados de pago con validación extendida (EV) o de organización (OV) que verifican datos legales de tu empresa. Para la inmensa mayoría de sitios (negocios, tiendas, blogs, landings) no los necesitas: un certificado gratuito de Let's Encrypt cifra igual de bien. Los pagados tienen sentido en bancos o grandes corporaciones con requisitos específicos.

Regla práctica: empieza por revisar si tu hosting ya lo trae. Si no, activa Let's Encrypt. Solo considera uno pagado si alguien con un motivo concreto te lo exige.

Errores comunes (y cómo se ven)

Tener un certificado no basta; hay que configurarlo bien. Estos son los tropiezos más frecuentes.

Contenido mixto (mixed content)

Tu página carga por HTTPS, pero dentro hay recursos (imágenes, scripts, hojas de estilo) que apuntan a http://. El navegador detecta esa mezcla, bloquea esos recursos o muestra el candado roto, y a veces la página se ve rota. Es el error número uno al migrar de HTTP a HTTPS.

La solución suele ser cambiar todas las URLs internas de http:// a https:// (o a rutas relativas) en tu contenido, plantillas y base de datos.

Certificado vencido

Ya lo vimos: si la renovación automática falla o el certificado era manual y nadie lo renovó, el sitio entra en pantalla de advertencia. Configura recordatorios o, mejor, renovación automática.

Dominio no cubierto (www vs. sin www)

El certificado cubre tudominio.com pero no www.tudominio.com, o al revés. Asegúrate de que tu certificado cubra ambas variantes y de que una redirija a la otra de forma consistente.

Falta de redirección de HTTP a HTTPS

Tienes HTTPS funcionando, pero la versión http:// de tu sitio sigue accesible y sin redirigir. Eso confunde a Google y deja una puerta insegura abierta. Configura una redirección 301 permanente de HTTP a HTTPS.

Cadena de certificados incompleta

A veces el certificado se instala, pero falta un certificado "intermedio" que conecta el tuyo con la autoridad raíz. Tu navegador puede que no se queje, pero otros sí. Las herramientas de verificación de abajo lo detectan.

Cómo verificar tu certificado

Revisar el estado de tu HTTPS toma un par de minutos.

1. Mira el candado. Abre tu sitio, haz clic en el candado de la barra de direcciones y elige "La conexión es segura" o "Certificado". Verás quién lo emitió y su fecha de vencimiento.
2. Escribe http:// a propósito. Entra a la versión sin "s" de tu URL. Debería redirigir sola a https://. Si se queda en HTTP, te falta la redirección.
3. Prueba ambas variantes del dominio. Carga tudominio.com y www.tudominio.com. Las dos deben mostrar candado.
4. Usa una herramienta de análisis. Servicios como SSL Labs (de Qualys) revisan a fondo tu configuración TLS, la cadena de certificados y posibles debilidades, y te dan una nota.
5. Revisa la consola del navegador. Abre las DevTools (tecla F12), pestaña "Console", y recarga. Si hay contenido mixto, verás advertencias en amarillo o rojo señalando exactamente qué recurso carga por HTTP.

Qué revisar en tu sitio hoy

Una lista rápida y accionable para asegurarte de que tu HTTPS está sano:

• Tu sitio muestra el candado sin avisos en la barra de direcciones.
• Escribir http://tudominio.com redirige automáticamente a https://.
• Tanto tudominio.com como www.tudominio.com cargan con candado.
• Revisaste la fecha de vencimiento del certificado y sabes cuándo se renueva.
• La renovación es automática (tu hosting o Let's Encrypt la maneja sola).
• No hay contenido mixto: la consola del navegador no muestra advertencias de recursos por HTTP.
• Las imágenes, scripts y estilos internos cargan todos por https://.
• Si tienes formularios o login, confirmaste que envían datos por HTTPS.

Si marcaste todas, vas muy bien. Si alguna quedó vacía, ahí tienes tu lista de pendientes.

En resumen

HTTPS y el certificado SSL/TLS dejaron de ser un lujo técnico para convertirse en el estándar mínimo de cualquier sitio web serio, sea una tienda, un blog o una landing. Cifran los datos de tus visitantes, te dan el candado que genera confianza, te ayudan en buscadores y, hoy, conseguirlos es gratis y casi automático.

Lo que más falla no es la falta del certificado, sino los detalles: certificados vencidos, contenido mixto y redirecciones que faltan. Esos puntos pasan desapercibidos hasta que un visitante se topa con una pantalla de advertencia o tu posicionamiento baja sin explicación.

¿No estás seguro de cómo está tu sitio? Escanéalo gratis en pursecure.app: pegas tu URL y en segundos recibes un puntaje de 0 a 100 con los problemas de seguridad ordenados por gravedad, incluyendo el estado de tu HTTPS y certificado. Y para cada hallazgo te decimos cómo arreglarlo, tú mismo, con tu equipo o con un prompt listo para tu IA. Da el primer paso hoy en pursecure.app/scan.