El candado verde en la barra del navegador no es decorativo: indica que la conexión entre el visitante y tu servidor está encriptada con un certificado SSL. Sin él, los datos que tus usuarios envían (contraseñas, datos de pago, información personal) viajan en texto plano y pueden ser interceptados.
Desde 2018, Google Chrome marca como «No seguro» cualquier web sin SSL. Google también confirma que HTTPS es un factor de ranking para SEO. Si tu web aún no tiene SSL, estás perdiendo posiciones en Google, confianza de los visitantes y, si procesas pagos, incumpliendo normativas de seguridad.
Qué es un certificado SSL y cómo funciona
SSL (Secure Sockets Layer) y su sucesor TLS (Transport Layer Security) son protocolos de encriptación que protegen la comunicación entre el navegador del usuario y el servidor web. Cuando accedes a una web con HTTPS, tu navegador y el servidor negocian una conexión cifrada que impide que terceros intercepten los datos.
El certificado SSL contiene la clave pública del servidor, la identidad del propietario del dominio y la firma digital de una Autoridad de Certificación (CA) que verifica que el certificado es auténtico. El navegador valida la cadena de confianza antes de establecer la conexión segura.
En la práctica, el proceso es invisible para el usuario: solo ve el candado en la barra de dirección y que la URL empieza por https://. Si el certificado está caducado, es autofirmado o no coincide con el dominio, el navegador mostrará una advertencia que la mayoría de usuarios interpretará como «esta web es peligrosa».
Tipos de certificados SSL
Existen tres niveles de validación que determinan qué información verifica la Autoridad de Certificación antes de emitir el certificado. El nivel de encriptación es el mismo en los tres; lo que varía es la confianza visual que transmiten.
DV (Domain Validation) es el más básico y común: solo verifica que controlas el dominio. Se emite en minutos y es gratuito con Lets Encrypt. Es suficiente para blogs, webs corporativas y la mayoría de tiendas online.
OV (Organization Validation) verifica que la organización detrás del dominio existe legalmente. Requiere documentación y tarda 1-3 días. EV (Extended Validation) es el nivel más alto: verifica exhaustivamente la identidad de la organización y mostraba una barra verde en el navegador (ya no en navegadores modernos). OV y EV se usan en banca, gobierno y grandes corporaciones.
- DV (Domain Validation): gratuito con Let's Encrypt, verificación en minutos
- OV (Organization Validation): desde 50 €/año, verifica la organización
- EV (Extended Validation): desde 150 €/año, máxima verificación
- Wildcard: protege todos los subdominios (*.tudominio.com)
- Multi-dominio (SAN): un solo certificado para múltiples dominios
Cómo instalar un certificado SSL
La mayoría de proveedores de hosting modernos incluyen certificados SSL gratuitos de Lets Encrypt y los instalan automáticamente. En cPanel, busca «SSL/TLS» o «Lets Encrypt» y activa el certificado para tu dominio. En Plesk, ve a «Dominios» → tu dominio → «Certificados SSL/TLS».
Si tu hosting no ofrece SSL gratuito (lo cual debería hacerte considerar cambiar de hosting), puedes obtener un certificado gratuito de Lets Encrypt e instalarlo manualmente, o usar Cloudflare que proporciona SSL gratuito en su plan Free.
Después de instalar el certificado, necesitas configurar WordPress para usar HTTPS. Cambia las URLs en Ajustes → Generales a https://, instala Really Simple SSL para forzar HTTPS en todo el sitio y configura una redirección 301 de HTTP a HTTPS.
Resolver problemas de contenido mixto
Después de instalar SSL, es común encontrar «contenido mixto»: la página se carga por HTTPS pero algunos recursos (imágenes, scripts, CSS) aún se cargan por HTTP. Esto impide que el candado aparezca y puede bloquear recursos en navegadores estrictos.
Usa la consola del navegador (F12 → Console) para identificar los recursos HTTP. Normalmente son imágenes insertadas en el contenido con URLs absolutas http://. Usa el plugin Better Search Replace para cambiar todas las URLs de http://tudominio.com a https://tudominio.com en la base de datos.
Los scripts de terceros (widgets de redes sociales, mapas, tracking) también pueden causar contenido mixto. Verifica que todos los scripts externos se cargan por HTTPS. La mayoría de servicios modernos soportan HTTPS; si alguno no lo hace, considera sustituirlo.
Renovación y mantenimiento
Los certificados SSL tienen fecha de caducidad. Los de Lets Encrypt caducan cada 90 días y se renuevan automáticamente si el hosting está configurado correctamente. Los certificados comerciales suelen tener validez de 1 año.
Un certificado caducado muestra un error «Tu conexión no es privada» que prácticamente impide que cualquier visitante acceda a tu web. Configura alertas de renovación y verifica periódicamente que la auto-renovación funciona.
Monitoriza la salud de tu certificado con herramientas como SSL Labs (ssllabs.com/ssltest). Verifica que la configuración TLS esté actualizada (TLS 1.2 mínimo, preferiblemente TLS 1.3), que la cadena de certificados esté completa y que no haya protocolos o cifrados obsoletos habilitados.
- Let's Encrypt: renovación automática cada 90 días
- Certificados comerciales: renovación anual, configurar alerta 30 días antes
- Verificar con SSL Labs que la puntuación sea A o A+
- Desactivar TLS 1.0 y 1.1 (obsoletos e inseguros)
- Habilitar HSTS para forzar HTTPS a nivel de navegador
Puntos clave
- Un certificado SSL es imprescindible: sin él pierdes SEO, confianza y seguridad
- Let's Encrypt ofrece certificados DV gratuitos suficientes para la mayoría de webs
- Después de instalar SSL, resuelve el contenido mixto HTTP/HTTPS
- Verifica que la auto-renovación funciona para evitar caducidades
- Usa SSL Labs para comprobar la calidad de tu configuración TLS
¿Necesitas instalar o renovar tu certificado SSL?
Nuestro equipo instala, configura y monitoriza certificados SSL en cualquier hosting. Incluido en todos nuestros planes de mantenimiento web.
Solicitar presupuesto