Register.Domains Register.Domains
Carrito

Ver Dominios

Revisar

Su carrito está vacío

Contáctanos

Para recibir asistencia por e-mail, simplemente contáctenos

Servicios
Nombres de Dominio
Email y Hosting
Nombres de Dominio
Email y Hosting

Certificados-SSL:-por-que-tu-sitio-web-necesita-uno

Escrito por Sarah Johnson ·

Certificados-SSL:-por-que-tu-sitio-web-necesita-uno

🔍 Resumen:

TL;DR: Todo sitio web necesita un certificado SSL, sin importar su tamaño o si recibe pagos. SSL cifra la conexión entre el navegador de tu visitante y tu servidor web, evita avisos del navegador de "No seguro", ayuda a mejorar el posicionamiento en buscadores y es casi obligatorio para funciones modernas del navegador. Por lo general, puedes obtener certificados SSL gratis a través de tu proveedor de dominio o servicios de hosting.

📋 Tabla de contenidos

1. ¿Qué es un certificado SSL para un sitio web?

Puede que hayas visto el icono del candado en tu navegador que incluye un aviso como "No seguro" o "Tu conexión no es privada", que te pide completar una verificación adicional antes de entrar a un sitio web. Y es probable que te dé más desconfianza hacer ese paso extra.

Pero entonces te preguntas: "¿Necesito un certificado SSL para mi sitio web?" Si haces esta pregunta, ya vas por buen camino para hacer tu sitio más seguro y cómodo para los visitantes.

Un certificado SSL es un pequeño archivo digital instalado en un servidor web que verifica la identidad de tu sitio y permite una conexión cifrada. Cuando un visitante entra a tu sitio, su navegador revisa el certificado antes de que se transfiera cualquier dato. Si el certificado es válido, todo el tráfico entre el navegador y el servidor queda protegido contra la interceptación.

Si te preguntas "¿Qué significa SSL?", la parte SSL significa "Secure Sockets Layer". Es un protocolo de internet creado en los años 90 para asegurar las comunicaciones. La tecnología que la mayoría de los sitios usa hoy en realidad es su sucesor, TLS (Transport Layer Security), que es más rápida y mucho más segura. Aunque el mundo pasó de usar SSL a usar solo TLS, ambos nombres se usan como sinónimos en la industria (a menudo como SSL/TLS).

2. ¿Cómo funciona un certificado SSL?

Cada certificado SSL/TLS usa un par de claves criptográficas: una clave pública y una clave privada. La clave pública está incluida en el certificado y se comparte abiertamente. La clave privada se queda en tu servidor web y nunca se expone.

Cuando un navegador se conecta a tu sitio, pasa por un proceso llamado "handshake" de TLS, que ocurre en milisegundos al transferir pequeños paquetes. Aquí tienes cómo funciona:

  1. El navegador solicita una conexión segura y comparte qué métodos de cifrado admite.
  2. Tu servidor responde con su certificado SSL (que contiene la clave pública) y su método de cifrado preferido.
  3. El navegador verifica que el certificado fue emitido por una Autoridad de Certificación (CA) de confianza.
  4. Ambos lados usan la clave pública para acordar una clave privada única.
  5. Todos los datos posteriores – como datos de formularios, credenciales de inicio de sesión y datos de pago – viajan cifrados con esa clave de sesión.
  6. Con el estándar (más nuevo) TLS 1.3, el servidor y el cliente también pueden compartir una clave de sesión para evitar comunicación de ida y vuelta una vez que se ha creado la clave privada inicial.

Por eso, cada certificado SSL incluye un conjunto estándar de campos que el navegador lee durante este proceso:

  • Nombre común (CN): El dominio para el que se emitió el certificado (p. ej., example.com).
  • Nombres alternativos del sujeto (SAN): Cualquier dominio o subdominio adicional que cubre el certificado bajo el mismo registro.
  • Emisor: La Autoridad de Certificación que verificó y firmó el certificado.
  • Período de validez: El rango de fechas durante el cual el certificado se considera confiable, normalmente un año.
  • Clave pública: La clave criptográfica que se comparte abiertamente y se usa para iniciar la sesión cifrada.

Luego, los datos se mezclan usando el método de cifrado y la clave pública proporcionada. Cuando llegan al destino, los datos se descifran usando la clave de sesión. Incluso si alguien interceptara el tráfico, solo vería datos mezclados que es prácticamente imposible descifrar sin la clave privada.

3. Por qué hoy todo sitio web necesita un certificado SSL

Cada byte de datos que tus visitantes envían a tu sitio viaja, básicamente, como texto sin protección. SSL mezcla ese texto al asegurar que esté cifrado del cliente al servidor y viceversa. Aunque cualquiera en la misma red (por ejemplo, el Wi‑Fi de una cafetería) puede técnicamente leer la información con distintas herramientas, solo quien tenga la clave privada podrá descifrarla.

Además, todos los navegadores muestran una advertencia de "No seguro" en la barra de direcciones para cualquier página HTTP que tenga un formulario. Por ejemplo, los indicadores de seguridad de Chrome marcan activamente los sitios que no usan HTTPS. Esa advertencia suele ser motivo suficiente para que la gente abandone un sitio.

Un certificado válido también prueba que tu nombre de dominio realmente está controlado por la entidad que lo solicitó. Esto hace mucho más difícil que los atacantes se hagan pasar por tu sitio, porque no pueden obtener un certificado para un dominio que no controlan.

Cuándo el SSL es obligatorio

Si tu sitio recopila información de tarjetas de crédito, por lo general debe cumplir con las normas PCI-DSS. A su vez, estas hacen que el cifrado de extremo a extremo sea una obligación legal. Aunque SSL no es técnicamente obligatorio, es el mínimo para cifrar los datos del usuario, por eso suele ser lo primero que agregan los sitios pequeños.

Lo mismo aplica a cualquier sitio que maneje información médica protegida (HIPAA) o que opere bajo el RGPD en la UE. Incluso los sitios sin pagos que usan formularios de inicio de sesión o de contacto exponen datos del usuario si se sirven por HTTP.

Además, si planeas usar APIs avanzadas que rastrean la ubicación del usuario o quieres ofrecer notificaciones push, estos servicios a menudo requieren que tengas un certificado SSL para poder usarlos.

4. El caso SEO y de negocio para usar HTTPS

Google confirmó HTTPS como una señal de posicionamiento en 2014, lo que significa que los sitios web que usan un certificado SSL (que es la base de una conexión HTTPS) pueden tener prioridad en los resultados de búsqueda. Junto con usar una buena extensión de dominio para ecommerce o para sitios de negocio, es una de las pocas formas en que la URL puede influir en el posicionamiento.

Pero más allá del ranking, la confianza impulsa las conversiones. En el momento en que un posible visitante ve una gran advertencia de que el sitio puede no ser seguro porque no tiene un certificado SSL o no usa HTTPS, es mucho más probable que se vaya. Ese pequeño icono del candado se ha vuelto tan común que no verlo hace que la gente sospeche de las verdaderas intenciones de un sitio.

También hay algunos aspectos técnicos de la implementación de SSL:

  • Cuando un sitio HTTPS enlaza a un sitio HTTP, el encabezado de referencia se elimina por completo. Tus analíticas clasificarán mal ese tráfico y las referencias de redes sociales como "directo", lo que hace imposible medir con precisión el ROI de marketing.
  • HTTP/2 acelera mucho cómo los navegadores cargan los recursos de una página, y solo está disponible con HTTPS. A su vez, tiempos de carga más rápidos mejoran la experiencia del usuario y también son un factor de posicionamiento en buscadores.

Lista de verificación para una migración segura para SEO

Cambiar de HTTP a HTTPS puede hacer que pierdas tus datos analíticos o de ranking anteriores, o que crees páginas duplicadas (unas con HTTPS y otras sin). Necesitas:

  • Implementar redirecciones 301 desde cada URL HTTP a su equivalente HTTPS
  • Actualizar todos los enlaces internos, etiquetas canonical y sitemaps XML
  • Volver a enviar tu sitemap en Google Search Console.

5. Qué garantizan el candado y HTTPS y qué no

Hay dos cosas que el candado sí indica con seguridad:

  1. Los datos intercambiados entre el servidor y el cliente (es decir, el navegador) no pueden ser leídos de forma útil por terceros.
  2. El dominio del certificado coincide con el dominio que se visita para la verificación.

Sin embargo, tampoco es una garantía total. En concreto, no significa que el sitio no sea una estafa, que no vaya a usar mal los datos, ni que no puedas recibir malware al descargar algo desde él. Dado que los certificados SSL en sí son relativamente fáciles de obtener, cualquiera puede conseguirlos técnicamente y hacer que sus operaciones parezcan más legítimas.

En particular, incluso los sitios de phishing pueden obtener un certificado SSL, así que asegúrate de verificar bien la URL real en los mensajes y enlaces que recibas.

Hay tres mensajes principales que puedes encontrar al cargar un sitio web, y todos indican posibles problemas:

  • "No seguro" — No hay un certificado instalado, o la página carga contenido mixto HTTP/HTTPS.
  • "El certificado no coincide" — El certificado se emitió para un dominio diferente (por ejemplo, emitido para example.com pero se accede por www.example.com).
  • "Vencido" — El período de validez del certificado ya pasó (lo que normalmente bloquea cualquier acceso).

6. Tipos de certificados SSL explicados

Hay dos "clasificaciones" de certificados SSL: por nivel de validación y por alcance de cobertura.

La primera categoría comprueba (o no comprueba) la entidad legal detrás del certificado para asegurar que realmente es quien dice ser:

  • Validación de dominio solo requiere que la entidad sea dueña del dominio para el que se registra. Esto normalmente se hace con un registro DNS simple y se puede automatizar. Es mejor para sitios personales o entradas de blog.
  • Validación de organización verifica la dirección legal o la información de contacto de la entidad para demostrar que realmente existe. Esto suele ser necesario para blogs de empresas.
  • Validación extendida revisa más a fondo los registros para asegurar que la empresa es legítima. En algunos navegadores, este tipo de validación muestra la URL en verde o añade un icono de "seguro" al frente. Si tu empresa guarda datos o perfiles de usuarios o gestiona transacciones, necesita este tipo de validación.

La segunda clasificación es según cuántos dominios están "cubiertos" por el certificado.

  • SSL de dominio único protege un dominio (por ejemplo, website.com). En concreto, esto incluye todas las páginas de ese dominio (como "website.com/main", "website.com/blog", etc.).
  • SSL comodín protege un dominio y todos sus subdominios (*.website.com). Es mejor para sitios con transacciones donde quizá agregues subdominios como "shop." o "app." para el control del usuario, o "blog." para contenido informativo.
  • SSL multidominio (SAN) protege varios nombres de dominio distintos con un solo certificado.

7. ¿Quién emite los certificados SSL?

La emisión, validación y revocación de certificados SSL la gestiona una autoridad de certificación (o CA). Los navegadores mantienen una lista integrada de CA de confianza, así que si un certificado lo emite una CA de esa lista, los navegadores muestran el candado. Si no, muestran una advertencia de seguridad.

En particular, los certificados raíz están autofirmados por las CA y vienen preinstalados en sistemas operativos y navegadores. Los certificados intermedios enlazan desde un certificado raíz hasta el certificado de tu sitio, creando la jerarquía de confianza que los navegadores verifican.

Los certificados autofirmados se generan sin una CA y activan advertencias de seguridad en todos los principales navegadores. Son adecuados para desarrollo interno (por ejemplo, grandes empresas que necesitan autenticación de usuarios para control de versiones de archivos), pero son casi inútiles cuando se usan en un sitio web en línea.

8. Cómo obtener un certificado SSL gratis

Por lo general, puedes consultar con tu proveedor de dominios y ver si ofrece certificados SSL gratuitos (normalmente DV) o si trabaja con CA específicas. Esto asegura que tengas que hacer un mantenimiento mínimo de tu certificado SSL. Sin embargo, si eliges usar registro de dominio sin hosting y configuras el sitio web por tu cuenta, Cloudflare ofrece SSL gratis para cualquier sitio web.

En cuanto a registrar un certificado, hay tres opciones:

  • Validación por correo: La CA envía un enlace de confirmación a una dirección administrativa estándar asociada al dominio (como admin@ o webmaster@), y apruebas la solicitud haciendo clic.
  • Validación por DNS: Agregas un registro TXT o CNAME indicado por la CA en la configuración DNS de tu dominio, lo que prueba que controlas el dominio.
  • Carga de archivo HTTP (HTTP-01): Colocas un archivo de token específico en una ruta indicada en tu servidor web, y la CA confirma que es accesible por HTTP antes de emitir el certificado.

SSL gratis vs. de pago

Los certificados SSL gratuitos (como los de Cloudflare) son totalmente válidos para la mayoría de los sitios personales y blogs, ya que a menudo son certificados DV de un solo dominio. Para empresas, los certificados de pago te permiten ampliar tanto la cobertura como el nivel de validación.

Además, los servicios SSL de pago suelen incluir ventajas extra como soporte dedicado, gestión del proveedor y renovaciones automáticas, lo que significa que, a menos que necesites rehacer tu sitio web, tu certificado SSL debería durar para siempre.

Por ejemplo, Register.Domains ofrece certificados SSL Comodo a precios razonables, con cobertura desde DV hasta EV y respaldados por una de las CA más confiables del sector.

9. Cómo instalar un certificado SSL y redirigir HTTP a HTTPS

  1. Instala el certificado en tu servidor web. La mayoría de los paneles modernos de hosting (incluidos Plesk y cPanel) ofrecen instalación SSL con un clic. Con el hosting compartido de Register.Domains, la configuración SSL está integrada directamente en el proceso de alta.
  2. Configura una redirección 301 de HTTP a HTTPS. Agrega la redirección en tu archivo .htaccess (Apache) o en la configuración del servidor (Nginx). Una 301 indica a los buscadores que el cambio es permanente y transfiere la autoridad de enlaces intacta.
  3. Corrige errores de contenido mixto. Cualquier página que cargue recursos HTTP — imágenes, scripts, hojas de estilo — en una conexión HTTPS activará advertencias del navegador. Actualiza todas las URL de recursos a HTTPS o usa URL relativas al protocolo.
  4. Actualiza enlaces internos, etiquetas canonical y sitemaps XML para que apunten a las versiones HTTPS de todas las URL. En WordPress, una herramienta de buscar y reemplazar en la base de datos lo hace de forma eficiente.
  5. (Opcional) Agrega HSTS. HTTP Strict Transport Security indica a los navegadores que siempre usen HTTPS para tu dominio, incluso si un usuario escribe http:// manualmente. Prueba bien antes de activarlo, ya que un HSTS mal configurado puede bloquear el acceso a los visitantes.

10. Cómo comprobar si tu sitio web ya tiene SSL

Simplemente puedes escribir tu dominio con https:// delante. Si aparece un mensaje de error o te redirige a HTTP, no tienes un certificado SSL.

Si te has registrado para obtener un certificado SSL, intenta ir a http://tudominio.com. Si el certificado funciona, deberías ser redirigido automáticamente a la versión HTTPS. Luego, usa un verificador de redirecciones para confirmar que sea una redirección 301 permanente.

Además, puedes hacer clic en el candado y revisar el estado real del certificado. Si quieres una comprobación más completa, SSL Labs ofrece una calificación gratuita y detallada de la configuración de tu certificado, incluida la fuerza del cifrado y la validez de la cadena.

11. Cuánto dura un certificado SSL y consecuencias del vencimiento

Los certificados SSL/TLS tienen un período máximo de validez de 397 días, aplicado por todos los navegadores principales. Esto se redujo de dos años para asegurar que los dueños de dominios mantengan la seguridad de su sitio web. En la práctica, sin embargo, los certificados gratuitos o DV suelen durar solo 90 días hasta medio año. Los certificados SSL de pago normalmente duran alrededor de un año.

Cuando un certificado vence, los navegadores muestran de inmediato un error de pantalla completa que bloquea a los visitantes y evita el acceso a tu sitio. Los rastreadores de los buscadores también marcan los certificados vencidos, y el tráfico orgánico puede caer con fuerza en pocos días.

Sin embargo, la mayoría de las plataformas de hosting y los proveedores de certificados admiten la renovación automática. Puedes activarla y comprobar si funciona configurando una notificación después de que venza el certificado SSL inicial. En particular, no te fíes de "configurar y olvidar", ya que las renovaciones totalmente automáticas pueden fallar si vence tu método de pago, cambian tus registros DNS o el método de validación deja de funcionar.

12. Mitos comunes sobre SSL que impiden actuar a los dueños de sitios web

"Mi sitio es demasiado pequeño para necesitar SSL."

Las advertencias de seguridad del navegador no distinguen entre blogs personales pequeños y grandes plataformas de ecommerce. Todos los sitios HTTP activan la misma etiqueta o advertencia de "No seguro".

"SSL hace más lento mi sitio web."

El saludo TLS añade solo unos pocos milisegundos en la primera conexión e incluso puede hacer la conexión más rápida porque habilita la multiplexación HTTP/2, que carga varios recursos de la página al mismo tiempo. Además, el TLS moderno acelera la generación de claves privadas al guardar datos de sesión en cookies para evitar partes del ida y vuelta del saludo.

"No acepto pagos, así que no lo necesito."

Cualquier formulario en tu sitio transmite datos del usuario. Sin SSL, esos datos viajan en texto plano. Incluso un sitio solo informativo se beneficia del SSL con mejores posiciones en buscadores, mejor atribución en analíticas y la eliminación de advertencias de seguridad del navegador que reducen la confianza del visitante.

Protege a los visitantes y genera confianza

Protege a los visitantes y genera confianza con un certificado SSL Comodo de Register.Domains.

Obtén tu certificado SSL hoy

13. Preguntas frecuentes

¿Cómo puedes verificar que un certificado SSL está activo?

La comprobación más rápida es ir a https://tudominio.com y buscar el icono de candado en la barra de direcciones del navegador.

¿Un sitio web con HTTPS aún puede ser inseguro o usarse para estafas?

Sí, ya que HTTPS solo garantiza que la conexión entre tu navegador y el servidor es segura. Los sitios de phishing aún pueden obtener un certificado y decir que son legítimos, pero aun así usar pagos falsos o redirecciones.

¿Cuánto cuesta un certificado SSL por año?

Hay certificados SSL DV gratuitos a través de proveedores como Let's Encrypt y Cloudflare y a menudo están incluidos en planes de hosting. Los certificados DV de pago de CA comerciales normalmente empiezan alrededor de $10–$30/año y añaden una garantía y soporte dedicado. Register.Domains muestra todas las opciones de SSL Comodo con precios claros, para que puedas comparar planes sin cargos ocultos.

Si muevo mi sitio web a un nuevo proveedor de hosting, ¿mi certificado SSL se transfiere automáticamente?

Los certificados SSL no se transfieren automáticamente entre proveedores de hosting, ya que están vinculados al servidor web donde se instaló el dominio. Al migrar, puedes exportar el certificado y la clave privada de tu host anterior y volver a instalarlos en el nuevo servidor (si el certificado sigue siendo válido), u obtener un certificado nuevo de tu nuevo proveedor.

Más Artículos

Registro de dominio .INFO: ¿Tan confiable como .COM?
Registro de dominio .INFO: ¿Tan confiable como .COM?

Significado de dominio .info: ¿alternativa confiable a .com? ¿Un dominio .info es una buena alternativa a .com? Aprende qué significa, cómo se compara con otros TLD y cuándo es una opción confiable para sitios informativos o de soporte.

Más Artículos