SSL explicado: qué es, por qué importa, y cómo se renueva
El candado verde en el navegador no es decoración — es el único indicador que separa a un sitio confiable de uno que los clientes abandonan.
Si tu sitio web muestra http:// en lugar de https://, o si los navegadores advierten "No seguro" al visitarlo, estás perdiendo clientes y ranking en Google. Así de simple.
Este post explica qué es SSL, por qué se volvió obligatorio, y cómo se maneja bien.
Qué es SSL/TLS (en lenguaje simple)
Cuando un navegador visita tu sitio, envía y recibe información (direcciones, tarjetas de crédito, mensajes de formulario). Sin encriptación, esa información viaja en texto plano — cualquiera en la misma red WiFi puede leerla.
SSL (Secure Sockets Layer) y su sucesor moderno TLS (Transport Layer Security) encriptan esa comunicación. El resultado: https:// en lugar de http:// y el icono de candado en el navegador.
Técnicamente, SSL/TLS hace 3 cosas:
- Autenticación — verifica que el servidor es realmente quien dice ser (no un atacante interceptando)
- Encriptación — nadie entre tu visitante y tu servidor puede leer el contenido
- Integridad — garantiza que los datos no fueron modificados en tránsito
Por qué SSL es obligatorio en 2026
1. Google penaliza sitios sin SSL
Desde 2018, Chrome marca los sitios http:// como "Not Secure" en grande. Desde 2019, Google considera HTTPS un factor de ranking directo. Un sitio sin SSL:
- Aparece con advertencia roja
- Posiciona más abajo en resultados de búsqueda
- Pierde confianza del visitante inmediatamente
2. Los clientes no confían en sitios sin candado
Estudios de confianza muestran que el 85% de los usuarios abandona un sitio al ver la advertencia "no seguro". Si tu formulario de contacto está en una página http://, el navegador específicamente advierte al usuario que no envíe información.
3. Algunas funciones del navegador solo funcionan con HTTPS
- Geolocalización
- Service Workers (apps offline)
- APIs de cámara/micrófono
- Pagos web (Apple Pay, Google Pay)
Sin HTTPS, estas funciones simplemente no funcionan en navegadores modernos.
Tipos de certificados SSL
Hay 3 niveles de validación. El precio sube con el nivel:
| Tipo | Valida | Tiempo de emisión | Precio anual | Cuándo usar |
|---|---|---|---|---|
| DV (Domain Validation) | Que controlas el dominio | Minutos | $0 (Let's Encrypt) o $10–50 | 90% de sitios |
| OV (Organization Validation) | Que la empresa existe legalmente | 1–3 días | $80–200 | E-commerce, sitios corporativos |
| EV (Extended Validation) | Validación profunda de la empresa | 1–2 semanas | $150–500 | Bancos, financieras grandes |
Para la mayoría de los negocios, un DV gratuito de Let's Encrypt es suficiente. Los bancos necesitan EV. La mayoría no.
Let's Encrypt vs certificados pagos
Let's Encrypt (gratis):
- ✅ Completamente gratis
- ✅ Emitidos en segundos
- ✅ Renovación automática (cada 90 días)
- ❌ Solo DV (no valida la empresa)
- ❌ Ciclo de 90 días (si la renovación falla, el sitio se cae rápido)
Certificados pagos:
- ✅ Ciclos de 1 año (renovación menos frecuente)
- ✅ Validación OV/EV disponible
- ✅ Soporte técnico directo
- ❌ Cuestan dinero
- ❌ Tienes que pagar y configurar manualmente o semi-automático
Para softinweb.com y la mayoría de nuestros clientes, usamos Let's Encrypt con renovación automática. Es el estándar moderno.
Cómo funciona la renovación automática
Un plan serio configura:
- Cron job que verifica los certificados cada noche
- 30 días antes de la expiración, intenta renovar automáticamente
- Notificación por email si la renovación falla (para que un humano intervenga)
- Respaldo automático del certificado actual antes de reemplazarlo
Con Let's Encrypt + certbot o acme.sh, esto es estándar. Cuando funciona, es invisible — tu certificado se renueva cada 90 días sin que tú hagas nada.
Cuando falla (y a veces falla), necesitas alguien que lo arregle antes de que caduque. Por eso el monitoreo es crítico.
Errores comunes y cómo diagnosticarlos
"Certificado caducado"
El cron de renovación falló silenciosamente. Típicamente porque:
- El puerto 80 (HTTP) fue bloqueado y Let's Encrypt no pudo validar
- Un firewall cambió
- El dominio apunta a otro servidor sin decirle al proceso de renovación
Cómo arreglar: renovar manualmente con certbot renew, después investigar por qué el automático falló.
"Certificado inválido" o "error de cadena"
El navegador descargó el certificado pero no puede validar la cadena de confianza. Usualmente porque:
- Falta el certificado intermedio en el servidor
- El servidor tiene el certificado en el orden incorrecto
Cómo arreglar: verificar la cadena con herramientas como SSL Labs Test.
"Mixed content" (contenido mixto)
Tu página es HTTPS pero carga recursos (imágenes, scripts) desde HTTP. El navegador los bloquea. Página se ve rota.
Cómo arreglar: cambiar todas las URLs internas a HTTPS, usar rutas relativas (/images/foo.jpg en vez de http://tusitio.com/images/foo.jpg).
Cómo verificar que tu SSL está bien
- Visita ssllabs.com/ssltest e ingresa tu dominio
- Debes recibir calificación A o A+
- Si recibes C, D o F, tu configuración tiene problemas graves
Repite este test al menos una vez al mes. SSL no es "configurar y olvidar" — nuevas vulnerabilidades aparecen (POODLE, Heartbleed, BEAST) y las configuraciones tienen que actualizarse.
Nuestra forma de manejarlo
En todos los sitios de SoftInWeb y de nuestros clientes, configuramos Let's Encrypt con renovación automática vía Nginx Proxy Manager, monitoreo de fecha de expiración, y alertas 30 días antes. Si el auto-renewal falla, recibimos una alerta y lo arreglamos antes de que los visitantes noten.
Si tu sitio muestra "not secure" o te preocupa que el SSL esté mal configurado, escríbenos para una verificación gratis.