Cuando ves el candado del navegador y tu web carga con https://, significa que la conexión entre el usuario y tu servidor va cifrada y protegida. Esto no es un “extra”: en 2026 es un estándar básico para confianza, conversiones y SEO.

Nota: aunque se diga “SSL”, hoy lo correcto es hablar de TLS (SSL está obsoleto).

Qué es un certificado SSL/TLS (explicado sin tecnicismos)

Un certificado SSL/TLS es un “documento digital” que permite al navegador:

  1. Cifrar la información (nadie debería poder leerla en tránsito).

  2. Evitar manipulación (integridad: que no se altere en camino).

  3. Confirmar el dominio (autenticación: estás hablando con ese sitio).

Esto es clave si tu web tiene:

  • formularios (contacto, presupuestos, leads),

  • área privada,

  • pagos,

  • cualquier dato personal.

Qué protege (y qué NO protege)

Protege: la comunicación entre navegador y servidor (cifrado e integridad).

No protege por sí solo:

  • que el negocio sea “legítimo” (una web fraudulenta puede tener HTTPS),

  • que tu WordPress no tenga malware,

  • que tu web sea “segura” si usas contraseñas débiles o plugins vulnerables.

HTTPS es una base, no el final.

Por qué HTTPS importa para SEO y conversión

  • Google confirmó que HTTPS es una señal de ranking (ligera, pero real).

  • Google Chrome lleva años empujando el cambio: etiqueta HTTP como “No seguro” y ha endurecido los indicadores de seguridad.

  • Además, muchas mejoras de rendimiento/protocolo en la práctica van ligadas a TLS (por ejemplo, soporte amplio de HTTP/2 en navegadores).

Resultado: más confianza, menos fricción y mejor base técnica.

Tipos de certificados: DV, OV y EV (cuál elegir)

No todos los certificados validan lo mismo:

DV (Domain Validation)

Valida que controlas el dominio. Es el más común y suele ser suficiente para la mayoría de webs (incluidas muchas tiendas).

OV (Organization Validation)

Además del dominio, valida datos básicos de la organización.

EV (Extended Validation)

Validación más exhaustiva de la organización, pero hoy su “impacto visual” en el navegador es mucho menor que hace años.

Recomendación práctica: DV + buenas señales de confianza (empresa, políticas claras, reseñas, datos reales) suele dar mejor ROI que “pagar más” solo por el certificado.

Certificados gratuitos vs de pago (lo que debes saber en 2026)

Gratis (habitual): Let’s Encrypt

  • Certificados estándar de 90 días y recomendación de renovar cada ~60 días (automático).

  • Importante: Let’s Encrypt ya anunció que bajará la validez de 90 a 45 días de aquí a 2028 (tendencia de toda la industria), así que la automatización es clave.

De pago

Suele interesar si necesitas:

  • validación de empresa (OV/EV),

  • soporte/garantías del proveedor,

  • gestión centralizada en entornos corporativos.

Checklist para activar HTTPS sin errores (y sin perder SEO)

Si tu web ya está en HTTPS pero “a veces no sale el candado”, este checklist también te sirve para depurar.

  1. Instala el certificado (hosting/CDN) y verifica que funciona en el dominio principal.

  2. Fuerza redirección 301 de HTTP → HTTPS (todas las URLs).

  3. Revisa contenido mixto (mixed content): imágenes, CSS/JS cargando por HTTP rompen el candado.

  4. Actualiza enlaces internos (menús, CTA, recursos) para que apunten a HTTPS.

  5. Canónicas y sitemap: canónicas a HTTPS y sitemap con URLs HTTPS.

  6. Search Console: asegúrate de tener la propiedad HTTPS monitorizada (indexación/errores).

  7. Activa HSTS solo cuando todo esté perfecto (ver siguiente sección).

  8. Renovación automática (muy importante con certificados de corta vida).

HSTS: el “cinturón de seguridad” de HTTPS (cuándo usarlo)

HSTS es un encabezado que le dice al navegador: “a este sitio entra siempre por HTTPS”.

Pros

  • Evita downgrades a HTTP.

  • Reduce riesgos de ataques de tipo “SSL stripping”.

Cuidado

  • Si lo activas y luego rompes HTTPS (o el certificado falla), el navegador puede bloquear el acceso hasta que se solucione.

Si te planteas el preload, revisa las condiciones en MDN Web Docs y en la lista de envío oficial.

Recomendaciones técnicas mínimas (seguridad y rendimiento)

  • Prioriza TLS 1.2 y TLS 1.3 (y desactiva protocolos antiguos).

  • Guíate por buenas prácticas de OWASP para configuración TLS.

  • TLS 1.3 está estandarizado por IETF (RFC 8446).

Preguntas frecuentes

¿Necesito SSL si “solo” tengo una web corporativa?

Sí. Si tienes formularios, email, analítica, área privada o cualquier interacción, HTTPS es básico para confianza y para evitar avisos del navegador.

¿HTTPS mejora el posicionamiento?

Es una señal de ranking (ligera), pero lo importante es el conjunto: contenido, UX, autoridad, rendimiento.

¿Por qué no sale el candado a veces?

Normalmente por mixed content (recursos por HTTP) o por cadenas de redirecciones/errores de configuración.

Tabla de contenidos

Política editorial

¿Tienes alguna duda o quieres tu página web?

Contacta con nosotros

Noticias recientes