El candado en la barra de tu navegador no es decoración. Es la diferencia entre una web segura y una que Google marca como “No segura”, los usuarios abandonan y los hackers atacan. SSL/HTTPS ya no es opcional: es obligatorio para cualquier web seria.
En esta guía te explico qué es exactamente SSL, cómo funciona HTTPS, por qué lo necesitas y cómo conseguirlo (spoiler: probablemente gratis). Si estás creando tu página web profesional, esto es fundamental.
Qué es SSL: definición simple
SSL (Secure Sockets Layer) es un protocolo de seguridad que cifra la comunicación entre el navegador del usuario y el servidor donde está tu web. Su versión moderna se llama TLS (Transport Layer Security), pero seguimos llamándolo SSL por costumbre.
Cuando tu web tiene SSL instalado:
- La URL cambia de
http://ahttps:// - Aparece un candado en la barra del navegador
- Los datos viajan cifrados, no en texto plano
HTTP vs HTTPS: la diferencia crítica
| Aspecto | HTTP | HTTPS |
|---|---|---|
| Cifrado | No | Sí (SSL/TLS) |
| URL | http://tusite.es | https://tusite.es |
| Candado | No aparece | Aparece |
| Seguridad datos | Vulnerables | Protegidos |
| SEO Google | Penalizado | Favorecido |
| Confianza usuario | Baja | Alta |
La “S” de HTTPS significa “Secure”. Sin ella, cualquiera en la misma red puede interceptar los datos que envían tus usuarios.
Cómo funciona SSL/HTTPS
El proceso de conexión segura ocurre en milisegundos:
1. Handshake (apretón de manos)
Cuando un usuario visita tu web HTTPS:
- El navegador pide al servidor su certificado SSL
- El servidor envía el certificado con su clave pública
- El navegador verifica que el certificado sea válido
- Si es válido, se establece una conexión cifrada
2. Cifrado de datos
Una vez establecida la conexión:
- Todo lo que el usuario envía (formularios, contraseñas, datos de pago) se cifra
- Solo el servidor puede descifrar esa información
- Ni tu proveedor de internet ni hackers en la red pueden leerlo
3. Verificación continua
Durante toda la sesión:
- La conexión permanece cifrada
- Se verifica la integridad de los datos
- Si algo falla, la conexión se corta
Por qué SSL es obligatorio en 2026
1. Google lo exige (SEO)
Desde 2014, Google usa HTTPS como factor de ranking. Desde 2018, Chrome marca las webs HTTP como “No seguras”. En 2026:
- Las webs sin HTTPS aparecen más abajo en resultados
- Chrome muestra advertencia visible antes de entrar
- La tasa de rebote en webs HTTP es significativamente mayor
2. Los usuarios lo esperan
El 85% de usuarios abandona una compra si la web no muestra el candado de seguridad. La gente ya asocia:
- Candado = Seguro, puedo confiar
- Sin candado = Peligro, mejor irme
3. Protección legal (RGPD)
El Reglamento General de Protección de Datos europeo exige medidas de seguridad para proteger datos personales. SSL es una de las medidas técnicas mínimas esperadas.
Si recoges cualquier dato (formulario de contacto, newsletter, compras), necesitas SSL para cumplir la normativa.
4. Funcionalidades modernas lo requieren
Sin HTTPS no puedes usar:
- Geolocalización del navegador
- Notificaciones push
- Service Workers (PWA)
- APIs modernas de cámara, micrófono, etc.
- HTTP/2 y HTTP/3 (protocolos rápidos)
5. Protección real contra ataques
SSL protege contra:
- Man-in-the-middle: Interceptación de datos en redes WiFi públicas
- Eavesdropping: Espionaje de comunicaciones
- Data tampering: Modificación de datos en tránsito
- Phishing: Más difícil suplantar webs con SSL válido
Tipos de certificados SSL
No todos los certificados SSL son iguales. Existen tres niveles de validación:
1. Domain Validation (DV) - Validación de dominio
Qué verifica: Solo que controlas el dominio.
Cómo se obtiene: Automáticamente en minutos.
Indicador visual: Candado estándar.
Precio: Gratuito (Let’s Encrypt) o 10-50€/año.
Ideal para: Blogs, webs corporativas, portfolios, la mayoría de proyectos.
Es el que necesitas en el 95% de los casos.
2. Organization Validation (OV) - Validación de organización
Qué verifica: Dominio + existencia legal de la empresa.
Cómo se obtiene: Proceso de 1-3 días con documentación.
Indicador visual: Candado estándar (igual que DV visualmente).
Precio: 50-200€/año.
Ideal para: Empresas que quieren verificación adicional sin coste de EV.
3. Extended Validation (EV) - Validación extendida
Qué verifica: Dominio + empresa + verificación exhaustiva.
Cómo se obtiene: Proceso de 1-2 semanas con auditoría.
Indicador visual: Antes mostraba barra verde con nombre de empresa. Ahora solo candado (los navegadores eliminaron la barra verde).
Precio: 150-500€/año.
Ideal para: Bancos, grandes ecommerce, instituciones financieras.
Comparativa rápida
| Tipo | Validación | Tiempo | Precio | Uso recomendado |
|---|---|---|---|---|
| DV | Dominio | Minutos | 0-50€/año | 95% de webs |
| OV | Dominio + Empresa | 1-3 días | 50-200€/año | Empresas medianas |
| EV | Exhaustiva | 1-2 semanas | 150-500€/año | Banca, finanzas |
Certificados Wildcard y Multi-dominio
Además del nivel de validación, existen variantes:
- Wildcard (*.tudominio.es): Cubre todos los subdominios. Útil si tienes blog.tudominio.es, tienda.tudominio.es, etc.
- Multi-dominio (SAN): Un certificado para varios dominios diferentes. Útil si tienes tuempresa.es, tuempresa.com, otraempresa.es.
Cómo obtener SSL gratis con Let’s Encrypt
Let’s Encrypt es una autoridad certificadora gratuita y automática. La mayoría de hostings modernos lo incluyen.
Si tu hosting lo incluye (recomendado)
Con el hosting de Avantys, Let’s Encrypt está incluido y se activa automáticamente:
- Contratas el hosting
- Añades tu dominio
- SSL se instala solo
- Renovación automática cada 90 días
No tienes que hacer nada. Así de simple.
Si necesitas instalarlo manualmente
En servidores donde no está automatizado:
- Accede a tu panel de control (cPanel, Plesk)
- Busca “SSL/TLS” o “Let’s Encrypt”
- Selecciona tu dominio
- Haz clic en “Instalar” o “Generar”
- Configura la renovación automática
Verificar que SSL está activo
Después de instalar, comprueba:
- Visita tu web con https://tudominio.es
- Verifica que aparece el candado
- Haz clic en el candado para ver detalles del certificado
- Usa herramientas como SSL Labs para análisis completo
Errores comunes de SSL y cómo solucionarlos
Error: “Tu conexión no es privada”
Causa: Certificado caducado, inválido o mal configurado.
Solución:
- Verifica que el certificado no haya expirado
- Comprueba que el dominio coincida exactamente
- Reinstala el certificado si es necesario
Error: Contenido mixto (Mixed Content)
Causa: La web carga recursos (imágenes, scripts) por HTTP en una página HTTPS.
Solución:
- Cambia todas las URLs de recursos a HTTPS
- Usa URLs relativas (//dominio.es/imagen.jpg)
- Revisa plugins y temas que carguen recursos externos
Error: Redirección incorrecta
Causa: La web no redirige automáticamente de HTTP a HTTPS.
Solución: Añade redirección en .htaccess:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]O configúralo desde el panel de tu hosting.
Error: Certificado no coincide con dominio
Causa: El certificado se emitió para un dominio diferente (con o sin www).
Solución:
- Genera certificado que incluya ambas versiones
- O redirige todo a una sola versión (www o sin www)
Error: Cadena de certificados incompleta
Causa: Falta el certificado intermedio.
Solución:
- Descarga la cadena completa de tu proveedor SSL
- Instala certificado + intermedios + raíz
SSL y rendimiento: ¿ralentiza mi web?
Mito desmentido: SSL ya no ralentiza las webs.
En 2010, el cifrado añadía latencia notable. En 2026:
- Los servidores modernos manejan SSL sin impacto perceptible
- HTTP/2 y HTTP/3 requieren HTTPS y son más rápidos que HTTP/1.1
- El handshake SSL se ha optimizado enormemente
- TLS 1.3 reduce los pasos de conexión
Resultado: Una web HTTPS bien configurada es más rápida que una HTTP, no más lenta.
Para optimizar la velocidad general de tu web, consulta nuestra guía sobre qué es el hosting web y cómo elegir uno rápido.
Checklist de implementación SSL
Antes de lanzar tu web, verifica:
- Certificado SSL instalado y válido
- Redirección automática HTTP → HTTPS
- Sin errores de contenido mixto
- Candado visible en todas las páginas
- URLs internas actualizadas a HTTPS
- Sitemap actualizado con URLs HTTPS
- Google Search Console configurado con HTTPS
- Renovación automática activada
SSL para tiendas online: requisito absoluto
Si vendes online, SSL no es negociable:
PCI DSS Compliance
El estándar de seguridad para pagos con tarjeta (PCI DSS) exige cifrado SSL/TLS para cualquier transmisión de datos de tarjetas.
Sin SSL:
- No puedes procesar pagos con tarjeta directamente
- Las pasarelas de pago no funcionarán
- Podrías enfrentar multas y sanciones
Confianza del comprador
El 85% de compradores online verifican el candado antes de introducir datos de pago. Sin él, pierdes ventas directamente.
Pasarelas de pago
Stripe, PayPal, Redsys y todas las pasarelas serias exigen HTTPS para integrarse.
Si planeas crear una tienda, SSL es lo primero que necesitas configurar.
Preguntas frecuentes
¿SSL y HTTPS son lo mismo?
No exactamente. SSL es el protocolo de cifrado. HTTPS es HTTP + SSL, es decir, el protocolo web con cifrado aplicado. En la práctica, cuando decimos “tener SSL” nos referimos a que la web usa HTTPS.
¿El SSL gratuito es igual de seguro que el de pago?
Sí. Let’s Encrypt usa el mismo cifrado que certificados de pago. La diferencia está en el nivel de validación (DV vs OV vs EV) y el soporte/garantía, no en la seguridad del cifrado.
¿Necesito SSL si no recojo datos?
Sí. Google penaliza todas las webs HTTP, recojan datos o no. Además, cualquier formulario (incluso de contacto básico) recoge datos personales.
¿Cada cuánto se renueva el certificado?
Los certificados Let’s Encrypt duran 90 días pero se renuevan automáticamente. Los de pago suelen durar 1-2 años.
¿Puedo tener SSL en hosting compartido?
Sí. La mayoría de hostings compartidos modernos incluyen SSL gratuito. Con Avantys, viene incluido y preconfigurado.
¿SSL protege contra todos los hackeos?
No. SSL protege los datos en tránsito (entre usuario y servidor). No protege contra hackeos al servidor, inyecciones SQL, malware o contraseñas débiles. Es una capa de seguridad, no la única.
¿Qué pasa si mi SSL caduca?
Los navegadores mostrarán advertencia de seguridad y muchos usuarios no entrarán. Google puede desindexar páginas. Activa siempre la renovación automática.
¿Puedo instalar SSL yo mismo?
Depende de tu hosting. En la mayoría, es automático o con un clic. En servidores propios, requiere conocimientos técnicos para configurar correctamente.
Conclusión: SSL no es opcional
En 2026, una web sin SSL es como un negocio sin puerta: técnicamente existe, pero nadie quiere entrar y Google no lo recomienda.
La buena noticia: SSL es gratis y fácil de implementar. Con el hosting adecuado, ni siquiera tienes que pensar en ello.
Resumen de lo que necesitas:
- Un hosting que incluya SSL gratuito (Let’s Encrypt)
- Activar la redirección automática a HTTPS
- Verificar que no haya errores de contenido mixto
- Configurar renovación automática
Con el hosting de Avantys, SSL viene incluido, preconfigurado y con renovación automática. Cero complicaciones.
¿Continuamos con tu web? Vuelve a nuestra guía completa para crear tu página web profesional y avanza al siguiente paso.
Artículos relacionados del cluster
Sigue aprendiendo sobre los fundamentos:
- Qué es el hosting web y qué tipo necesitas
- Cómo elegir el mejor dominio para tu web
- Cuánto cuesta crear una página web en España
- Errores comunes al crear una página web
- Crear web gratis vs de pago
- WordPress vs constructor web: cuál elegir
¿Quieres que lo hagamos por ti?
En Avantys gestionamos tu web, hosting y crecimiento digital de punta a punta. Tú a lo importante.
