El candado que aparece junto a la dirección de una web no es un adorno: indica que el sitio usa un certificado SSL y que la conexión es segura. Hoy es un requisito básico para cualquier web de empresa, no solo por seguridad, sino por confianza, por SEO y porque, sin él, los navegadores marcan tu web como «no segura» y espantan a los visitantes. Esta guía explica qué es, por qué lo necesitas y cómo conseguirlo.
Qué es un certificado SSL
Un certificado SSL es un archivo que cifra la conexión entre el navegador del usuario y tu servidor, y que verifica la identidad de tu web. Cuando una web lo tiene, la dirección pasa de http:// a https:// y aparece el candado. Técnicamente, hoy el protocolo que se usa es TLS (la evolución de SSL), pero el nombre «certificado SSL» se ha quedado por costumbre. En la práctica, hablamos de lo mismo: el sistema que hace que los datos viajen protegidos y que el usuario sepa que está en tu web y no en una suplantación. Sin él, cualquier dato que el visitante envíe (un formulario, una contraseña, una tarjeta) viaja «en claro» y podría ser interceptado por el camino.
Por qué tu web necesita HTTPS
No es opcional para un negocio. Hay cuatro razones de peso:
- Seguridad: cifra los datos (formularios, contraseñas, pagos) para que no puedan interceptarse por el camino.
- Confianza: el candado transmite seriedad; su ausencia genera desconfianza inmediata y hace dudar de la profesionalidad del negocio.
- Avisos del navegador: las webs sin HTTPS se marcan como «No seguro», lo que espanta visitas.
- SEO: Google usa HTTPS como factor de posicionamiento desde hace años; una web sin él parte en desventaja frente a la competencia que sí lo tiene.
A esto se suma el cumplimiento: proteger los datos personales que circulan por tu web mediante cifrado es también una exigencia razonable derivada del RGPD.
Cómo funciona un certificado SSL
Dos funciones a la vez. La primera, el cifrado: cuando un usuario se conecta, su navegador y tu servidor establecen una conexión segura mediante la que los datos viajan codificados, ilegibles para quien pudiera interceptarlos. La segunda, la autenticación: el certificado lo emite una Autoridad de Certificación (CA) de confianza que verifica que tu web es quien dice ser. El navegador comprueba ese certificado contra una lista de autoridades de confianza y, si es válido, muestra el candado. Si algo falla (caducado, no fiable o autofirmado), avisa al usuario con un mensaje de advertencia que casi siempre le hace abandonar la web.
Tipos de certificado SSL
Se clasifican de dos formas. Por nivel de validación:
- DV (validación de dominio): solo confirma que controlas el dominio. Rápido y suficiente para la mayoría de webs.
- OV (validación de organización): verifica además que la empresa existe. Aporta más confianza.
- EV (validación extendida): la verificación más estricta, habitual en banca y grandes ecommerce.
Y por cobertura:
- Un solo dominio: protege un dominio concreto.
- Wildcard: cubre un dominio y todos sus subdominios.
- Multidominio: protege varios dominios con un único certificado.
Cómo conseguir e instalar un certificado
Buenas noticias: para la mayoría de webs, tener HTTPS es gratuito y sencillo. Muchos hostings incluyen certificados (a menudo mediante Let’s Encrypt, una CA gratuita) que se instalan y renuevan de forma automática. Para necesidades concretas (validación OV/EV o garantías comerciales) se contratan certificados de pago a una CA. Lo importante no es solo instalarlo, sino hacerlo bien: forzar que toda la web cargue por HTTPS, redirigir el http antiguo y configurar la renovación automática para que no caduque por descuido.
Problemas frecuentes con SSL
- Certificado caducado: el error más común y más dañino; el navegador bloquea la web con un aviso alarmante. La renovación automática lo evita.
- Contenido mixto (mixed content): la web va por HTTPS pero carga algún recurso (imagen, script) por HTTP, lo que rompe el candado.
- Mala configuración: no redirigir el http a https deja páginas inseguras accesibles.
- Certificado no fiable: emitido por una CA no reconocida o autofirmado, el navegador no lo acepta.
HTTPS y SEO
Conviene insistir: el HTTPS no es solo seguridad, es también visibilidad. Google lo considera un factor de posicionamiento y, además, una web marcada como «No seguro» pierde clics y confianza, lo que indirectamente también afecta a tus resultados. Migrar bien a HTTPS (con sus redirecciones) es una de esas tareas que suman en seguridad, confianza y SEO a la vez, con un esfuerzo bajo y un retorno claro. Forma parte de la ciberseguridad web básica de cualquier empresa.
SSL y la confianza del cliente
Más allá de lo técnico, el certificado SSL es una cuestión de confianza. La mayoría de los usuarios ya asocia el candado a una web fiable y, sobre todo, reconoce el aviso de «No seguro» como una señal de alarma para salir corriendo. En una tienda online o en cualquier web que pida datos, esa percepción se traduce directamente en conversiones: nadie introduce su tarjeta o sus datos personales en una web que el navegador marca como insegura. El HTTPS, por tanto, no solo protege; también ayuda a vender, porque elimina una fricción y una desconfianza que, de otro modo, hacen abandonar al visitante antes de convertir.
De HTTP a HTTPS: hazlo bien
Si tu web aún funciona (total o parcialmente) por HTTP, pasarla a HTTPS es prioritario, pero conviene hacerlo con método para no perder SEO. Los puntos clave: instalar el certificado, redirigir con 301 todas las URLs http a su versión https (para que Google traspase la autoridad y no haya páginas duplicadas), corregir el contenido mixto (recursos que sigan cargando por http), actualizar los enlaces internos y los sitemaps, y verificar la nueva versión en Search Console. Hecho así, la migración a HTTPS se nota en seguridad y confianza sin coste en posicionamiento; hecho a medias, puede dejar avisos de inseguridad o contenido duplicado que sí penalizan.
Renovación: que el certificado nunca caduque
Un certificado tiene fecha de caducidad, y un certificado caducado es uno de los fallos más visibles y dañinos: el navegador bloquea la web con un aviso rojo alarmante que ahuyenta a cualquier visitante y transmite abandono. La solución es sencilla: configurar la renovación automática (lo normal con Let’s Encrypt y muchos hostings) y, aun así, monitorizar la fecha para que nadie se lleve una sorpresa. Es uno de esos detalles de mantenimiento que pasan desapercibidos hasta que fallan, y entonces lo hacen a la vista de todos.
Cómo te ayudamos en WebsDirect
En WebsDirect instalamos y configuramos correctamente el certificado SSL de tu web: HTTPS en todo el sitio, redirecciones bien hechas, sin contenido mixto y con la renovación automática para que nunca caduque. Con más de 450 proyectos, dejamos tu web segura, con el candado en todas sus páginas y sin sustos de caducidad.
¿Tu web muestra el candado en todas sus páginas? Solicita un diagnóstico de seguridad gratuito y lo comprobamos.
Preguntas frecuentes sobre el certificado SSL
Es un archivo que cifra la conexión entre el navegador del usuario y tu servidor y que verifica la identidad de tu web. Cuando una web lo tiene, usa HTTPS y muestra el candado. Hoy el protocolo real es TLS (evolución de SSL), pero se sigue llamando «certificado SSL» por costumbre.
Legalmente no es una obligación con ese nombre, pero en la práctica sí lo es: sin HTTPS los navegadores marcan tu web como «No seguro», pierdes confianza y posicionamiento, y no proteges los datos personales que circulan, algo que el RGPD exige. Para cualquier web de empresa, es un requisito básico.
Hace dos cosas: cifra los datos para que viajen ilegibles para terceros, y autentica tu web mediante una Autoridad de Certificación de confianza que verifica que eres quien dices ser. El navegador comprueba ese certificado y, si es válido, muestra el candado; si falla o está caducado, avisa al usuario.
Por validación: DV (de dominio, suficiente para la mayoría), OV (de organización, más confianza) y EV (validación extendida, para banca y grandes ecommerce). Por cobertura: de un solo dominio, wildcard (un dominio y sus subdominios) y multidominio (varios dominios en un certificado).
Para la mayoría de webs, no: hay certificados gratuitos (como Let’s Encrypt) que muchos hostings incluyen e instalan y renuevan automáticamente. Solo se contratan certificados de pago para necesidades concretas, como validación OV/EV o ciertas garantías comerciales. Tener el candado está al alcance de cualquier web.
Porque no tiene certificado SSL activo o está mal configurado: puede estar caducado, cargar recursos por HTTP (contenido mixto) o no redirigir correctamente el http a https. Son problemas habituales y con solución; lo importante es detectarlos y corregirlos para recuperar el candado en todas las páginas.
