Qué es un certificado SSL y cómo instalarlo gratis

Hace unos años, tener HTTPS en una web era considerado un lujo de bancos y tiendas grandes. Hoy es un requisito básico. Si tu sitio no carga con el candadito, los navegadores muestran advertencias, Google penaliza el posicionamiento y los visitantes desconfían de inmediato. La buena noticia es que conseguir un certificado SSL ya no cuesta nada. Existe una autoridad certificadora llamada Let’s Encrypt que emite certificados gratuitos válidos, reconocidos por todos los navegadores y con renovación automática.

En esta guía te voy a explicar qué es exactamente un certificado SSL, por qué tu web lo necesita aunque no vendas nada en línea, cómo instalarlo desde cPanel o Plesk en pocos minutos, cómo asegurarte de que se renueve solo y qué hacer cuando algo falla. Lo escribo desde la experiencia de haber configurado decenas de SSL para clientes en Perú y haber visto los errores típicos que se repiten.

Qué es un certificado SSL en términos simples

SSL son las siglas de Secure Sockets Layer, aunque hoy técnicamente usamos su sucesor TLS, Transport Layer Security. En la práctica todos lo llaman SSL por costumbre. Un certificado SSL es un archivo digital que cumple dos funciones principales. La primera es cifrar la comunicación entre el navegador del visitante y tu servidor, para que nadie en el medio pueda leer los datos. La segunda es verificar que tu dominio realmente pertenece a quien dice ser, mediante una validación que hace la autoridad certificadora.

Cuando un sitio tiene SSL bien instalado, la URL empieza con https en lugar de http, aparece un candado en la barra del navegador y los datos viajan cifrados. Si alguien intercepta la conexión, lo único que ve es ruido. Esto es vital cuando hay formularios de contacto, inicios de sesión, datos de tarjetas o información personal de cualquier tipo.

Hay tres niveles de validación. El básico, llamado DV o Domain Validation, solo confirma que controlas el dominio. El OV o Organization Validation, verifica además que la organización existe legalmente. El EV o Extended Validation, hace una validación más profunda y antiguamente mostraba el nombre de la empresa en verde en el navegador. Para la mayoría de webs basta con DV, que es justamente el tipo que ofrece Let’s Encrypt gratis.

Por qué necesitas HTTPS sí o sí

Más allá del cifrado, hay razones prácticas. Google declaró hace años que HTTPS es un factor de posicionamiento. Las webs sin SSL pierden visibilidad frente a las que sí lo tienen. Chrome, Firefox y los demás navegadores marcan los sitios sin HTTPS como No seguros, lo cual asusta a cualquier visitante. Si vendes en línea, ningún procesador de pagos serio te va a dejar operar sin SSL.

Pero incluso si tu web es solo informativa, igual lo necesitas. ¿Por qué? Porque hoy los visitantes asumen que toda web profesional tiene HTTPS. Una web sin candado proyecta amateurismo. Además, formularios de contacto, suscripciones a newsletters, comentarios, cualquier cosa donde el usuario escriba algo, debería ir cifrado por respeto a su privacidad.

Otro punto: las apps móviles modernas y las APIs externas suelen requerir HTTPS para conectarse. Si tu web sirve como backend de algo, sin SSL no se va a comunicar con nada serio. Las redes sociales también penalizan los enlaces sin HTTPS.

Let’s Encrypt: el SSL gratis que cambió todo

Let’s Encrypt es una autoridad certificadora sin fines de lucro que emite certificados SSL gratuitos desde 2015. Hoy emite millones de certificados al día y es reconocida por todos los navegadores y sistemas operativos. Los certificados son del tipo DV, válidos por 90 días, con renovación automática gestionada por el software de tu servidor.

La diferencia con un SSL pagado es básicamente el tipo de validación y la garantía comercial. Para un blog, una web corporativa común o una tienda pequeña, Let’s Encrypt cumple perfectamente. Las grandes corporaciones suelen comprar SSL pagados porque incluyen pólizas de seguro y otros extras, pero técnicamente la seguridad es la misma.

El plazo de 90 días puede parecer corto. La realidad es que la renovación es automática, así que no tienes que hacer nada después de la instalación inicial. El sistema verifica cada tantos días si el certificado está cerca de expirar y lo renueva solo.

Instalación desde cPanel paso a paso

La mayoría de hostings compartidos usan cPanel. Si el tuyo es de Hostinger, SiteGround, Bluehost, GoDaddy o similar, este proceso te va a servir. Entras a tu cPanel con las credenciales que te dio el hosting. Buscas la sección de seguridad. Ahí encuentras una opción llamada SSL/TLS Status o Let’s Encrypt SSL.

Haces clic y te aparece la lista de dominios y subdominios alojados. Seleccionas los que quieres proteger. Casi todos los cPanel modernos te dan la opción de marcar todos con un solo clic. Confirmas y el sistema solicita el certificado a Let’s Encrypt, lo descarga y lo instala automáticamente. Todo en menos de cinco minutos.

Después de la instalación, espera unos minutos y prueba tu dominio con https delante. Debería cargar con el candado. Si no, revisa que el dominio esté apuntando correctamente al servidor donde está cPanel. Sin un DNS correcto, Let’s Encrypt no puede validar la propiedad del dominio.

Instalación desde Plesk

Si tu hosting usa Plesk en lugar de cPanel, el proceso es muy similar. Entras al panel y vas a la sección de Sitios web y dominios. Dentro de la configuración de tu dominio, hay una opción que dice Certificados SSL/TLS. La extensión Let’s Encrypt suele venir preinstalada.

Le das clic, marcas si quieres proteger también los subdominios y el correo, agregas tu email para notificaciones de renovación y haces clic en obtener. Plesk se encarga de todo el proceso. La renovación automática queda activa de fábrica.

Algo que recomiendo siempre: marca la opción que dice Redirigir desde HTTP a HTTPS. Esto asegura que cualquier visitante que entre por http sea automáticamente llevado a https. Sin esta redirección, conviven las dos versiones y eso genera problemas de SEO por contenido duplicado.

SSL en Cloudflare: la opción más rápida

Si usas Cloudflare como proxy DNS, tienes acceso a su SSL gratuito sin necesidad de instalar nada en tu servidor. Cloudflare ofrece tres modos. El primero es Flexible: cifra entre el visitante y Cloudflare, pero entre Cloudflare y tu servidor va sin cifrar. Útil si tu hosting no tiene SSL propio, pero no es lo más seguro.

El segundo modo es Full: cifra de extremo a extremo, pero no verifica que el certificado del origen sea válido. Sirve si tienes un certificado autofirmado en tu servidor.

El tercero es Full Strict: cifrado completo y verificación estricta del certificado del origen. Es la opción más segura y la que recomiendo cuando ya tienes Let’s Encrypt instalado en el hosting además de Cloudflare. Doble capa de cifrado, máxima seguridad.

Redirección de HTTP a HTTPS

Una vez instalado el SSL, hay que asegurarse de que todo el tráfico llegue por la versión segura. La mayoría de paneles tiene un botón para activar la redirección automática. Si no, se hace manualmente editando el archivo .htaccess en la raíz del hosting con unas líneas que envían cualquier solicitud http a su equivalente https.

En WordPress hay plugins como Really Simple SSL que detectan tu certificado y configuran la redirección automáticamente, además de corregir enlaces internos que sigan apuntando a http. Para sitios que ya tenían tráfico antes del SSL, este paso es vital porque elimina referencias mixtas que rompen el candado.

El error de contenido mixto, mixed content, aparece cuando una página cargada por https incluye recursos como imágenes, scripts o estilos que vienen por http. Los navegadores avisan al usuario o bloquean esos recursos. La solución es revisar el código fuente y reemplazar todas las URLs http por https, o usar rutas relativas que se adapten al protocolo.

Renovación automática: cómo asegurarte de que funciona

Let’s Encrypt se renueva sola si todo está bien configurado. Los paneles modernos tienen un servicio interno que verifica todos los días qué certificados están por expirar y los renueva antes de que llegue la fecha límite. Pero a veces algo falla y el certificado expira sin que nadie se entere.

Para evitar sorpresas, conviene activar las notificaciones por correo que ofrecen casi todos los paneles. Cuando Let’s Encrypt detecta que tu certificado está cerca de expirar y no se ha renovado, te manda un aviso. Si recibes ese correo, entra a tu panel y revisa qué pasó.

Los problemas de renovación más comunes son: cambio reciente de DNS que aún no propaga, dominio que dejó de apuntar al servidor donde está el cPanel, configuración bloqueada por reglas del firewall o un archivo .htaccess que impide a Let’s Encrypt verificar la propiedad. Cada uno se resuelve aparte.

El sello visible y la confianza del usuario

El candado en la barra del navegador es el sello más importante. Los navegadores modernos lo muestran de forma discreta pero efectiva. Algunos sitios ponen también sellos visuales propios en el footer, como un escudo o un texto que dice Secure Site, pero esos sellos son decorativos. Lo que cuenta para el visitante crítico es el candado del navegador y la URL con https.

Algo que sí funciona psicológicamente es mostrar logos de procesadores de pago conocidos como Visa, Mastercard, PayPal o Mercado Pago en las páginas de compra. No tienen que ver con el SSL directamente, pero refuerzan la confianza en conjunto con el candado.

Si tu web vende productos o servicios, asegúrate de que el SSL esté activo en todas las páginas, no solo en el checkout. Tener una página de producto en http y solo cifrar el pago genera dudas y reduce la conversión.

Errores comunes y cómo resolverlos

El error NET::ERR_CERT_AUTHORITY_INVALID aparece cuando el navegador no reconoce a la autoridad que emitió el certificado. Suele pasar con certificados autofirmados o cuando el certificado intermedio no está bien instalado. La solución es reinstalar el certificado asegurándote de incluir el bundle completo, no solo el certificado principal.

El error NET::ERR_CERT_DATE_INVALID significa que el certificado expiró. Si la renovación automática falló, hay que renovarlo manualmente desde el panel y revisar por qué dejó de renovarse.

El error NET::ERR_CERT_COMMON_NAME_INVALID indica que el certificado fue emitido para un dominio distinto al que estás visitando. Suele pasar cuando configuras un certificado para tudominio.com pero alguien entra a www.tudominio.com y el certificado no incluye ese subdominio. La solución es emitir un certificado que cubra ambos nombres.

El error de contenido mixto, como mencioné antes, se resuelve corrigiendo los enlaces internos. En WordPress, Really Simple SSL hace este trabajo automáticamente. En sitios hechos a mano hay que ir uno por uno o usar herramientas de búsqueda y reemplazo en la base de datos.

Buenas prácticas que aprendí en producción

Activa siempre la renovación automática, aunque sientas que no la necesitas. Más vale un sistema que funciona solo a depender de que alguien recuerde renovar cada tres meses. Configura alertas por correo para que te avisen si la renovación falla.

Si tienes varios subdominios, considera un certificado wildcard que cubra todo el dominio con un solo certificado. Let’s Encrypt también emite wildcards gratuitos, aunque su instalación requiere validación por DNS en lugar de por archivo.

Y revisa el estado de tu SSL periódicamente con herramientas como SSL Labs de Qualys. Te muestra una calificación de A a F sobre la calidad de tu configuración, te dice si soportas protocolos antiguos inseguros y te sugiere mejoras concretas. Es gratis y vale la pena.

Preguntas frecuentes sobre instalar SSL gratis

¿Let’s Encrypt es realmente gratis o tiene letra chica?

Es completamente gratis sin letra chica. Está financiado por donaciones y patrocinios de empresas como Mozilla, Google y Cisco. No hay límites en el número de certificados que puedes emitir para tus dominios.

¿Por qué Let’s Encrypt dura solo 90 días?

Es una decisión técnica para fomentar la automatización y reducir riesgos si una clave se compromete. La renovación es automática, así que en la práctica no tienes que hacer nada cada tres meses.

¿Necesito reiniciar mi servidor después de instalar SSL?

En la mayoría de paneles no. La instalación recarga la configuración del servidor web sin necesidad de reiniciar. Si después de instalar el SSL no aparece el candado, espera unos minutos y limpia la caché del navegador.

¿Puedo tener SSL en un hosting muy básico?

Sí. Casi todos los hostings, incluso los planes más económicos, ofrecen Let’s Encrypt integrado. Si tu hosting no lo ofrece, cámbialo. Es una característica básica en 2026.

¿El SSL afecta la velocidad de mi web?

El impacto es mínimo gracias a las versiones modernas de TLS. En algunos casos HTTPS es incluso más rápido porque permite usar HTTP/2 y HTTP/3, que son protocolos más eficientes.

¿Qué hago si el candado aparece con una advertencia?

Generalmente significa contenido mixto. Algún recurso de la página se está cargando por http. Revisa imágenes, scripts y estilos. Reemplaza esas URLs por https o usa rutas relativas.

¿Puedo usar Let’s Encrypt para un dominio que apenas registré?

Sí, pero el DNS tiene que estar propagado y apuntando al servidor. Si registraste el dominio hace unas horas, espera a que la propagación termine antes de pedir el certificado.

¿El SSL gratuito sirve para una tienda en línea seria?

Sí. Técnicamente la seguridad es idéntica a la de un SSL pagado. Lo que cambia es el tipo de validación y la garantía comercial. Para la mayoría de tiendas chicas y medianas, Let’s Encrypt es más que suficiente.

¿Cómo verifico que mi SSL esté bien instalado?

Usa SSL Labs en ssllabs.com/ssltest. Te da una calificación detallada y te muestra cualquier problema. Una calificación A o A+ indica una configuración sólida.

¿Qué pasa si mi certificado expira sin renovarse?

Los visitantes verán una advertencia roja y muchos abandonarán el sitio antes de seguir. Renueva lo antes posible desde el panel del hosting. Una vez renovado, el aviso desaparece para los nuevos visitantes en cuanto sus navegadores actualicen la caché.