El SSL más allá del candado es lo que viene después de instalar el certificado: el candado visible es el inicio y no la meta, el cifrado completo exige el forzado total sin huecos, el mixed content cazado, los recursos HTTP que rompen el cifrado de la página HTTPS, el HSTS aplicado con el cuidado que su poder exige, la cabecera que ordena cifrado siempre y que mal puesta bloquea tu propio sitio, y el protocolo moderno verificado, el TLS al día que las pruebas públicas evalúan, los tests del propio dominio que cualquiera puede correr y que esta guía enseña a leer, porque el sitio con candado y configuración mediocre da la seguridad a medias que ni protege completo ni puntúa donde los evaluadores automáticos miran.
Tabla de Contenidos
¿Qué falta después de instalar el certificado?
El certificado instalado deja tareas pendientes: el forzado completo primero, todas las rutas redirigiendo a HTTPS, la unificación de esta serie con su .htaccess compatible, las versiones sin cifrar muertas de verdad, el contenido mixto segundo, la página HTTPS que carga recursos HTTP, las imágenes con URLs viejas, los scripts de servicios antiguos, el candado roto o el aviso del navegador que el cifrado a medias produce, la configuración del protocolo tercero, las versiones de TLS que el servidor acepta, las viejas inseguras deshabilitadas, las modernas activas, y las cabeceras de seguridad relacionadas, el HSTS y compañía que el hardening de esta serie listó y esta guía profundiza. El estado se diagnostica con tests públicos: las herramientas de evaluación SSL que analizan tu dominio y puntúan la configuración completa, el reporte que lista protocolos, cifrados y cabeceras, la nota pública de tu cifrado que esta guía enseña a subir, con el marco en los costos anuales y el servicio en diseño web.
El mixed content: cazar los recursos que rompen el cifrado
El contenido mixto se entiende y se caza: la página servida por HTTPS pidiendo recursos por HTTP, el navegador que bloquea o advierte según el tipo, los scripts mixtos bloqueados directamente, las imágenes con aviso, el candado degradado en ambos casos, y las fuentes típicas en WordPress se conocen, las URLs absolutas viejas en contenidos, las imágenes insertadas cuando el sitio era HTTP, los temas y plugins con recursos codificados en duro, los embeds de servicios antiguos. La caza usa herramientas simples: la consola del navegador con sus avisos de contenido mixto, la página problema abierta con las herramientas de desarrollo, los recursos culpables listados con sus URLs, los rastreos de esta serie que detectan mixto en masa, el sitio completo revisado, y la corrección por fuente, el reemplazo masivo en base de datos de las URLs viejas, el buscar y reemplazar del dominio HTTP al HTTPS con respaldo previo, la herramienta estándar del caso, los recursos de temas corregidos en su origen, y la verificación posterior, las páginas clave revisadas con el candado íntegro, el barrido que cierra el hueco histórico de una vez.
El HSTS con cuidado: la cabecera poderosa
El HSTS ordena cifrado sin excepciones: la cabecera que le dice al navegador que tu sitio es HTTPS siempre, el navegador que recuerda la orden y ni intenta HTTP en visitas futuras, la protección contra ataques de degradación que el forzado por redirección solo no da, el candado estructural, y su poder exige el cuidado que esta guía subraya, la orden recordada por el plazo declarado, el sitio que después necesite HTTP quedará bloqueado para los navegadores que recordaron, la cabecera que no se activa probando, se activa sabiendo. La implementación prudente escala: el HSTS activado con plazo corto primero, la prueba de semanas donde revertir es rápido, el sitio verificado completo en HTTPS sin excepciones, los subdominios evaluados antes de incluirlos, la directiva que los cubre solo cuando todos están cifrados, el plazo extendido después con la confianza ganada, y la precarga como decisión mayor, la lista de precarga de los navegadores donde el dominio se inscribe como HTTPS permanente, el compromiso casi irreversible que solo los sitios maduros y seguros de su configuración asumen, el paso final que se da una vez y con plena conciencia, [DATO-KOM: la configuración de HSTS estándar de las entregas KOM, los plazos del manual].
El SSL y la confianza comercial: lo que el cliente percibe
La capa técnica también vende: el visitante moderno mira el candado antes de pagar, el aviso de sitio no seguro que mata el checkout, las advertencias de contenido mixto que siembran dudas exactamente en el formulario donde se pedía la tarjeta, la conversión de esta serie afectada por los detalles del cifrado que parecen invisibles, y los evaluadores externos también leen, los navegadores con sus señales, los sistemas que puntúan seriedad técnica, la nota del test pública para quien quiera mirarla.
La cuenta comercial cierra el argumento: la tarde de configuración completa contra cada venta que el aviso de seguridad espanta, el costo cero del cifrado bien hecho contra el silencioso del mediocre. El candado íntegro es parte de la vitrina: la seguridad percibida que el cliente no nombra pero decide con ella.
El TLS moderno y el test público del dominio
El protocolo se configura en el servidor o el borde: las versiones modernas de TLS activas, las antiguas deshabilitadas, los cifrados débiles fuera de la lista, la configuración que en el hosting compartido depende del proveedor y en Cloudflare del stack se ajusta en su panel, la versión mínima de TLS elegida moderna, el borde resolviendo lo que el hosting básico no expone, otra razón del stack de esta serie. El test público evalúa todo junto: el dominio analizado en las herramientas de evaluación SSL, el reporte leído por secciones, el certificado y su cadena, los protocolos aceptados, las versiones viejas señaladas si siguen vivas, los cifrados con sus fortalezas, las cabeceras con el HSTS verificado, la nota final que resume, y las correcciones derivadas por hallazgo, la versión antigua deshabilitada, el cifrado débil removido, la cadena incompleta del certificado corregida, el ciclo de test y ajuste hasta la nota alta. La verificación entra a la rutina: el test repetido tras cambios de servidor o certificado, la renovación anual verificada, el vencimiento del certificado monitoreado con avisos, porque el certificado vencido es el cartel de sitio inseguro en plena operación, el clásico evitable con el recordatorio que esta serie pone en todo lo que vence.
Preguntas frecuentes
¿El candado verde no significa que ya está todo bien?
Significa certificado válido y cifrado base: el inicio correcto, y la configuración completa va más allá, el mixto que degrada, las versiones viejas de protocolo aceptadas, las cabeceras ausentes, lo que el test público revela detrás del candado. La nota del test es la verdad completa: el candado con configuración mediocre puntúa bajo donde los evaluadores miran.
¿Activar HSTS puede dejarme sin sitio?
Mal activado, sí temporalmente: la cabecera con el sitio que aún tiene rutas HTTP bloquea esas rutas en los navegadores que la recordaron, el plazo largo que vuelve el error pegajoso, y la implementación prudente de esta guía lo evita, el plazo corto primero, la verificación total antes de extender. El poder con escalera es seguro: el salto directo a la precarga sin pruebas es el que produce las historias de terror.
¿Qué certificado necesito, el gratuito alcanza?
El gratuito moderno alcanza para el sitio típico: los certificados automáticos del hosting o del borde con su renovación sola, el cifrado idéntico al de pago, la validación de dominio que cubre a la mayoría, y los de pago aportan en casos específicos, las validaciones extendidas de organización donde el rubro lo valore. La guía de ocultos de esta serie ya lo dijo: el SSL básico cobrado como premium es bandera roja, no upgrade.
¿KOM configura esta capa completa en sus entregas?
Es parte del estándar técnico: el forzado total, el mixto cazado, el HSTS con la escalera prudente, el protocolo moderno vía el stack, y el test público con nota alta como verificación de entrega, dentro de los proyectos cotizados en el cotizador online con los precios públicos de siempre. El cifrado se entrega completo: el candado más todo lo que el candado solo no garantiza.
Tu siguiente paso: corre el test público de tu dominio en las herramientas de evaluación SSL y lee tu nota, el diagnóstico de cinco minutos de lo que hay detrás de tu candado. La configuración completa se cotiza en el cotizador online: el certificado instalado fue el primer paso, y la distancia hasta el cifrado bien configurado es exactamente lo que esta guía te acaba de mapear.
