Certificado SSL: por que tu web lo necesita

Si tu web carga con http:// en lugar de https://, Google Chrome la marca como "No seguro" en la barra de direcciones. Eso no solo asusta a tus visitantes — tambien afecta tu posicionamiento en Google. El responsable de esa diferencia es un certificado SSL: un archivo que cifra la comunicacion entre tu web y el navegador del usuario. Sin el, cualquier dato que se transmite (formularios, contraseñas, pagos) viaja en texto plano, visible para cualquiera que intercepte la conexion.

Esta guia explica que es un SSL, como impacta tu SEO, que tipos existen, como instalarlo en hostings peruanos y los errores que debes evitar.

Que es un certificado SSL y como funciona

SSL (Secure Sockets Layer) es un protocolo de seguridad que cifra los datos entre el servidor web y el navegador. Aunque tecnicamente el estandar actual se llama TLS (Transport Layer Security), el termino "SSL" sigue siendo el mas usado en la industria.

Cuando un usuario visita tu web con HTTPS, ocurre esto en milisegundos:

• Handshake: el navegador solicita al servidor su certificado SSL y verifica que sea valido (emitido por una autoridad certificadora reconocida y no expirado)
• Intercambio de claves: servidor y navegador acuerdan una clave de cifrado unica para esa sesion usando criptografia asimetrica
• Conexion cifrada: todos los datos viajan cifrados con esa clave. Si alguien intercepta el trafico, solo ve datos ilegibles

El resultado visible: el icono de candado en la barra de direcciones y el prefijo https://. Sin SSL, Chrome muestra "No seguro" — una advertencia que el 84% de los usuarios asocia con sitios peligrosos o fraudulentos.

HTTPS como factor de ranking en Google

En agosto de 2014, Google anuncio oficialmente que HTTPS es una señal de ranking. Desde entonces, la tendencia ha sido clara: Google favorece sitios seguros y penaliza los que no lo son.

Datos concretos sobre el impacto:

• Señal de ranking confirmada: Google Search Central documenta HTTPS como factor de posicionamiento. No es el factor mas pesado (el contenido y los enlaces siguen siendo prioritarios), pero a igualdad de condiciones, el sitio con HTTPS gana
• Chrome "No seguro": desde Chrome 68 (julio 2018), todas las paginas HTTP muestran la etiqueta "No seguro". Esto aumenta la tasa de rebote: los usuarios retroceden antes de interactuar con tu sitio
• Core Web Vitals y HTTPS: Google considera la experiencia de pagina como factor de ranking. HTTPS es uno de los componentes de esa experiencia, junto con velocidad de carga, interactividad y estabilidad visual
• Datos de referencia: las paginas que aparecen en la primera posicion de Google usan HTTPS en mas del 95% de los casos. Estar en HTTP es competir con una desventaja innecesaria

Para el SEO tecnico de tu web, el SSL no es opcional — es un requisito basico. Sin el, cualquier otra optimizacion que hagas tiene un techo artificial.

El candado verde: confianza del usuario y tasa de conversion

Mas alla del SEO, el SSL impacta directamente en las conversiones de tu web. La confianza visual del candado y el https:// influye en las decisiones de los usuarios:

• Formularios de contacto: los usuarios dudan en enviar sus datos (nombre, telefono, email) en sitios marcados como "No seguro". Si tu negocio depende de leads por formulario, SSL es indispensable
• Tiendas online: ninguna pasarela de pago seria (Niubiz, Culqi, MercadoPago, Izipay) funciona sin HTTPS. El estandar PCI DSS exige cifrado SSL para procesar tarjetas de credito
• Tasa de rebote: sitios sin SSL tienen tasas de rebote significativamente mayores. Los usuarios que ven "No seguro" retroceden inmediatamente, especialmente en movil donde la advertencia es mas visible
• Credibilidad profesional: en Peru, un negocio con web sin SSL transmite descuido. Los usuarios lo perciben como una empresa que no invierte en su presencia digital — y por extension, en la seguridad de sus clientes

Tipos de certificado SSL: DV, OV y EV

No todos los certificados SSL son iguales. Se clasifican por el nivel de validacion que realiza la autoridad certificadora:

• DV (Domain Validation): solo verifica que controlas el dominio. Se emite en minutos, automaticamente. Es el tipo mas comun y el que ofrece Let's Encrypt gratis. Suficiente para blogs, portfolios, webs de servicios y la mayoria de negocios
• OV (Organization Validation): verifica la identidad de la organizacion (nombre legal, direccion, telefono). Tarda 1-3 dias habiles. Cuesta entre $50 y $200 USD anuales. Recomendado para empresas medianas que quieren mostrar su identidad verificada en el certificado
• EV (Extended Validation): validacion exhaustiva de la organizacion. Tarda 1-2 semanas. Cuesta entre $100 y $500 USD anuales. Antes mostraba el nombre de la empresa en verde en la barra del navegador, pero Chrome y Firefox eliminaron esa distincion visual en 2019. Hoy su utilidad practica es limitada

Tambien existen certificados segun cobertura:

• Single Domain: protege un dominio (ejemplo.com)
• Wildcard: protege un dominio y todos sus subdominios (*.ejemplo.com). Util si tienes tienda.ejemplo.com, blog.ejemplo.com, etc.
• Multi-Domain (SAN): protege multiples dominios diferentes en un solo certificado

SSL gratis vs pago: Let's Encrypt y alternativas

Let's Encrypt es una autoridad certificadora gratuita, automatizada y abierta que protege mas de 300 millones de sitios web. Fue creada por la Internet Security Research Group (ISRG) con el respaldo de Mozilla, Google, Cisco y otras organizaciones.

Ventajas de Let's Encrypt:

• 100% gratuito: certificados DV sin costo, renovacion automatica cada 90 dias
• Mismo nivel de cifrado: un certificado Let's Encrypt ofrece la misma seguridad criptografica que uno de pago. El cifrado AES-256 no cambia segun el precio
• Automatizable: con Certbot u otras herramientas ACME, la emision y renovacion es completamente automatica
• Ampliamente soportado: compatible con todos los navegadores modernos y sistemas operativos

¿Cuando conviene un SSL de pago?

• Si necesitas validacion OV/EV por requisitos corporativos o regulatorios
• Si quieres un certificado Wildcard sin configurar Let's Encrypt manualmente (algunos proveedores lo simplifican)
• Si necesitas garantia financiera: los certificados de pago incluyen seguros de $10,000 a $1,750,000 USD en caso de brecha de seguridad relacionada con el certificado (casos extremadamente raros)

Para la mayoria de webs y negocios en Peru, Let's Encrypt es la opcion correcta. No tiene sentido pagar $100-500 USD anuales por algo que puedes obtener gratis con el mismo nivel de seguridad.

Como instalar un SSL en tu hosting peruano

La instalacion depende de tu proveedor de hosting. La buena noticia: la mayoria de hostings actuales incluyen SSL gratuito y lo activan con un par de clics.

Hostings con SSL incluido (activacion automatica)

• Hostinger: SSL gratuito de Let's Encrypt en todos los planes. Se activa desde hPanel > SSL > Instalar. Renovacion automatica
• DonWeb: SSL incluido en planes de hosting. Activacion desde el panel de control
• Banahosting: AutoSSL de cPanel activa Let's Encrypt automaticamente al agregar un dominio
• SiteGround: SSL gratuito con activacion en un clic desde Site Tools

Instalacion manual con cPanel

Si tu hosting usa cPanel y no activa SSL automaticamente:

• Accede a cPanel > SSL/TLS > Manage SSL Sites
• Si tu hosting soporta AutoSSL, solo necesitas esperar 24 horas — cPanel lo instala automaticamente
• Si necesitas instalarlo manualmente: genera un CSR (Certificate Signing Request), obtiene el certificado de tu proveedor, y pegalo en los campos de cPanel (Certificate, Private Key, CA Bundle)

Paso critico: forzar la redireccion HTTP a HTTPS

Instalar el SSL no es suficiente — debes forzar que todo el trafico use HTTPS. Sin esto, tu web sigue accesible por HTTP y Google ve dos versiones duplicadas.

En el archivo .htaccess de tu servidor Apache:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Esta redireccion 301 le dice a Google que la version HTTPS es la definitiva, y transfiere toda la autoridad SEO acumulada.

Errores comunes con SSL que dañan tu SEO

Tener SSL instalado no garantiza que este funcionando correctamente. Estos son los errores que mas veo en webs peruanas:

• Contenido mixto (Mixed Content): tu web carga con HTTPS pero algunas imagenes, scripts o CSS se cargan por HTTP. El navegador muestra advertencias y puede bloquear esos recursos. Solucion: cambiar todas las URLs internas a HTTPS o usar URLs relativas al protocolo (//)
• No redirigir HTTP a HTTPS: el error mas comun. Si ambas versiones son accesibles, Google indexa duplicados y diluye tu autoridad SEO. Siempre forzar redireccion 301
• Certificado expirado: los certificados tienen fecha de vencimiento (90 dias en Let's Encrypt, 1 año en certificados de pago). Un certificado expirado muestra una pantalla roja de advertencia que bloquea completamente el acceso. Configura renovacion automatica
• Canonical apuntando a HTTP: si tu etiqueta <link rel="canonical"> apunta a la version HTTP, Google la toma como la URL principal. Asegurate de que todos los canonicals usen https://
• Sitemap con URLs HTTP: si tu sitemap.xml lista URLs con http://, Google rastreara esa version. Actualiza tu sitemap con URLs HTTPS
• HSTS no configurado: HTTP Strict Transport Security (HSTS) le dice al navegador que siempre use HTTPS, eliminando la redireccion en visitas posteriores. Sin HSTS, cada primera visita hace una peticion HTTP innecesaria antes de ser redirigida

Puedes verificar el estado de tu SSL con la herramienta gratuita SSL Labs (ssllabs.com). Un grado A o A+ confirma que tu configuracion es correcta.

Preguntas frecuentes