¿Qué es HTTPS? Todo lo que tienes que saber

HTTPS protege la comunicación entre tu navegador y el servidor para que no sea interceptada o modificada por atacantes, aportando confidencialidad, integridad y autenticación a la gran mayoría del tráfico en la WWW.

En este artículo aprenderás:

• Lo básico de HTTP y HTTPS
• Cómo TLS certifica la conexión
• Cómo HTTPS impacta al SEO
• Cómo configurar HTTPS
• Errores comunes al migrar a HTTPS

Primero, simplifiquemos e ilustremos la comunicación entre el cliente (navegador) y el servidor cuando hay un atacante de red intentando interceptar datos.

Como ves, en HTTP los atacantes pueden robar credenciales, datos de pago o inyectar código malicioso. Esto ocurre especialmente en redes WiFi públicas o cualquier enlace intermedio no confiable. Aunque la conciencia del público ha mejorado (muchas personas usan VPN), la responsabilidad de asegurar la navegación recae en los administradores de los sitios web.

HTTPS cifra las peticiones y respuestas HTTP. Así, si un atacante intercepta los datos, solo verá caracteres aleatorios en lugar de información sensible. Una analogía habitual es enviar un objeto valioso dentro de una caja fuerte que solo el remitente y el destinatario pueden abrir.

Detrás de HTTPS está TLS (Transport Layer Security). La versión mínima recomendada es TLS 1.3, que garantiza velocidades y cifrados modernos.

Para habilitar HTTPS en tu sitio necesitas un certificado TLS instalado en el servidor. Aunque todavía se les llame “certificados SSL/TLS”, SSL fue reemplazado por TLS hace años; hoy todo certificado público usa TLS.

Los certificados TLS los emiten las Autoridades de Certificación (CA, Certificate Authorities). Su rol es actuar como terceros de confianza. Existen cientos de CA reconocidas en los sistemas operativos y navegadores modernos.

Pulsa en el candado en tu navegador para inspeccionar detalles del certificado (OCSP Stapling, ALPN, transporte seguro). Lo importante es el campo “Issued to” (“Otorgado a”), que nos da pistas sobre el nivel de validación:

DV, OV y EV: Qué significan y cuál elegir

La validación de dominio (DV, Domain Validation) sigue siendo la más común para sitios estáticos, blogs y CMS populares. Let’s Encrypt continúa como la CA más usada para certificados gratuitos y renovación automática. Aunque la interfaz de Chrome ya no distingue visualmente entre DV, OV o EV, OV (Organization Validation) y EV (Extended Validation) siguen útiles para e-commerce y plataformas con datos sensibles.

Opciones de validación:

• DV (Domain Validation): emisión automática, ideal para la mayoría de blogs y sitios informativos.
• OV (Organization Validation): requiere comprobación de documentación legal. Recomendado para e-commerce y plataformas con datos financieros.
• EV (Extended Validation): proceso más exhaustivo. Aporta un nivel extra de confianza para usuarios corporativos.

Certificados comodín y SAN

Los certificados Wildcard y SAN (Subject Alternative Name) permiten asegurar múltiples dominios o subdominios en un solo certificado. Un Wildcard para *.ejemplo.com cubre blog.ejemplo.com, shop.ejemplo.com y más. Un certificado SAN puede asegurar dominios heterogéneos: ejemplo.com, ejemplo.net y blog.ejemplo.org.

Al comprar un certificado OV o EV, puedes elegir la opción Wildcard o SAN según tu infraestructura. Muchos proveedores de hosting lo ofrecen integrado.

HTTPS aporta varios beneficios de SEO:

• Requisito básico: Google ya da por sentado que los sitios principales usan HTTPS. No migrar puede poner tu sitio en desventaja.
• Confianza y comportamiento: un sitio marcado como “No seguro” aumenta la tasa de rebote y reduce el tiempo de permanencia.
• Datos de referidos completos: evita que el tráfico de referencia aparezca como “directo” en tus análisis.
• Protocolos modernos: HTTPS habilita HTTP/2, HTTP/3 (QUIC) y TLS 1.3, mejorando la velocidad y seguridad.

Factor de posicionamiento

Hoy en día, HTTPS ya no da un “boost” extra, sino que se considera un estándar. Un sitio en HTTP estará penalizado en los resultados móviles y locales.

Seguridad, confianza y métricas de usuario

Ver la advertencia de “No seguro” desalienta visitantes. Las métricas de Core Web Vitals (LCP, FID, CLS) y la ausencia de alertas de seguridad en Google Search Console siguen influyendo en el ranking.

Preservación de datos de referidos

Sin HTTPS, pierdes todos los datos de referidos de sitios HTTPS, lo que sesga tus informes y oculta fuentes valiosas para link building.

Protocolos modernos de seguridad y rendimiento

HTTPS permite:

• HTTP/2 y HTTP/3 (QUIC): mejor multiplexación y latencia. Gran parte del tráfico de navegadores ya usa HTTP/3.
• TLS 1.3: handshake más rápido y cifrados modernos. Muy usado en servidores y clientes actuales.
• HSTS: fuerza siempre conexiones seguras y previene ataques de downgrade.

El proceso depende de tu caso:

1. Sitio nuevo

Configura HTTPS desde el inicio. Elige un hosting que ofrezca TLS 1.3 y HTTP/3. Muchos permiten “1-clic” con Let’s Encrypt para DV automático. Tras instalar el certificado, activa HSTS con Strict-Transport-Security: max-age=31536000; includeSubDomains; preload y súmate a la lista de precarga (HSTS Preload).

2. Ya tienes HTTPS configurado

Verifica que usas TLS 1.3, que la cadena de certificados está completa y que no hay advertencias en Google Search Console. Comprueba Core Web Vitals y actualiza cifrados obsoletos. Si tu servidor lo soporta, habilita HTTP/3.

3. Migrar de HTTP a HTTPS

La complejidad varía según:

• Arquitectura del sitio y CMS (WordPress, Next.js, etc.)
• Proveedor de hosting/CDN
• Tus habilidades técnicas

Pasos clave:

• Obtén un certificado TLS: DV gratuito (Let’s Encrypt) o OV/EV de pago si manejas datos sensibles.
• Configura redireccionamientos 301 “HTTP → HTTPS”: en el servidor (Nginx, Apache) o CDN (Cloudflare Redirect Rules).
• Actualiza enlaces internos y recursos: CSS, JS, imágenes y fuentes deben cargar desde HTTPS para evitar “mixed content”.
• Activa HSTS: añade encabezado Strict-Transport-Security.
• Revisa indexación: agrega “https://” en Search Console y en Bing Webmaster Tools, y envía el sitemap actualizado.
• Audita performance: usa PageSpeed Insights, Lighthouse o Ahrefs Site Audit para Core Web Vitals.

Si no dominas lo técnico, contrata a un profesional para evitar errores que afecten tu tráfico.

Aun siguiendo pasos estándar, suelen aparecer fallos:

Error 1: Páginas HTTP restantes

Debes asegurarte de que todas las URLs respondan en HTTPS. Rastrea con Ahrefs Site Audit o Screaming Frog, buscando respuestas 200 en HTTP. Exporta la lista y redirígelas con 301 a HTTPS:

# Ejemplo Nginx:
server {
  listen 80;
  server_name ejemplo.com www.ejemplo.com;
  return 301 https://$host$request_uri;
}

Error 2: “Mixed content” (recursos en HTTP)

Ocurre cuando la página carga sobre HTTPS, pero algunos recursos usan HTTP. Los navegadores modernos bloquean o degradan estos recursos. En Site Audit, aparece como “HTTPS con contenido mixto”. Identifica todas las referencias HTTP y cámbialas a HTTPS o a URLs relativas.

Error 3: Enlaces internos apuntando a HTTP

Si tus enlaces internos no se actualizaron a HTTPS, cada clic origina una redirección innecesaria. Esto ralentiza la experiencia y afecta Core Web Vitals. Filtra en “Links” de Site Audit por URLs que contengan “http://tudominio.com” y reescribe a “https://tudominio.com”.

Error 4: Etiquetas canónicas y Open Graph sin HTTPS

Las etiquetas rel="canonical" y metas de Open Graph (og:url, og:image) deben usar HTTPS. Si apuntan a HTTP, confundes a buscadores y redes sociales, perdiendo tráfico y señales de indexación. En Site Audit filtra “Canonical to HTTP” y “OG tags HTTP”.

Error 5: Redireccionamientos incorrectos o en cadena

Los redireccionamientos pueden fallar o formar cadenas largas. Usa el informe “Redirects” de Site Audit para identificar redirecciones fallidas, bucles o cadenas de más de dos pasos. Ajusta reglas para apuntar directamente al destino final:

# Evita cadenas:
# Incorrecto: 
# http://ejemplo.com → (301) https://ejemplo.com → (301) https://www.ejemplo.com → destino
# Correcto:
# http://ejemplo.com → (301) https://www.ejemplo.com → destino

Revisa la columna “Inlinks” para actualizar enlaces internos que apunten a URLs redirigidas y así romper la cadena.

Conclusiones

HTTPS es imprescindible tanto por seguridad como por rendimiento y visibilidad orgánica. La mayoría de sitios populares ya migraron, y los navegadores penalizan advertencias de inseguridad. Mantener actualizado tu TLS (TLS 1.3, HTTP/3, HSTS) y corregir errores comunes garantiza una experiencia fluida y segura para usuarios y buscadores.

¿Tienes preguntas o comentarios? Escríbeme en Twitter