En 2026, simplemente no hay ninguna razón aceptable para tener un sitio web sin HTTPS. Ya sea que tengas un blog personal, un sitio de negocio local, una tienda de comercio electrónico o una aplicación SaaS, el pequeño icono del candado en la barra de direcciones del navegador de tus visitantes ya no es opcional. Es un requisito básico. Y la tecnología detrás de ese candado es un certificado SSL/TLS.

Esta guía está diseñada para ser tu recurso más útil sobre certificados SSL. No nos quedaremos en la superficie. Para cuando termines de leer, entenderás exactamente qué es un certificado SSL, por qué es de suma importancia para el posicionamiento en Google y la confianza de los usuarios, la diferencia entre SSL gratuito y de pago, cómo instalar y forzar HTTPS en tu sitio, y cómo diagnosticar errores comunes de SSL, todo en un lenguaje sencillo.

También cubriremos la configuración específica para WordPress, la Seguridad de Transporte Estricta HTTP (HSTS), la relación de la seguridad del correo electrónico con el SSL, y explicaremos exactamente qué es lo que obtienes de forma predeterminada con el hosting web de Hosterlo.

💡 Respuesta rápida si tienes prisa: Todos los sitios web necesitan HTTPS mediante SSL. Para la mayoría de los sitios, un certificado gratuito de Let's Encrypt es perfectamente suficiente. En Hosterlo, el SSL está incluido y se configura automáticamente en todos los planes. Sigue leyendo para conocer todos los detalles.

¿Qué es un certificado SSL y cómo funciona?

SSL significa Secure Sockets Layer (Capa de Sockets Seguros). Estrictamente hablando, las implementaciones modernas utilizan su protocolo sucesor, TLS (Transport Layer Security) —actualmente TLS 1.3—, pero la industria sigue utilizando "SSL" como el término coloquial. Un certificado SSL/TLS es un pequeño archivo de datos digitales instalado en tu servidor web. Su función es realizar dos tareas fundamentales:

El saludo TLS (TLS Handshake) explicado de forma sencilla

Cuando un visitante escribe tu URL en un navegador, antes de que se cargue cualquier contenido de la página, ocurre un proceso de negociación rápida llamado saludo TLS (TLS handshake). Esto es lo que sucede en aproximadamente 50 a 200 milisegundos:

  1. Client Hello (Saludo del cliente): El navegador le dice a tu servidor: "Estas son las versiones de TLS y las suites de cifrado que soporto".
  2. Server Hello (Saludo del servidor): Tu servidor responde seleccionando una suite de cifrado y envía su certificado SSL.
  3. Verificación del certificado: El navegador comprueba el certificado contra una lista de Autoridades de Certificación (CA) de confianza. Verifica que no haya caducado, que esté emitido para tu dominio y que la cadena de confianza esté intacta.
  4. Intercambio de claves: Ambas partes acuerdan una clave de sesión utilizando criptografía asimétrica (par de claves pública/privada). Todos los datos posteriores se cifran con esta clave de sesión simétrica.
  5. Conexión cifrada establecida: Aparece el candado. Cada byte de datos —credenciales de inicio de sesión, información de pago, detalles personales, respuestas de la API— ahora está cifrado de extremo a extremo.

Vale la pena entender la cadena de certificación: tu certificado SSL no es confiable de forma directa. Está firmado por una CA intermedia, que a su vez está firmada por una CA raíz (como DigiCert, Sectigo o Let's Encrypt). Los navegadores vienen preinstalados con una lista de CA raíz de confianza. Si tu cadena de certificación está rota (por ejemplo, si el certificado intermedio no está instalado correctamente), los navegadores mostrarán un error de seguridad.

Lo que el icono del candado (o el prefijo https://) significa para tu visitante es: "Esta conexión es privada y la identidad del sitio web ha sido verificada". Esa es una señal de confianza poderosa, y su ausencia es una advertencia igualmente fuerte.

Por qué el SSL es fundamental para el SEO

Si te importa el tráfico de búsqueda orgánica —y debería importarte—, HTTPS no es opcional. Veamos las formas concretas en que el SSL afecta tu posicionamiento en los motores de búsqueda.

La señal de posicionamiento HTTPS de Google

En agosto de 2014, Google anunció oficialmente que el uso de HTTPS sería un factor de posicionamiento. En ese momento lo describieron como una señal "ligera". Para 2026, tras años de redoblar la preferencia por HTTPS en todos sus productos y políticas, el peso de esta señal es considerablemente más significativo. Los rastreadores de Google, Google Search Console y las herramientas PageSpeed de Google tratan HTTPS como una expectativa básica.

En nichos competitivos, entre dos páginas idénticas en todo lo demás (una en HTTP y otra en HTTPS), la versión HTTPS se posicionará mejor. Punto final.

La advertencia de "No es seguro" de Chrome y la tasa de rebote

Google Chrome, que posee aproximadamente el 65% de la cuota de mercado global de navegadores, advierte activamente a los usuarios cuando visitan un sitio HTTP. La barra de direcciones muestra una etiqueta destacada de "No es seguro" en rojo. En cualquier página que incluya un formulario de inicio de sesión, un formulario de contacto o un campo de pago, Chrome muestra una advertencia de pantalla completa antes de que el usuario pueda continuar.

Estudios en numerosas industrias han demostrado que la advertencia "No es seguro" puede aumentar las tasas de rebote en un 15-40%. Si los visitantes rebotan porque tu sitio parece inseguro, el sistema RankBrain de Google nota esa señal de comportamiento del usuario —más rebotes, menor tiempo de permanencia— y, eventualmente, esto perjudica tu posicionamiento. El efecto dominó es real.

SSL y Core Web Vitals

HTTPS is un requisito previo para HTTP/2, que a su vez es necesario para muchas optimizaciones de rendimiento que afectan directamente las puntuaciones de Core Web Vitals. HTTP/2 multiplexa las solicitudes sobre una única conexión TCP (reduciendo drásticamente la latencia), permite el envío de recursos desde el servidor (server push) y utiliza compresión de encabezados. Simplemente no puedes usar HTTP/2 sin HTTPS en los navegadores modernos. Dado que Core Web Vitals —particularmente LCP (Largest Contentful Paint) y FID (First Input Delay)— son factores de posicionamiento oficiales de Google, cualquier sitio que aún funcione bajo HTTP queda excluido de estas mejoras de rendimiento.

Tipos de certificados SSL

No todos los certificados SSL son creados iguales. Difieren principalmente en el nivel de validación de identidad que realiza la Autoridad de Certificación antes de su emisión. Aquí tienes un desglose de todos los tipos que encontrarás.

Tipo Nivel de Validación Emitido En Ideal Para
DV (Validación de Dominio) Solo propiedad del dominio Minutos Blogs, sitios de pequeñas empresas, sitios personales
OV (Validación de Organización) Dominio + identidad de la empresa 1–3 días Empresas establecidas, servicios profesionales
EV (Validación Extendida) Dominio + rigurosa comprobación legal 1–5 días Bancos, salud, comercio electrónico a gran escala

SSL de Validación de Dominio (DV)

El certificado DV es el tipo más común. La CA solo verifica que controlas el dominio, normalmente mediante verificación por correo electrónico, registro DNS o una carga de archivo HTTP. No se investiga la identidad de tu empresa. Esto es lo que emite Let's Encrypt y lo que la mayoría de los proveedores de alojamiento (incluyendo Hosterlo a través de AutoSSL) instalan de forma automática. Para la gran mayoría de los sitios web, el SSL DV es absolutamente suficiente.

SSL de Validación de Organización (OV)

Los certificados OV requieren que la CA verifique la existencia legal de tu organización, su dirección física y su número de teléfono, además de la propiedad del dominio. El certificado contiene los detalles verificados de tu organización, que los visitantes pueden inspeccionar haciendo clic en el candado. Los certificados OV añaden una capa de confianza muy útil para empresas profesionales que desean demostrar su legitimidad.

SSL de Validación Extendida (EV)

El SSL EV implica el proceso de investigación más riguroso: existencia legal, existencia operativa, dirección física y solicitante del certificado autorizado. Históricamente, los certificados EV mostraban una barra verde con el nombre de la empresa en el navegador, pero los navegadores modernos han retirado en su mayoría esa interfaz. Hoy en día, los certificados EV siguen conteniendo información verificada en los detalles del certificado, y muchas organizaciones corporativas los utilizan por razones de cumplimiento y confianza.

Certificados SSL Wildcard (Comodín)

Un certificado SSL Wildcard cubre un dominio principal y todos sus subdominios de primer nivel con un solo certificado. Por ejemplo, un certificado wildcard para *.tudominio.com cubre tienda.tudominio.com, blog.tudominio.com, correo.tudominio.com, etc. Estos son muy rentables para sitios con múltiples subdominios y eliminan la necesidad de gestionar certificados individuales para cada uno.

Certificados SSL Multi-Dominio (SAN/UCC)

Un SSL Multi-Dominio (también llamado SAN — Nombre Alternativo del Sujeto, o UCC — Certificado de Comunicaciones Unificadas) cubre múltiples dominios distintos en un solo certificado. Es muy útil para agencias que gestionan varios sitios de clientes, o para empresas con múltiples dominios de marca. Un solo certificado puede cubrir tumarca.com, tumarca.es y tuotramarca.com.

SSL gratis frente a SSL de pago: ¿cuál es la diferencia?

La pregunta más común que escuchamos de los propietarios de sitios web: "¿Debería pagar por un certificado SSL o usar uno gratuito?" La respuesta sincera tiene sus matices, pero se inclina fuertemente hacia la opción gratuita para la mayoría de los casos de uso.

Let's Encrypt: La revolución del SSL gratuito

Let's Encrypt es una Autoridad de Certificación sin fines de lucro lanzada en 2016 con un solo objetivo: hacer que la web sea HTTPS por defecto ofreciendo certificados SSL gratuitos y completamente automatizados. Emite certificados DV en los que confían todos los principales navegadores y sistemas operativos. Para 2026, Let's Encrypt ha emitido miles de millones de certificados y provee HTTPS a una parte considerable de todo el internet.

Las características clave de Let's Encrypt y los certificados SSL gratuitos:

¿Cuándo deberías pagar por un certificado SSL?

Vale la pena considerar los certificados SSL de pago (de proveedores como DigiCert, Sectigo o GlobalSign) si:

Para sitios web personales, blogs, páginas de empresas e incluso para la mayoría de las tiendas en línea, el SSL gratuito a través de Let's Encrypt es completamente adecuado. El cifrado es idéntico. El candado se ve igual. No hay diferencias visibles para el usuario. Con el hosting web de Hosterlo, cada plan incluye AutoSSL gratuito impulsado por Let's Encrypt, el cual se instala automáticamente en cada dominio y subdominio de tu cuenta, sin necesidad de configuración manual.

Cómo comprobar si tu certificado SSL es válido

Antes de solucionar problemas o después de la instalación, querrás verificar que tu SSL funcione correctamente. Aquí tienes los métodos, desde la verificación rápida en el navegador hasta una auditoría técnica completa.

1. La verificación del candado en el navegador

La forma más rápida: abre tu sitio en Chrome, Firefox o Safari y mira la barra de direcciones. Un icono de candado (🔒) significa que la conexión está cifrada y el certificado es válido. Haz clic en el candado para ver los detalles: emisor del certificado, fecha de vencimiento y el dominio para el cual fue emitido.

Si ves "No es seguro", un candado roto o un triángulo de advertencia rojo, tu SSL falta, está vencido o está mal configurado.

2. Prueba de servidor completa en SSL Labs

Para una auditoría técnica profunda, visita ssllabs.com/ssltest/ e introduce tu dominio. La herramienta gratuita de SSL Labs califica la configuración de tu SSL de la A+ a la F y genera un informe sobre:

Apunta a una calificación de A o A+. La mayoría de los proveedores de hosting de calidad, incluyendo Hosterlo, configuran sus servidores para lograr una A o A+ de manera predeterminada.

3. Comprobación de la fecha de vencimiento

En Chrome, haz clic en el candado → "La conexión es segura" → "El certificado es válido". El campo "Válido hasta" muestra la fecha de vencimiento. En la línea de comandos, puedes usar: 

openssl s_client -connect tudominio.com:443 -servername tudominio.com 2>/dev/null | openssl x509 -noout -dates

4. Advertencias de contenido mixto

Después de migrar a HTTPS, algunos sitios sufren de contenido mixto (mixed content): la página se carga a través de HTTPS, pero algunos recursos (imágenes, scripts, hojas de estilo) todavía se referencian mediante URLs HTTP. La consola de DevTools de Chrome (F12) marcará estas alertas como advertencias de "Contenido mixto". Utiliza una herramienta como Why No Padlock? (whynopadlock.com) para escanear tu sitio en busca de problemas de contenido mixto.

Cómo instalar un certificado SSL gratuito a través de cPanel

La mayoría de las cuentas de hosting compartido utilizan cPanel, y cPanel facilita la instalación de SSL con su función integrada AutoSSL. Aquí te explicamos exactamente cómo hacerlo.

Paso a paso: AutoSSL a través de cPanel

  1. Inicia sesión en tu panel de cPanel (normalmente en tudominio.com/cpanel o a través de tu portal de hosting).
  2. Desplázate hasta la sección Seguridad y haz clic en "SSL/TLS Status" (Estado de SSL/TLS).
  3. Verás una lista de todos los dominios y subdominios de tu cuenta. Cualquiera con un icono amarillo o rojo aún no tiene un SSL válido.
  4. Selecciona los dominios que deseas asegurar (o haz clic en "Select All") y pulsa en "Run AutoSSL".
  5. cPanel se conectará con Let's Encrypt, completará el desafío de validación del dominio e instalará el certificado de forma automática. Esto suele tardar entre 1 y 5 minutos.
  6. Actualiza la página de Estado de SSL/TLS; ahora deberías ver iconos de candados verdes junto a tus dominios.

AutoSSL también está configurado para renovar automáticamente los certificados antes de que caduquen. No necesitas hacer nada manualmente en el futuro. En Hosterlo, AutoSSL está preconfigurado en cada cuenta y se aplica a todos los dominios y subdominios automáticamente, incluidos los nuevos que agregues más adelante. Eso es parte de lo que hace que los planes de hosting compartido de Hosterlo sean verdaderamente libres de preocupaciones.

🔁 Consejo pro: Si AutoSSL falla para un subdominio, la razón más común es que el DNS de dicho subdominio aún no se ha propagado por completo. Espera 24 horas después de crear el registro DNS y vuelve a ejecutar AutoSSL.

Cómo forzar HTTPS en tu sitio web

Tener un certificado SSL instalado es solo la mitad del trabajo. También debes asegurarte de que todo el tráfico se redirija automáticamente de HTTP a HTTPS, de modo que incluso si alguien escribe http://tudominio.com, aterrice en la versión segura. Aquí tienes los métodos principales.

Método 1: Redirección .htaccess (Servidores Apache)

Para el alojamiento basado en Apache (el tipo más común), añade las siguientes reglas a tu archivo .htaccess en tu directorio raíz público: 

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Esto emite una redirección permanente 301 de cualquier solicitud HTTP a su equivalente HTTPS, conservando la ruta completa de la URL y la cadena de consulta. El parámetro R=301 es importante: indica a los motores de búsqueda que se trata de un traslado permanente, transmitiendo el valor del enlace (PageRank) a las URLs de HTTPS.

Método 2: Configuración de URL en WordPress

En WordPress, ve a Ajustes → General y actualiza los campos "Dirección de WordPress (URL)" y "Dirección del sitio (URL)" de http:// a https://. Guarda los cambios. Esto asegura que WordPress genere todos los enlaces internos usando HTTPS.

Método 3: Interruptor de "Forzar redirección HTTPS" en cPanel

Las versiones modernas de cPanel incluyen un interruptor muy práctico. Ve a Dominios → "Dominios" (el gestor de dominios, no el de SSL/TLS), busca tu dominio en la lista y activa el interruptor "Forzar redirección HTTPS". Esto hace lo mismo que una redirección en el archivo .htaccess pero gestionado de forma visual.

Método 4: Configuración de HTTPS en Cloudflare

Si tu sitio utiliza Cloudflare como proxy, puedes forzar HTTPS desde el panel de control de Cloudflare. Ve a SSL/TLS → Certificados perimetrales y activa:

Errores comunes de SSL y cómo solucionarlos

Los errores de SSL pueden ser confusos y alarmantes para los visitantes. Aquí tienes los más comunes y qué hacer exactamente cuando te encuentres con ellos.

ERR_SSL_PROTOCOL_ERROR

Causa: Incompatibilidad entre las versiones de TLS soportadas por tu servidor y el navegador del visitante, o un error de configuración de SSL en el servidor.
Solución: Verifica que tu servidor sea compatible con TLS 1.2 y TLS 1.3. Desactiva TLS 1.0 y 1.1. Si el error ocurre solo en el lado del cliente, pídele al visitante que actualice su navegador o sistema operativo. Para problemas del lado del servidor, contacta a tu proveedor de hosting.

Advertencia de contenido mixto (Mixed Content)

Causa: La página se sirve a través de HTTPS, pero algunos recursos (imágenes, scripts, iframes) se cargan a través de HTTP.
Solución: Actualiza todos los enlaces internos para usar HTTPS. En WordPress, utiliza un plugin como Really Simple SSL o realiza una búsqueda y reemplazo en la base de datos para convertir todas las instancias de http://tudominio.com a https://tudominio.com.

Error de certificado caducado (Certificate Expired)

Causa: Tu certificado SSL ha superado su período de validez. Los navegadores se niegan a confiar en certificados caducados.
Solución: Renueva o vuelve a emitir el certificado inmediatamente. Si estás con un proveedor de hosting que utiliza AutoSSL y aun así caducó, es probable que la renovación automática haya fallado debido a un problema de propagación de DNS o a un servidor temporalmente inaccesible; contacta al equipo de soporte.

Discrepancia en el nombre del certificado SSL (ERR_CERT_COMMON_NAME_INVALID)

Causa: El dominio en el certificado no coincide con el dominio que estás visitando. Por ejemplo, el certificado se emitió para www.tudominio.com pero estás visitando tudominio.com (o viceversa), o el certificado cubre un dominio completamente diferente.
Solución: Vuelve a emitir el certificado para que cubra tanto la versión con www como la versión sin www de tu dominio. La mayoría de las implementaciones de AutoSSL manejan esto automáticamente.

Cadena de certificación incompleta (NET::ERR_CERT_AUTHORITY_INVALID)

Causa: El certificado o los certificados intermedios que vinculan tu certificado con una CA raíz de confianza no se instalaron en el servidor.
Solución: Vuelve a instalar el certificado asegurándote de incluir la cadena completa (certificado + intermedio + paquete raíz). La mayoría de los paneles de control de hosting gestionan esto de forma automática, pero si lo estás instalando manualmente a través de WHM, asegúrate de pegar el paquete de la CA (CA Bundle).

SSL para sitios web de WordPress

WordPress tiene sus propias particularidades al migrar a HTTPS que van más allá de instalar un certificado y añadir una redirección .htaccess. Aquí tienes el proceso completo de configuración de SSL en WordPress.

Paso 1: Instalar y activar AutoSSL (a través del hosting)

Antes de configurar WordPress, asegúrate de que tu certificado SSL esté instalado a nivel de servidor a través de cPanel AutoSSL (como se describió anteriormente). No realices cambios en WordPress hasta que confirmes que el certificado es válido en tu navegador.

Paso 2: Actualizar la dirección de WordPress y del sitio

En tu panel de administración de WordPress, ve a Ajustes → General. Actualiza ambas URLs para que utilicen https://. Esto cambia lo que WordPress considera su dirección principal. Alternativamente, añade estas líneas a tu archivo wp-config.php justo antes del comentario "¡Eso es todo, deja de editar!": 

define('WP_HOME', 'https://tudominio.com');
define('WP_SITEURL', 'https://tudominio.com');

Paso 3: Actualizar la base de datos: Buscar y reemplazar de HTTP a HTTPS

WordPress guarda las URLs completas en su base de datos para entradas, páginas y archivos multimedia. Después de actualizar la URL del sitio, los enlaces antiguos con http:// seguirán existiendo en el contenido de las entradas, la configuración del tema y los datos de los plugins. La mejor solución es realizar una búsqueda y reemplazo en la base de datos utilizando WP-CLI: 

wp search-replace 'http://tudominio.com' 'https://tudominio.com' --skip-columns=guid

Si no tienes acceso a WP-CLI, el plugin Better Search Replace hace lo mismo desde la interfaz de administración de WordPress. Recuerda hacer siempre una copia de seguridad completa de tu base de datos antes de realizar un buscar y reemplazar.

Paso 4: El plugin Really Simple SSL

Really Simple SSL es un plugin de WordPress de gran confianza que gestiona las partes más pesadas de la migración a HTTPS de forma automática: detecta tu certificado SSL, actualiza la URL de tu sitio y corrige el contenido mixto mediante un corrector de JavaScript para cualquier recurso HTTP que no pueda actualizar de forma directa. Para sitios web de WordPress sencillos, a menudo es el camino de migración más rápido y seguro. Con el hosting WordPress de Hosterlo, el SSL viene preinstalado y normalmente puedes saltar directamente a este paso.

Paso 5: Verificar y vaciar cachés

Después de la migración, limpia todas las cachés: la caché del servidor de hosting, la del plugin de caché de WordPress (WP Rocket, W3 Total Cache, LiteSpeed Cache), la del navegador y la de tu CDN. A continuación, verifique que tu sitio cargue correctamente bajo HTTPS, compruebe que no haya contenido mixto en Chrome DevTools y actualice tu propiedad en Google Search Console para utilizar la versión HTTPS de tu sitio.

HTTPS, HSTS y encabezados de seguridad

HTTPS es fundamental, pero es solo el comienzo de una estrategia de seguridad web completa. Dos capas adicionales que todo propietario de un sitio web debe comprender son HSTS y los encabezados de seguridad.

¿Qué es HSTS?

HTTP Strict Transport Security (HSTS) (Seguridad de Transporte Estricta HTTP) es un mecanismo de política de seguridad web que indica a los navegadores: "A este sitio web solo se debe acceder a través de HTTPS, incluso si alguien escribe HTTP". Una vez que un navegador recibe un encabezado HSTS, convertirá automáticamente cualquier solicitud HTTP futura en HTTPS durante el tiempo especificado, sin siquiera realizar una solicitud HTTP previa al servidor.

Esto es crucial porque elimina una vulnerabilidad: si un usuario está en una red Wi-Fi pública y visita tu sitio por primera vez a través de HTTP antes de que se active la redirección, un atacante intermediario (man-in-the-middle) podría interceptar esa solicitud HTTP inicial. HSTS evita esto haciendo que el navegador se conecte directamente por HTTPS.

Añade HSTS mediante un encabezado de respuesta HTTP (a través de .htaccess o la configuración de Nginx): 

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

El parámetro max-age=31536000 establece una política HSTS de un año. includeSubDomains la extiende a todos los subdominios. preload te permite enviar tu dominio a la lista de precarga HSTS de los navegadores (hstspreload.org), lo que significa que los navegadores forzarán HTTPS en tu dominio incluso en la primera visita, sin necesidad de ver primero un encabezado HSTS.

⚠️ Antes de activar la precarga HSTS: Asegúrate de que cada subdominio de tu dominio sirve un HTTPS válido. Una vez enviado a la lista de precarga, la eliminación del dominio puede tardar meses. Un HTTPS roto en cualquier subdominio hará que dichos subdominios queden completamente inaccesibles.

Política de Seguridad de Contenido (CSP)

El encabezado Content-Security-Policy (CSP) le dice al navegador qué fuentes de contenido son confiables y tienen permitido cargarse en tu página. Es una herramienta potente para prevenir ataques de inyección de scripts (XSS), donde scripts maliciosos inyectados en tu sitio intentan ejecutarse en los navegadores de los visitantes. Un encabezado CSP básico se ve así: 

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.tailwindcss.com; img-src 'self' data: https:;

CSP es complejo de configurar correctamente (especialmente en sitios con muchas integraciones de terceros), pero incluso una política básica aporta una protección importante. Empieza en modo de "solo informe" (Content-Security-Policy-Report-Only) para ver qué se bloquearía sin llegar a bloquear nada, y luego ve ajustando las reglas.

Otros encabezados de seguridad importantes

Seguridad del correo electrónico y SSL

Cuando los propietarios de negocios aprenden sobre los certificados SSL por primera vez, a veces asumen que tener uno significa que su correo electrónico también está seguro. El SSL en tu sitio web (puerto 443 / HTTPS) es independiente de los protocolos de seguridad del correo electrónico, pero están relacionados y vale la pena entenderlos juntos.

TLS para correo electrónico: STARTTLS y SSL/TLS en puertos de correo

Los servidores de correo electrónico modernos transmiten mensajes utilizando el cifrado TLS, configurado en los puertos 587 (SMTP con STARTTLS), 993 (IMAPS) y 995 (POP3S). Cuando configuras el correo electrónico en tu cuenta de hosting de Hosterlo, estos puertos ya están protegidos por TLS utilizando el certificado SSL de tu dominio. Esto cifra los datos del correo electrónico en tránsito entre servidores.

SPF, DKIM, DMARC: Autenticación frente a cifrado

Mientras que el SSL cifra la conexión, SPF, DKIM y DMARC son protocolos de autenticación de correo electrónico basados en DNS que evitan la suplantación de identidad (spoofing) y el phishing:

Configurar estos tres protocolos es esencial para la entregabilidad del correo en 2026. Tanto Google como Microsoft exigen ahora SPF y DKIM para los remitentes de gran volumen, y una política de DMARC adecuada se está convirtiendo rápidamente en un requisito básico. Estos registros se establecen en la zona DNS de tu registro de dominio; puedes comprobarlos y verificarlos rápidamente utilizando herramientas gratuitas de búsqueda de DMARC y auditoría de seguridad de correo electrónico.

¿Viene un dominio gratuito con SSL gratuito en Hosterlo?

Sí, y la respuesta es sencilla: cada plan de hosting anual en Hosterlo viene con un nombre de dominio .com gratuito y certificados SSL gratuitos para cada dominio y subdominio de tu cuenta. Esto es lo que significa en la práctica:

Si estás creando un sitio nuevo o migrando uno existente, esta es una preocupación menos de la que ocuparte. Nuestro Kit de Crecimiento Web gratuito (incluido en cada plan anual) también incorpora herramientas adicionales para ayudarte a expandir tu presencia online más allá del simple hosting.

Combinado con la garantía de compromiso de tiempo de actividad del 99.9% de Hosterlo, nuestra infraestructura global LightSpeed y el soporte humano 24/7, no hay motivo para retrasar el traslado de tu sitio a una plataforma rápida y segura. Explora nuestros planes de hosting compartido con precios que se adaptan a cualquier etapa de tu negocio.

Preguntas frecuentes sobre certificados SSL

¿Afecta el SSL a la velocidad del sitio web?

El SSL/TLS moderno tiene un impacto insignificante en la velocidad y, en la mayoría de los casos, de hecho hace que tu sitio web sea más rápido. He aquí el porqué: HTTPS es obligatorio para utilizar HTTP/2, que multiplexa varias solicitudes en una sola conexión, reduciendo drásticamente la latencia en comparación con el antiguo protocolo HTTP/1.1. Si a eso le sumamos el saludo de 1 RTT de TLS 1.3 (frente a los 2 de TLS 1.2) y la reanudación de sesión para visitantes recurrentes, cualquier sobrecarga debida al cifrado queda más que compensada por las mejoras de rendimiento. Las puntuaciones de Google PageSpeed y de Core Web Vitals mejoran constantemente cuando los sitios migran a HTTP/2, lo cual requiere HTTPS.

¿Con qué frecuencia se debe renovar el SSL de Let's Encrypt?

Los certificados de Let's Encrypt caducan cada 90 días. Esto puede parecer molesto, pero el protocolo ACME utilizado por Let's Encrypt hace que la renovación sea totalmente automática: los buenos proveedores de hosting configuran la renovación automática a través de AutoSSL o una tarea cron programada que renueva los certificados unos 30 días antes de su vencimiento. En Hosterlo, la renovación automática está configurada de fábrica. El periodo de validez de 90 días es intencionadamente corto: limita los daños si la clave privada de un certificado se ve comprometida, ya que la ventana de exposición se limita a tres meses en lugar de uno o dos años.

¿Qué pasa si mi certificado SSL caduca?

Si tu certificado SSL caduca, los navegadores mostrarán de inmediato un error de seguridad a pantalla completa a cada uno de tus visitantes, con un mensaje como "La conexión no es privada" y una advertencia roja. La mayoría de los visitantes se marcharán de inmediato en lugar de ignorar la advertencia, lo que significa que tu sitio queda prácticamente inaccesible. Por si fuera poco, Google puede desindexar o bajar la posición de las páginas que devuelvan errores de SSL. Y si tienes cualquier tipo de negocio, el daño a la reputación provocado por una advertencia de "sitio no seguro" es grave. Por eso es tan importante la renovación automática mediante AutoSSL: elimina por completo el error humano de la ecuación.

¿Ofrece Hosterlo SSL gratis en todos los planes?

Sí, por supuesto. Cada plan de hosting de Hosterlo, desde el hosting compartido básico hasta el hosting de negocios premium, incluye certificados SSL gratuitos respaldados por AutoSSL (Let's Encrypt). El SSL se instala automáticamente en tu dominio principal y en todos tus subdominios. No hay planes de SSL premium que adquirir, no hay cargos de SSL separados ni se requiere configuración manual. Los planes anuales también incluyen un dominio .com gratuito y el Kit de Crecimiento Web gratuito. El SSL está simplemente incluido, tal y como debería ser en 2026.

🔒 SSL Gratis Incluido en Todos los Planes

Obtén SSL Gratis + Dominio Gratis con Cada Plan de Hosting de Hosterlo

Olvídate de la configuración del SSL. Cada plan de Hosterlo incluye SSL automático en todos los dominios, un dominio .com gratuito y el Kit de Crecimiento Web gratuito, todo sobre una infraestructura LightSpeed ultrarrápida.

Comienza con SSL Gratis Hoy → Ver lo que Incluye Gratis

Sin trucos de tarjeta de crédito. SSL incluido. Cancela cuando quieras.

H
Equipo Editorial de Hosterlo
Publicado 3 de junio de 2026 · Seguridad Web
Más lecturas: Blog de Hosterlo