SSL para tiendas online: más allá del candado verde
El candado verde (ahora un icono neutro en los navegadores modernos) es la parte visible. Por debajo hay un estándar de seguridad que afecta a si puedes cobrar, a cómo te ve Google, y a si un cliente decide darte su número de tarjeta o no. Aquí está todo lo que necesitas saber.
Qué es SSL y por qué el SEO es el motivo menos importante
SSL (Secure Sockets Layer) — técnicamente TLS en sus versiones modernas — es el protocolo que cifra la comunicación entre el navegador del usuario y tu servidor. Cuando un cliente escribe su nombre, dirección y número de tarjeta en tu tienda, esos datos viajan cifrados. Sin SSL, viajan en texto plano, legibles para cualquiera que intercepte la conexión en la red.
El SEO es el argumento que más se repite para justificar SSL, y es válido: Google empezó a usar HTTPS como señal de ranking en 2014. Pero para una tienda online, hay tres razones más urgentes:
- →Las pasarelas de pago lo exigen: Stripe, PayPal, Redsys y cualquier procesador de pagos serio rechaza operar en páginas sin HTTPS. Sin SSL no puedes cobrar. Punto.
- →Los navegadores penalizan sin SSL: Chrome, Firefox y Safari muestran advertencias activas en páginas HTTP con formularios. El texto "No es seguro" en la barra de direcciones destruye la confianza del comprador en el momento crítico del checkout.
- →PCI DSS lo requiere por ley: si procesas pagos con tarjeta, el estándar PCI DSS (Payment Card Industry Data Security Standard) exige HTTPS con TLS 1.2 o superior. El incumplimiento puede resultar en multas y pérdida del acceso a procesadores de pago.
PCI DSS: el estándar que obliga a todo ecommerce
El PCI DSS no es opcional si aceptas tarjetas. Es un conjunto de requisitos técnicos y operativos establecidos por Visa, Mastercard, American Express y otras redes de pago. Está gestionado por el PCI Security Standards Council.
El requisito de encriptación (Requisito 4.2 del estándar) exige cifrado en tránsito para los datos del titular de la tarjeta — es decir, SSL/TLS en toda la ruta de pago. TLS 1.0 y 1.1 están prohibidos desde 2018; se requiere TLS 1.2 mínimo (TLS 1.3 recomendado).
La buena noticia: si usas Stripe, Redsys o PayPal como procesador, ellos se encargan de la mayoría del cumplimiento PCI. Tu responsabilidad es garantizar que la conexión a tu tienda es segura (HTTPS) y que no almacenas datos de tarjeta en tu propio servidor. Un Let's Encrypt bien configurado cubre este requisito perfectamente.
Tipos de certificados SSL: DV, OV y EV
No todos los certificados SSL son iguales. Se diferencian en el nivel de validación que realiza la autoridad certificadora antes de emitirlo:
| Tipo | Validación | Tiempo emisión | Coste anual | Para quién |
|---|---|---|---|---|
| DV | Solo control del dominio | Minutos | 0€ (Let's Encrypt) | La mayoría de tiendas |
| OV | Dominio + empresa real verificada | 1-3 días | 50-200€ | Empresas B2B o institucionales |
| EV | Verificación exhaustiva de la empresa | 1-2 semanas | 150-500€ | Bancos, grandes corporaciones |
La respuesta honesta para el 95% de tiendas online: DV (Domain Validation) es suficiente. Proporciona el mismo nivel de cifrado que OV y EV. La diferencia es únicamente el nivel de verificación de identidad de la empresa, no la fortaleza del cifrado. Los navegadores modernos ya no muestran el nombre de la empresa ni barra verde para EV — esa diferenciación visual desapareció. El usuario ve el candado sin importar el tipo de certificado.
Let's Encrypt: por qué es la opción correcta para ecommerce
Let's Encrypt es una autoridad certificadora gratuita, automática y de confianza global, operada como servicio público. Emite certificados DV con validez de 90 días y los renueva automáticamente. Es confiado por todos los navegadores modernos y por todos los procesadores de pago.
El argumento para pagar por un certificado SSL en 2026 es muy débil para una tienda online estándar. Los certificados de pago de sectores como DigiCert o Comodo ofrecen garantías de seguro en caso de error de emisión — pero ese riesgo es prácticamente teórico para pequeñas y medianas tiendas.
Cuándo sí tiene sentido un SSL de pago: si necesitas un certificado wildcard con OV (para empresa verificada en múltiples subdominios), si tu banco o procesador específico lo requiere por contrato, o si operas en un sector regulado que exige identidad verificada. Para el resto de casos, Let's Encrypt es la respuesta correcta.
Cómo verificar que tu tienda tiene SSL correcto
Tener SSL instalado no garantiza que esté funcionando correctamente. Estos son los puntos que debes verificar:
- →SSL Labs (ssllabs.com/ssltest/): la herramienta más completa para analizar tu configuración SSL. Muestra la versión TLS, los cipher suites soportados, si hay vulnerabilidades conocidas y una nota global (A+, A, B...). Una tienda online debería estar en A mínimo.
- →Redirección HTTPS forzada: comprueba que tu tienda redirige automáticamente de HTTP a HTTPS. Escribe http:// antes de tu dominio en el navegador y verifica que redirige a https://. Si no lo hace, tienes tráfico posiblemente inseguro y un problema de SEO (contenido duplicado).
- →HSTS activado: HTTP Strict Transport Security le dice al navegador que nunca se conecte por HTTP a tu dominio. La mayoría de hosting lo configura automáticamente, pero verifica en las cabeceras de respuesta.
- →Fecha de expiración: un Let's Encrypt bien configurado renueva automáticamente antes de los 90 días. Si el certificado expiró, el navegador bloquea el acceso a la tienda completamente — no hay opción de ignorar el error para el usuario.
Contenido mixto: el fallo silencioso que rompe el candado
El contenido mixto ocurre cuando una página HTTPS carga recursos (imágenes, scripts, CSS, fuentes) desde URLs con HTTP. El resultado: el navegador muestra el candado roto o directamente bloquea el recurso. En ecommerce esto puede significar imágenes de producto que no cargan o scripts de pago que se bloquean.
Las causas más comunes en WooCommerce y PrestaShop:
- →URLs hardcodeadas en base de datos: si migraste de HTTP a HTTPS sin hacer un search and replace en la base de datos, todas las URLs antiguas siguen siendo HTTP. Usa el plugin Better Search Replace o WP-CLI para hacer el reemplazo masivo.
- →Plugins con recursos externos HTTP: algunos plugins cargan scripts o fuentes desde CDNs externos usando HTTP. Actualiza los plugins y si el problema persiste, reporta al desarrollador.
- →Cómo detectarlo: abre las herramientas de desarrollo del navegador (F12), ve a la pestaña Console y busca advertencias de "Mixed Content". También puedes usar la herramienta Why No Padlock (whynopadlock.com) para un análisis rápido.
SSL y pasarelas de pago: lo que exige cada una
Las tres pasarelas de pago más usadas en España tienen requisitos SSL claros:
| Pasarela | Requisito SSL | Let's Encrypt válido | Notas |
|---|---|---|---|
| Stripe | HTTPS + TLS 1.2+ | Sí | El formulario de pago puede ser externo (hosted) |
| Redsys (TPV virtual) | HTTPS + TLS 1.2+ | Sí | Redirección al banco para el pago — SSL propio del banco |
| PayPal | HTTPS en la tienda | Sí | Pago en PayPal.com — SSL de PayPal gestiona el cobro |
| Bizum (Redsys) | HTTPS + TLS 1.2+ | Sí | Integrado vía Redsys — mismos requisitos |
La conclusión práctica: Let's Encrypt cumple los requisitos de todas las pasarelas de pago relevantes para tiendas online españolas. No hay ninguna razón técnica o contractual para pagar por un certificado SSL si usas Stripe, Redsys, PayPal o Bizum.
Hosting con SSL gratuito incluido: la comparativa
Todos los proveedores serios incluyen Let's Encrypt gratuito con renovación automática. Estos son los que recomendamos para ecommerce en España:
| Proveedor | Plan para tienda | Precio 1er año | SSL | Renovación auto |
|---|---|---|---|---|
| Hostinger | Business | 3,99€/mes | Let's Encrypt gratis | Sí |
| SiteGround | StartUp | 2,99€/mes | Let's Encrypt gratis | Sí |
| Webempresa | Profesional | 6,95€/mes | Let's Encrypt gratis | Sí |
| Raiola Networks | Plan B | 6,90€/mes | Let's Encrypt gratis | Sí |
| IONOS | Business | 1€/mes | Let's Encrypt gratis | Sí |
| Dinahosting | Plan Medio | 7,95€/mes | Let's Encrypt gratis | Sí |
Si algún hosting te cobra extra por el SSL en 2026, es una señal de alerta. No deberías pagar por Let's Encrypt en ningún proveedor competitivo. Para una comparativa completa con más criterios, visita mejor hosting para tienda online. Y si quieres saber qué más afecta al rendimiento de tu tienda, lee sobre velocidad y conversiones en ecommerce.
Wildcard SSL: cuándo lo necesitas
Un certificado wildcard cubre el dominio principal y todos sus subdominios (*.tutienda.com). Útil si tienes tienda.tudominio.com y blog.tudominio.com como subdominios separados, o si usas un subdominio para staging.
Let's Encrypt emite certificados wildcard gratuitos, pero la mayoría de hosting los gestiona automáticamente. En SiteGround, Hostinger y Raiola, el SSL cubre automáticamente el dominio y sus subdominios estándar sin configuración adicional. Si tienes una configuración más compleja con subdominios en distintos servidores, entonces sí necesitas un wildcard explícito.
¿Tu tienda tiene el SSL configurado correctamente?
Si estás eligiendo hosting para una tienda nueva, nuestra herramienta te recomienda el plan con mejor configuración SSL y seguridad para ecommerce. Sin tecnicismos.
Encontrar mi hosting ideal →Preguntas frecuentes sobre SSL para tiendas online
¿Let's Encrypt es tan seguro como un SSL de pago? +
Sí. El nivel de cifrado es idéntico — ambos usan los mismos algoritmos criptográficos (RSA/ECDSA con SHA-256). La diferencia no está en la seguridad del cifrado sino en el nivel de verificación de identidad. Let's Encrypt verifica que controlas el dominio (DV). Un SSL de pago OV o EV verifica además que la empresa existe. Para el cifrado de datos en tránsito, ambos son equivalentes.
¿Por qué Chrome ya no muestra el candado verde? +
Google cambió el indicador en 2023 porque el candado verde daba una falsa sensación de que el sitio era "seguro" en el sentido de ser legítimo, cuando solo indica que la conexión es cifrada. Ahora muestra un icono neutro. Las páginas sin SSL siguen mostrando "No es seguro". Para el usuario, el comportamiento práctico es el mismo: sin HTTPS, hay advertencia activa.
¿Puedo instalar SSL gratuito en cualquier hosting? +
En cualquier hosting moderno con acceso a cPanel, Plesk o panel propio, sí. En hostings muy básicos o de bajo coste sin soporte para certificados, puede ser más complicado. Todos los proveedores que recomendamos en esta guía incluyen Let's Encrypt con instalación automática — no tienes que hacer nada manual.
¿Qué pasa si caduca el SSL de mi tienda? +
Los navegadores bloquean el acceso completamente con una pantalla de error que el usuario no puede ignorar fácilmente. Tus ventas se detienen hasta que renuevas el certificado. Con Let's Encrypt en un hosting bien configurado, la renovación es automática 30 días antes de la caducidad — no debería ocurrir nunca. Si tienes un SSL de pago manual, configura alertas en el calendario para renovarlo.
¿El SSL afecta al SEO de mi tienda? +
Sí, directamente. Google usa HTTPS como señal de ranking desde 2014. Además, si tienes versiones HTTP y HTTPS de tu tienda sin redirección forzada, Google puede indexar ambas como contenido duplicado, diluyendo la autoridad de tus páginas. La redirección 301 de HTTP a HTTPS es obligatoria para el SEO y está incluida en la configuración de cualquier hosting recomendado aquí.