SSL gratuito en hosting: Let's Encrypt explicado sin tecnicismos
El HTTPS (ese "candado" en la barra de direcciones) parece complicado: certificados, cifrado, caducidades. Pero la realidad es más simple: Let's Encrypt lo automatiza todo, es completamente gratis, y está soportado por todos los hosting serios. Aquí está todo lo que necesitas saber para no caer en el mito de que hay que pagar por un certificado.
Qué es SSL/TLS y por qué tu web lo necesita
SSL (Secure Sockets Layer) es el nombre antiguo del protocolo que cifra la comunicación entre el navegador del usuario y tu servidor. Hoy se llama TLS (Transport Layer Security), pero la gente sigue diciendo "SSL" por costumbre.
En términos prácticos: sin HTTPS, cualquier persona en la misma red WiFi puede interceptar lo que escribes en tus formularios — contraseñas, direcciones, números de tarjeta. Con HTTPS, esos datos viajan cifrados. Los navegadores modernos (Chrome, Firefox, Safari, Edge) muestran "No es seguro" en rojo en cualquier página HTTP con un formulario.
Tres razones por las que HTTPS es obligatorio hoy:
- →Google lo exige para SEO: desde 2014 usa HTTPS como factor de ranking. Si tienes la misma página en HTTP y HTTPS sin redirigir, Google indexa ambas como duplicadas — eso daña tu posicionamiento.
- →Los navegadores lo fuerzan: Chrome muestra "No es seguro" en cualquier página HTTP. Los usuarios perciben tu web como insegura, aunque solo tengas un formulario de contacto.
- →Es gratis con Let's Encrypt: no hay excusa para no tenerlo. Tú no pagas nada, tu hosting lo configura automáticamente, y se renueva sin que hagas nada.
Qué es Let's Encrypt y por qué es gratis
Let's Encrypt es una autoridad certificadora (AC) sin ánimo de lucro operada por Internet Security Research Group (ISRG). Emite certificados SSL/TLS de forma automática, gratuita y de confianza global — todos los navegadores reconocen sus certificados como válidos.
¿Por qué es gratis si emitir certificados cuesta dinero? Porque su misión es asegurar todo el internet. Está financiado por donaciones de grandes empresas (Mozilla, Google, EFF, Cisco, etc.). No necesitan ganar dinero — necesitan que HTTPS sea universal, no un lujo.
El flujo es así: tú demuestras que controlas el dominio (respondiendo un desafío DNS o HTTP), Let's Encrypt emite un certificado válido por 90 días, y tu hosting configura un "renovador automático" que lo renueva cada 60 días sin que tú hagas nada. Es tan simple que ni siquiera lo notas.
Cómo funciona técnicamente (explicado simple)
No necesitas ser técnico, pero entender esto te ayuda a no caer en mitos de vendedores:
- 1.Tu hosting llama a Let's Encrypt: le dice "quiero un certificado para ejemplo.com". Let's Encrypt responde con un desafío — algo como "escribe este código en un archivo de tu web" o "añade este registro DNS".
- 2.Tu hosting demuestra control: escribe el archivo o actualiza el DNS. Let's Encrypt verifica que lo hizo. Así comprueba que realmente controlas el dominio (evita fraudes).
- 3.Let's Encrypt emite el certificado: en segundos tienes un certificado válido para HTTPS. Está instalado en tu servidor automáticamente.
- 4.Renovación automática: 30 días antes de caducar (recuerda: 90 días de validez), tu hosting repite el proceso sin que tú hagas nada. Es totalmente automático.
Tipos de certificados: DV, OV y EV — ¿cuál necesitas?
Los certificados se diferencian en cuánta verificación hace la autoridad certificadora antes de emitirlos:
| Tipo | Validación | Tiempo emisión | Coste | Nivel de cifrado |
|---|---|---|---|---|
| DV | Solo control del dominio | Minutos | 0€ (Let's Encrypt) | 256-bit (máximo) |
| OV | Dominio + empresa verificada | 1-3 días | 50-150€/año | 256-bit (mismo) |
| EV | Verificación exhaustiva | 1-2 semanas | 150-300€/año | 256-bit (mismo) |
La respuesta honesta: DV (Domain Validation, que es lo que Let's Encrypt emite) proporciona exactamente el mismo cifrado que OV y EV. La diferencia es únicamente en la verificación de identidad de la empresa — no en la seguridad del cifrado. Los navegadores modernos ya no muestran diferencias visuales entre tipos de certificados. El 95% de webs usan DV, incluyendo empresas grandes. OV y EV son legados del 2000 — nadie los necesita ya.
Cómo activar SSL automático en tu hosting
Los hosting modernos que recomendamos ya tienen Let's Encrypt configurado automáticamente. Pero aquí está cómo funciona en cada control panel:
En cPanel (SiteGround, Hostinger, Dinahosting, Raiola)
- 1.Ve al panel cPanel → AutoSSL (o "SSL/TLS Status")
- 2.Busca tu dominio — debería mostrar un certificado activo de Let's Encrypt
- 3.Si no aparece, haz clic en Install o Issue. cPanel pide automáticamente un certificado a Let's Encrypt
- 4.La renovación es automática: cPanel renueva 30 días antes de caducar. Nunca expira si el hosting sigue activo
En Plesk (Webempresa, IONOS, algunos hosting avanzados)
- 1.Ve a Certificados SSL/TLS en el panel
- 2.Busca Let's Encrypt (o "Free Certificate")
- 3.Haz clic en Obtener certificado gratuito — Plesk contacta con Let's Encrypt
- 4.Marca Renovación automática para que se renueve solo
En hosting cloud o gestionado (Cloudflare Pages, Vercel, Netlify)
No necesitas hacer nada. Let's Encrypt está completamente automatizado. Tu SSL está instalado y se renueva antes de expirar sin intervención.
Redirección HTTP → HTTPS: la parte que muchos olvidan
Tener SSL instalado no significa que toda tu web sea HTTPS. Si la redirección no está configurada, los usuarios pueden acceder a tu sitio por HTTP (inseguro), y los buscadores indexarían ambas versiones como contenido duplicado.
La solución: fuerza la redirección de HTTP a HTTPS. En cPanel, la mayoría de hosting lo hace automáticamente. Si no:
- →En WordPress: Ajustes → Generales. Asegúrate de que tanto la URL de WordPress como la URL del sitio empiezan con https://
- →En .htaccess (hosting Apache): añade estas líneas al inicio de .htaccess en la raíz de tu sitio:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] Si tu hosting usa Nginx (menos común en compartido), pide al soporte que lo configure — es una línea.
Problemas comunes: mixed content, caducidad y certificados rotos
Mixed content: "candado roto"
Ocurre cuando una página HTTPS carga recursos (imágenes, scripts, CSS) desde URLs HTTP. El navegador bloquea los recursos inseguros o muestra una advertencia.
Causas comunes:
- →URLs hardcodeadas en HTML o base de datos: si migraste de HTTP a HTTPS, las URLs antiguas siguen siendo http://. En WordPress usa el plugin Better Search Replace para cambiar todas de una vez.
- →Plugins o temas que cargan desde CDNs externos HTTP: actualiza los plugins o contacta al desarrollador.
- →Cómo detectarlo: abre tu web, presiona F12 (herramientas de desarrollo), ve a la pestaña Console. Si ves mensajes de "Mixed Content", esos son los recursos problemáticos.
Certificado expirado: acceso bloqueado completamente
Si un certificado expira, el navegador bloquea todo acceso a la web — no hay opción de "continuar de todos modos" para el usuario. Las ventas se detienen completamente.
Con Let's Encrypt en hosting bien configurado, la renovación es automática 30 días antes de caducar. Si usas un certificado SSL de pago manual, configura alarmas en el calendario — es responsabilidad tuya renovarlo.
Certificado para subdominios (wildcard)
Un certificado wildcard cubre el dominio principal y TODOS sus subdominios (*.tudominio.com). Let's Encrypt emite wildcards gratuitos, pero casi nunca necesitas uno en hosting compartido — el hosting lo gestiona automáticamente.
SSL gratis vs SSL de pago: cuándo merece la pena pagar
| Característica | Let's Encrypt (gratis) | SSL de pago (OV/EV) |
|---|---|---|
| Cifrado de datos | 256-bit (máximo estándar) | 256-bit (exactamente igual) |
| Confianza del navegador | 100% válido, todos los navegadores | 100% válido, todos los navegadores |
| Renovación | Automática cada 90 días | Manual cada año (tú lo renuevas) |
| Coste anual | 0€ | 50-300€ |
| Garantía de seguro | No (teórico, riesgo mínimo) | Sí (millones en caso de error) |
| ¿Lo necesitas? | Sí, casi siempre | Raramente (casos muy específicos) |
Cuándo SÍ tiene sentido pagar por un SSL: si operas en un sector regulado que requiere verificación de identidad (banca, gobierno), si necesitas un certificado wildcard para múltiples servidores con gestión manual, o si tu banco/procesador específico lo exige por contrato (rarísimo).
Para todo lo demás (blogs, tiendas online, webs corporativas, SaaS): Let's Encrypt es la opción correcta. Incluso Amazon, Google y Facebook usan Let's Encrypt.
Cómo verificar que tu SSL está bien configurado
Antes de considerar que tu web está segura, comprueba estos puntos:
- ✓SSL Labs (ssllabs.com/ssltest): herramienta de test profesional que analiza tu configuración SSL. Te da una nota (A+, A, B...). Deberías estar en A mínimo.
- ✓Redirige HTTP a HTTPS: escribe http://tudominio.com en el navegador. ¿Te redirige automáticamente a https://? Si no, tienes un problema SEO (contenido duplicado) y de seguridad.
- ✓Sin mixed content: abre tu web, presiona F12, ve a Console. Si no ves advertencias de "Mixed Content", estás bien.
- ✓Certificado no expirado: en el navegador, haz clic en el candado/icono de seguridad y mira la fecha de expiración. Con Let's Encrypt bien configurado, debería estar a casi 90 días de caducidad.
Hosting con SSL bien configurado
Todos los hosting que recomendamos incluyen Let's Encrypt automático con renovación incluida. Aquí está una comparativa rápida:
| Proveedor | Panel | SSL Let's Encrypt | Renovación automática |
|---|---|---|---|
| SiteGround | cPanel + AutoSSL | Sí, gratis | Automática |
| Hostinger | cPanel + AutoSSL | Sí, gratis | Automática |
| Webempresa | Plesk | Sí, gratis | Automática |
| Raiola Networks | cPanel + AutoSSL | Sí, gratis | Automática |
| IONOS | Plesk | Sí, gratis | Automática |
Si alguien te cobra extra por Let's Encrypt, es una señal de alerta. Todos estos hosting incluyen renovación automática de SSL en el plan base — no deberías pagar nada adicional.
¿Necesitas elegir hosting con SSL bien configurado?
Nuestra herramienta te recomienda qué hosting tiene la mejor configuración de seguridad y automatización de SSL para tu tipo de web.
Encontrar mi hosting ideal →Preguntas frecuentes sobre SSL gratuito
¿Let's Encrypt es tan seguro como un SSL de pago? +
Sí, completamente. El cifrado es idéntico — ambos usan algoritmos de 256-bit (RSA/ECDSA). La única diferencia es la verificación de identidad: Let's Encrypt verifica que controlas el dominio, un SSL de pago OV verifica además que la empresa existe. Para cifrado de datos, son equivalentes al 100%.
¿Por qué los navegadores ya no muestran el "candado verde"? +
Google cambió el indicador en 2023 para no confundir "conexión cifrada" (lo que HTTPS proporciona) con "sitio legítimo y seguro" (que es responsabilidad del usuario verificar). Ahora muestran un icono neutro. Lo importante: Chrome sigue mostrando "No es seguro" en rojo en páginas HTTP — eso sí penaliza.
¿Qué pasa si se caduca mi certificado? +
Los navegadores bloquean completamente el acceso a tu web — es un error que no se puede ignorar. Tus usuarios no pueden acceder. Por eso Let's Encrypt es tan importante: se renueva automáticamente 30 días antes de caducar, así nunca falla si tu hosting sigue activo.
¿Necesito SSL si no tengo formularios? +
Sí. Google usa HTTPS como factor de ranking desde 2014. Si no tienes SSL, pierdes posicionamiento comparado con competencia que sí lo tiene. Además, Chrome marca todas las páginas HTTP como "No es seguro" — los usuarios perciben tu web como insegura aunque sea solo un blog.
¿Puedo instalar Let's Encrypt en cualquier hosting? +
En cualquier hosting moderno con cPanel o Plesk, sí — es tan simple como un clic. En hosting muy básico sin panel o VPS en Linux crudo, necesitas conocimientos técnicos o contratar a un técnico. Todos los hosting que recomendamos en esta guía lo incluyen automáticamente.
¿Cómo sé si mi SSL está correctamente instalado? +
Prueba con SSL Labs (ssllabs.com/ssltest) — es la herramienta estándar profesional. Copia tu dominio, ejecuta el test, y mira tu nota (A+ o A es perfecto). También verifica que http:// redirige a https:// y que en la consola del navegador (F12) no ves avisos de Mixed Content.
Lectura relacionada: para una visión más completa sobre seguridad en hosting, lee también mejor hosting en España, donde comparamos seguridad entre proveedores. Si estás configurando una tienda online, no pierdas SSL para tiendas online. Y si necesitas instalar el certificado manualmente, tenemos una guía paso a paso de instalación.