01.11.2024

Administración

Seguridad

Cómo cambiar tu sitio web a HTTPS: Una guía completa paso a paso

Cambiar tu sitio web de HTTP a HTTPS ya no es opcional — es un requisito fundamental para cualquier sitio web moderno. HTTPS (Protocolo de Transferencia de Hipertexto Seguro) cifra los datos intercambiados entre tu servidor y los navegadores de tus visitantes, protegiendo la información sensible de la interceptación, manipulación y escuchas. Más allá de la seguridad, HTTPS influye directamente en tu clasificación en búsquedas de Google, indicadores de confianza del navegador y tasas de conversión de usuarios. Si tu sitio aún funciona con HTTP simple, estás perdiendo activamente tráfico, confianza e ingresos.

Esta guía completa te guía a través de cada paso necesario para migrar tu sitio web a HTTPS correctamente, desde obtener un certificado SSL hasta validar tu configuración final.

Por qué cambiar a HTTPS es importante

Antes de profundizar en los pasos técnicos, vale la pena entender exactamente qué está en juego:

Seguridad: HTTPS utiliza cifrado SSL/TLS para proteger los datos en tránsito, incluidas credenciales de inicio de sesión, detalles de pago e información personal.
Señales de clasificación SEO: Google ha confirmado HTTPS como factor de clasificación desde 2014. Los sitios sin él son penalizados en los resultados de búsqueda.
Advertencias del navegador: Chrome, Firefox y Edge marcan activamente los sitios HTTP como “No seguro”, lo que ahuyenta a los visitantes de inmediato.
Confianza del usuario: El icono de candado en la barra de direcciones es una señal de confianza reconocida que impacta directamente las tasas de conversión.
Integridad de datos: HTTPS evita la inyección de terceros de anuncios, malware o scripts de seguimiento en tus páginas.

Paso 1: Entender cómo funciona HTTPS

HTTPS es una extensión de HTTP que envuelve toda la comunicación en una capa de cifrado SSL/TLS (Capa de Sockets Seguros / Seguridad de la Capa de Transporte). Cuando un visitante se conecta a tu sitio, su navegador y tu servidor realizan un “apretón de manos TLS” para establecer una sesión cifrada. Este proceso se basa en un certificado SSL digital emitido por una Autoridad de Certificación (CA) de confianza.

El certificado SSL sirve dos propósitos:

Habilita el cifrado de datos en tránsito.
Verifica la identidad de tu servidor, confirmando a los visitantes que se están comunicando con el sitio web legítimo.

Paso 2: Obtener un certificado SSL

No puedes habilitar HTTPS sin un certificado SSL válido. Hay varios tipos y fuentes a considerar según tus necesidades y presupuesto.

Certificados SSL gratuitos

Let’s Encrypt es la Autoridad de Certificación gratuita más utilizada en el mundo. Emite certificados de Validación de Dominio (DV) que son confiables por todos los navegadores principales y pueden renovarse automáticamente cada 90 días. La mayoría de los paneles de control de alojamiento soportan Let’s Encrypt de forma nativa.

ZeroSSL es otra CA gratuita que ofrece una interfaz simple basada en web para emitir certificados DV, lo que la convierte en una alternativa sólida a Let’s Encrypt.

Certificados SSL pagos

Para empresas que requieren niveles de validación más altos — como certificados de Validación de Organización (OV) o Validación Extendida (EV) — un certificado SSL pagado es la opción apropiada. Los certificados EV muestran el nombre de tu organización en la barra del navegador y son comúnmente utilizados por sitios de comercio electrónico, instituciones financieras y empresas que manejan datos sensibles.

AlexHost ofrece una variedad de Certificados SSL adecuados para sitios personales, sitios comerciales y plataformas de comercio electrónico de alto tráfico. Comprar tu certificado SSL a través de tu proveedor de alojamiento simplifica significativamente la instalación y la gestión de renovaciones.

Paso 3: Instalar el certificado SSL

El proceso de instalación depende de tu entorno de alojamiento. A continuación se encuentran instrucciones detalladas para las configuraciones más comunes.

3.1 Instalación a través de cPanel

Si tu cuenta de alojamiento utiliza cPanel, la instalación de SSL es sencilla:

Inicia sesión en cPanel — Accede a tu panel de control de alojamiento en yourdomain.com/cpanel o a través de tu panel de alojamiento.
Navega a SSL/TLS — Encuentra la sección SSL/TLS en la categoría Seguridad.
Instala el certificado — Haz clic en “Administrar sitios SSL”, selecciona tu dominio y pega tus archivos de certificado, clave privada y paquete CA.
Guarda y verifica — Después de guardar, abre tu navegador y navega a https://yourdomain.com para confirmar que aparece el candado.

Si buscas un entorno de alojamiento con cPanel preconfigurado, AlexHost proporciona planes de VPS con cPanel que agilizan la gestión de SSL junto con control total del servidor.

3.2 Instalación en Apache (Configuración manual del servidor)

Si administras un servidor Linux directamente, sigue estos pasos para instalar tu certificado SSL en Apache:

Paso 1 — Copia los archivos de certificado a tu servidor:

sudo mkdir -p /etc/ssl/yourdomain
sudo cp your_certificate.crt /etc/ssl/yourdomain/
sudo cp your_private.key /etc/ssl/yourdomain/
sudo cp your_ca_bundle.crt /etc/ssl/yourdomain/

Paso 2 — Edita la configuración del host virtual de Apache:

Abre el archivo de configuración relevante, típicamente ubicado en /etc/apache2/sites-available/yourdomain.conf (Debian/Ubuntu) o /etc/httpd/conf.d/yourdomain.conf (CentOS/RHEL):

sudo nano /etc/apache2/sites-available/yourdomain.conf

Paso 3 — Añade el bloque de host virtual HTTPS:

<VirtualHost *:443>
    ServerName yourdomain.com
    ServerAlias www.yourdomain.com
    DocumentRoot /var/www/yourdomain

    SSLEngine on
    SSLCertificateFile      /etc/ssl/yourdomain/your_certificate.crt
    SSLCertificateKeyFile   /etc/ssl/yourdomain/your_private.key
    SSLCertificateChainFile /etc/ssl/yourdomain/your_ca_bundle.crt

    # Recommended security headers
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
    Header always set X-Content-Type-Options "nosniff"
    Header always set X-Frame-Options "SAMEORIGIN"
</VirtualHost>

Paso 4 — Habilita el módulo SSL y el sitio, luego reinicia Apache:

sudo a2enmod ssl
sudo a2ensite yourdomain.conf
sudo systemctl restart apache2

Para sistemas CentOS/RHEL usando httpd:

sudo systemctl restart httpd

3.3 Instalación en Nginx (Configuración manual del servidor)

Para servidores basados en Nginx, el proceso es ligeramente diferente:

Paso 1 — Edita la configuración del bloque de servidor Nginx:

sudo nano /etc/nginx/sites-available/yourdomain.conf

Paso 2 — Añade el bloque de servidor HTTPS:

server {
    listen 443 ssl http2;
    server_name yourdomain.com www.yourdomain.com;
    root /var/www/yourdomain;
    index index.html index.php;

    ssl_certificate     /etc/ssl/yourdomain/your_certificate.crt;
    ssl_certificate_key /etc/ssl/yourdomain/your_private.key;

    ssl_protocols       TLSv1.2 TLSv1.3;
    ssl_ciphers         HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}

Paso 3 — Prueba la configuración y reinicia Nginx:

sudo nginx -t
sudo systemctl restart nginx

Paso 4: Redirigir tráfico HTTP a HTTPS

Instalar el certificado solo no es suficiente. Debes configurar redirecciones permanentes 301 para que todas las solicitudes HTTP se reenvíen automáticamente a HTTPS. Esto asegura que ningún visitante llegue a una versión insegura de tu sitio y consolida tu equidad de enlace SEO.

4.1 Redirección de HTTP a HTTPS usando .htaccess (Apache)

Abre el archivo .htaccess en el directorio raíz de tu sitio web y añade las siguientes reglas en la parte superior:

RewriteEngine On

# Redirect all HTTP traffic to HTTPS
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

# Optional: force www to non-www (or vice versa)
RewriteCond %{HTTP_HOST} ^www.(.*)$ [NC]
RewriteRule ^ https://%1%{REQUEST_URI} [L,R=301]

Guarda el archivo y prueba visitando http://yourdomain.com — debería redirigirse automáticamente a https://yourdomain.com.

4.2 Redirección de HTTP a HTTPS usando Nginx

Añade un bloque de servidor dedicado para el puerto 80 que emita la redirección:

server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://$host$request_uri;
}

Reinicia Nginx para aplicar:

sudo systemctl restart nginx

Paso 5: Actualizar todos los enlaces internos y recursos

Después de habilitar HTTPS, tu sitio web aún puede cargar contenido mixto — recursos HTTP (imágenes, scripts, hojas de estilo, fuentes) incrustados en páginas HTTPS. El contenido mixto desencadena advertencias de seguridad del navegador y puede romper completamente tu indicador de candado.

Qué actualizar

Enlaces de página interna: Cambia todas las referencias http://yourdomain.com a https://yourdomain.com.
Imágenes, CSS y JavaScript: Asegúrate de que todas las URLs de activos usen HTTPS o rutas relativas al protocolo (//).
Etiquetas canónicas: Actualiza las etiquetas <link rel="canonical"> en tu HTML.
Mapa del sitio: Regenera tu mapa del sitio XML con URLs HTTPS.
URLs de base de datos (WordPress): Utiliza el complemento WP Migrate DB o ejecuta una consulta SQL directa para actualizar las URLs almacenadas:

UPDATE wp_options SET option_value = REPLACE(option_value, 'http://yourdomain.com', 'https://yourdomain.com') WHERE option_name = 'siteurl' OR option_name = 'home';

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');

UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

> Importante: Siempre haz una copia de seguridad de tu base de datos antes de ejecutar actualizaciones SQL en masa.

Paso 6: Actualizar Google Search Console y Analytics

Tu sitio HTTPS es técnicamente una propiedad diferente de tu sitio HTTP en los ojos de Google. Toma estos pasos para asegurar que tus datos de SEO y configuración de rastreo estén configurados correctamente:

Google Search Console: Añade https://yourdomain.com como una nueva propiedad. Envía tu mapa del sitio HTTPS actualizado.
Google Analytics: Actualiza la URL predeterminada en la configuración de tu propiedad para usar HTTPS. Asegúrate de que tu código de seguimiento esté instalado en todas las páginas HTTPS.
Herramientas para webmasters de Bing: Añade la versión HTTPS de tu sitio y reenvía tu mapa del sitio.
Actualizar enlaces externos: Cuando sea posible, comunícate con sitios de alta autoridad que enlacen a tus URLs HTTP y solicita que actualicen sus enlaces.

Paso 7: Prueba y valida tu configuración HTTPS

Nunca asumas que tu configuración HTTPS es correcta sin pruebas exhaustivas. Utiliza los siguientes métodos:

Verificación del navegador

Navega a https://yourdomain.com y verifica:

Un icono de candado aparece en la barra de direcciones.
No se muestra ninguna advertencia “No seguro”.
La consola del desarrollador del navegador (F12 → Consola) no muestra advertencias de contenido mixto.

Prueba SSL de SSL Labs

Visita SSL Labs Server Test e ingresa tu dominio. Esta herramienta gratuita proporciona una calificación detallada (A+ a F) para tu configuración SSL/TLS, destacando suites de cifrado débiles, problemas de protocolo y problemas de cadena de certificados.

Herramienta Why-No-Padlock

Utiliza Why No Padlock para identificar problemas específicos de contenido mixto en cualquier página de tu sitio.

HTTP Observatory (Mozilla)

El HTTP Observatory de Mozilla evalúa tus encabezados de seguridad, política HSTS y calidad general de implementación HTTPS.

Paso 8: Habilitar HTTP Strict Transport Security (HSTS)

Una vez que estés seguro de que tu configuración HTTPS es estable, habilita HSTS. Esta política de seguridad instruye a los navegadores a usar siempre HTTPS para tu dominio, incluso si un usuario escribe manualmente http://. Previene ataques de eliminación de SSL y elimina la redirección HTTP inicial para visitantes que regresan.

Añade este encabezado a tu configuración del servidor:

Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Nginx:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Después de confirmar que todo funciona correctamente durante varias semanas, considera enviar tu dominio a la Lista de precarga HSTS para máxima protección.

Elegir el alojamiento adecuado para HTTPS

Tu entorno de alojamiento juega un papel crítico en lo fácil que es implementar y mantener HTTPS. Aquí hay una descripción general rápida de las soluciones de AlexHost adecuadas para diferentes necesidades:

Alojamiento web compartido: Ideal para sitios web pequeños y blogs. SSL de Let’s Encrypt generalmente está disponible con un clic a través de cPanel.
Alojamiento VPS: Recomendado para empresas en crecimiento que necesitan control total sobre su configuración SSL, software del servidor y encabezados de seguridad. Los planes VPS de AlexHost te dan acceso root para configurar Apache o Nginx exactamente como se describe en esta guía.
Servidores dedicados: La mejor opción para sitios web de alto tráfico, plataformas de comercio electrónico y aplicaciones empresariales que requieren recursos dedicados y ajuste avanzado de SSL/TLS.

Para equipos que administran múltiples sitios web o aplicaciones, AlexHost también ofrece Paneles de control VPS flexibles que simplifican la gestión de certificados SSL en todos tus dominios desde un único panel.

Errores comunes en la migración HTTPS a evitar

Error	Consecuencia	Solución
Olvidar redirigir HTTP a HTTPS	Contenido duplicado, equidad SEO dividida	Añade redirecciones 301 en `.htaccess` o configuración de Nginx
Contenido mixto (activos HTTP en páginas HTTPS)	Advertencias de seguridad del navegador, candado roto	Actualiza todas las URLs de activos a HTTPS
No actualizar Google Search Console	Pérdida de datos de rastreo e información de indexación	Añade propiedad HTTPS y reenvía mapa del sitio
Usar un certificado autofirmado	Advertencias “No seguro” del navegador para todos los visitantes	Usa un certificado emitido por CA (Let’s Encrypt o pagado)
Dejar que el certificado expire	El sitio se vuelve inaccesible, penalizaciones de SEO	Habilita renovación automática o monitorea fechas de vencimiento
No habilitar HSTS	Vulnerabilidad a ataques de eliminación de SSL	Añade encabezado HSTS después de confirmar estabilidad de HTTPS

Preguntas frecuentes

¿Cambiar a HTTPS afecta mis clasificaciones de SEO?

Sí — positivamente. Google utiliza HTTPS como señal de clasificación. Más allá del impulso de clasificación directo, eliminar la advertencia del navegador “No seguro” reduce las tasas de rebote, lo que mejora aún más tu desempeño de SEO.

¿Mis enlaces de retroceso existentes seguirán funcionando después de cambiar a HTTPS?

Sí. Tus redirecciones 301 de HTTP a HTTPS aseguran que todos los enlaces de retroceso HTTP existentes pasen su equidad de enlace a la versión HTTPS de tus páginas.

¿Cuánto tiempo dura un certificado SSL?

La mayoría de los certificados SSL son válidos durante 90 días (Let’s Encrypt) o 1–2 años (certificados pagos). Siempre configura renovación automática para evitar la expiración.

¿Puedo obtener HTTPS de forma gratuita?

Sí. Let’s Encrypt y ZeroSSL proporcionan certificados SSL gratuitos y confiables por navegadores. Muchos proveedores de alojamiento, incluido AlexHost, integran Let’s Encrypt directamente en sus

Ahorra 15%<\/span> en todos los servicios de hosting