¿Qué es SSL/TLS y por qué tu sitio lo necesita?
HTTPS ya no es opcional. Google penaliza sitios sin SSL, los navegadores muestran advertencias, y los usuarios no confían en sitios inseguros. Esta guía explica todo lo que necesitás saber.
¿Qué es SSL/TLS?
SSL (Secure Sockets Layer) y su sucesor TLS (Transport Layer Security) son protocolos que cifran la comunicación entre el navegador del usuario y tu servidor. Cuando ves HTTPS y el candado en la barra de direcciones, TLS está activo.
¿Cómo funciona?
El navegador y el servidor hacen un 'handshake' donde acuerdan un método de cifrado y intercambian claves. A partir de ahí, toda la comunicación está cifrada: nadie puede leer los datos en tránsito (contraseñas, tarjetas, datos personales).
¿Por qué es obligatorio?
Google Chrome marca sitios HTTP como 'No seguro'. Google usa HTTPS como factor de ranking SEO. Los formularios en HTTP exponen datos del usuario. Las APIs modernas requieren HTTPS. No hay razón para no usarlo en 2026.
Let's Encrypt: SSL gratis
Let's Encrypt emite certificados SSL gratuitos y automatiza la renovación. Con certbot podés obtener un certificado en un comando: certbot --nginx -d tudominio.com. Se renueva automáticamente cada 90 días.
Tipos de certificados
DV (Domain Validation): verifica que controlás el dominio. Gratis con Let's Encrypt. OV (Organization Validation): verifica la organización. EV (Extended Validation): verificación exhaustiva, muestra nombre de empresa. Para la mayoría, DV es suficiente.
Configuración correcta
Redirigir todo HTTP a HTTPS, usar HSTS (Strict-Transport-Security), configurar TLS 1.2+ (deshabilitar TLS 1.0/1.1), usar cipher suites modernos, y verificar con ssllabs.com que tu configuración tiene nota A+.