InspectWP Logo
Glosario

¿Qué es un certificado SSL?

8 de febrero de 2026 Actualizado el 19 abr 2026

Un certificado SSL (técnicamente un certificado TLS, ya que SSL fue sustituido por TLS hace años) es un pequeño archivo de datos que reside en tu servidor web y establece una conexión cifrada entre el servidor y los navegadores de tus visitantes. Cuando un certificado está correctamente instalado, tu sitio se carga sobre HTTPS en lugar de HTTP, y los navegadores muestran el icono del candado en la barra de direcciones para indicar que la conexión es segura.

Cómo funciona realmente el cifrado TLS/SSL

Cuando alguien escribe tu URL y pulsa Intro, su navegador y tu servidor llevan a cabo un proceso llamado handshake TLS. Ocurre en milisegundos, pero pasan bastantes cosas entre bambalinas:

  1. Hello: el navegador envía un mensaje "Client Hello" al servidor, indicando qué métodos de cifrado admite.
  2. Certificado: el servidor responde con su certificado TLS, que contiene la clave pública del servidor e información sobre la autoridad de certificación (CA) que lo emitió.
  3. Verificación: el navegador comprueba el certificado contra su lista integrada de CAs de confianza. Verifica que el certificado no haya caducado, que coincida con el nombre de dominio y que no haya sido revocado.
  4. Intercambio de claves: el navegador y el servidor acuerdan una clave de sesión compartida usando cifrado asimétrico (pares de clave pública/privada). Esta clave de sesión se utilizará para cifrar los datos reales.
  5. Comunicación cifrada: a partir de aquí, todos los datos que circulan entre el navegador y el servidor se cifran con la clave de sesión usando cifrado simétrico, que es mucho más rápido que el asimétrico.

Conclusión: el par de clave pública/privada solo se utiliza para establecer la conexión de forma segura. El contenido real de la página, los envíos de formularios y las cookies se cifran con una clave de sesión temporal, única para cada conexión.

Tipos de certificados SSL/TLS

Los certificados se clasifican en tres niveles de validación, y las diferencias tienen que ver con la confianza y la verificación, no con la fortaleza del cifrado. El cifrado en sí es igual de fuerte en todos los tipos.

  • Validación de dominio (DV): la CA solo verifica que controlas el dominio, normalmente haciéndote crear un registro DNS o responder a un correo enviado al dominio. Esto lleva minutos y a menudo es gratuito (Let's Encrypt, por ejemplo). Los certificados DV son perfectamente adecuados para la mayoría de sitios WordPress, blogs y webs de pequeñas empresas.
  • Validación de organización (OV): la CA verifica la existencia legal de tu organización. Esto implica revisar documentos de registro mercantil y suele tardar unos días. Los certificados OV muestran el nombre de la organización en los detalles del certificado (aunque no de forma visible en la barra del navegador). Son más comunes en webs corporativas y plataformas SaaS.
  • Validación extendida (EV): el proceso de verificación más estricto. La CA realiza una comprobación exhaustiva de la organización, incluyendo el estatus legal, la dirección física y los contactos autorizados. Antes los certificados EV mostraban el nombre de la empresa en una barra verde en el navegador, pero la mayoría de los navegadores han eliminado esta distinción visual en los últimos años. Los siguen usando bancos, instituciones financieras y grandes sitios de comercio electrónico, aunque su valor práctico ha disminuido.

Let's Encrypt y los certificados gratuitos

Let's Encrypt cambió el panorama del SSL cuando se lanzó en 2015. Antes, incluso los certificados DV básicos costaban dinero y requerían instalación manual. Let's Encrypt ofrece certificados DV gratuitos y automatizados, válidos durante 90 días y que pueden renovarse automáticamente.

Hoy en día, prácticamente todos los proveedores de hosting soportan Let's Encrypt. Muchos lo incluyen como parte de sus paquetes de hosting y gestionan la instalación y la renovación automáticamente. Si tu hosting no ofrece SSL automático, herramientas como Certbot pueden gestionar el ciclo de vida del certificado en tu servidor.

En 2025 no hay realmente ningún motivo para tener un sitio WordPress sin HTTPS. El certificado es gratis, la configuración está automatizada y los beneficios (seguridad, SEO, confianza del usuario) son significativos.

Certificados wildcard

Un certificado estándar cubre un único dominio (por ejemplo, example.com) y a veces también www.example.com. Si tienes varios subdominios (shop.example.com, blog.example.com, app.example.com), normalmente necesitarías un certificado distinto para cada uno.

Un certificado wildcard cubre todos los subdominios de un mismo dominio. Usa un patrón *.example.com y protege cualquier subdominio de ese nivel. Let's Encrypt admite certificados wildcard, pero requieren validación basada en DNS en lugar del método más sencillo de validación HTTP. La mayoría de proveedores de hosting gestionado lo gestionan automáticamente si lo necesitas.

Caducidad y renovación del certificado

Todos los certificados TLS tienen una fecha de caducidad. Los certificados de Let's Encrypt caducan a los 90 días, mientras que los certificados comerciales suelen durar un año (el máximo permitido desde 2020). Cuando un certificado caduca, los navegadores muestran una advertencia a página completa que impide a la mayoría de visitantes acceder a tu sitio. Es un problema serio que puede cortar todo tu tráfico.

La renovación automática es fundamental. Si usas Let's Encrypt a través de tu proveedor de hosting, la renovación suele ocurrir en segundo plano sin que tengas que hacer nada. Si gestionas tu servidor directamente, asegúrate de que Certbot o tu cliente ACME esté configurado para renovar los certificados automáticamente, y comprueba que realmente funciona. Un problema habitual es una tarea cron de renovación que falla en silencio por un problema de permisos o por un cambio en la configuración del servidor.

Cómo comprobar tu certificado SSL

Hay varias formas de verificar que tu certificado funciona correctamente:

  • Candado del navegador: haz clic en el icono del candado en la barra de direcciones de tu navegador. Puedes ver el emisor del certificado, la fecha de caducidad y el dominio que cubre.
  • SSL Labs (ssllabs.com/ssltest): la herramienta online de referencia del sector para probar tu configuración SSL. Comprueba no solo el certificado, sino también las versiones del protocolo TLS, los conjuntos de cifrado y las vulnerabilidades conocidas. Apunta a una calificación A o A+.
  • Herramientas de línea de comandos: openssl s_client -connect example.com:443 muestra información detallada del certificado para depuración técnica.

WordPress y HTTPS

Instalar un certificado en tu servidor es solo la mitad del trabajo. También tienes que asegurarte de que WordPress utilice HTTPS de forma consistente:

  • Ajustes de URL del sitio: en Ajustes > Generales de WordPress, tanto "Dirección de WordPress" como "Dirección del sitio" deben usar https://. Tener esto mal provoca bucles de redirección y problemas para iniciar sesión.
  • Forzar SSL: añade define('FORCE_SSL_ADMIN', true); a tu wp-config.php para asegurarte de que la zona de administración siempre use HTTPS.
  • Redirecciones 301: configura redirecciones a nivel de servidor (vía .htaccess en Apache o bloque de servidor en Nginx) para redirigir todas las peticiones HTTP a HTTPS. Así te aseguras de que los visitantes y los buscadores siempre lleguen a la versión segura.
  • Contenido mixto: tras pasar a HTTPS puedes tener imágenes, scripts u hojas de estilo que aún se cargan sobre HTTP. Los navegadores bloquean o advierten sobre estos recursos inseguros. Usa un plugin como "Better Search Replace" para actualizar las URLs HTTP antiguas en tu base de datos, y revisa tu plantilla en busca de referencias HTTP escritas a mano.
  • Cabecera HSTS: la cabecera Strict-Transport-Security indica a los navegadores que usen siempre HTTPS para tu sitio, incluso si alguien escribe http:// en la barra de direcciones. Esto elimina el breve momento en que un visitante podría conectar por HTTP antes de ser redirigido.

Por qué "SSL" es en realidad TLS

El término "certificado SSL" se ha mantenido aunque el propio protocolo SSL está obsoleto desde 2015. SSL 3.0 fue la última versión y tenía vulnerabilidades de seguridad conocidas (el ataque POODLE, entre otras). El sustituto es TLS (Transport Layer Security), que actualmente está en la versión 1.3. Los navegadores modernos ya no admiten SSL en absoluto; solo usan TLS 1.2 y TLS 1.3.

Cuando los proveedores de hosting, las autoridades de certificación o los plugins de WordPress hablan de "SSL", en realidad se refieren a TLS. Los términos se usan indistintamente en la práctica, aunque técnicamente son protocolos diferentes. Si tu servidor todavía admite TLS 1.0 o 1.1, deberías desactivarlos también, ya que también se consideran inseguros.

Qué comprueba InspectWP

InspectWP verifica si tu sitio WordPress tiene un certificado TLS válido, comprueba la fecha de caducidad del certificado y detecta problemas de contenido mixto donde se cargan recursos HTTP en páginas HTTPS. También examina tus cabeceras de seguridad, incluida HSTS, para confirmar que tu configuración HTTPS está completa y correctamente configurada.

Artículo anterior

¿Qué es robots.txt?

Artículo siguiente

Que son los registros DNS?

Artículos relacionados

¿Qué es una meta descripción?

¿Qué es el contenido mixto?

¿Qué es el Lazy Loading?

Ver todos los artículos

Analiza tu sitio de WordPress ahora

InspectWP analiza tu sitio de WordPress en busca de problemas de seguridad, SEO, cumplimiento del RGPD y rendimiento, gratis.

Analiza tu sitio gratis