Puntos clave:
- HTTPS ha sido un factor de ranking oficial de Google desde 2014
- Los navegadores advierten activamente a los usuarios sobre sitios web HTTP inseguros
- La migración requiere planificación cuidadosa para evitar poner en riesgo los rankings
El pequeño icono de candado en la barra de direcciones del navegador es más que un elemento visual. Señala a los visitantes que su conexión está encriptada, que sus datos están protegidos. Para Google, es una señal de confianza que influye en los rankings.
Los sitios web sin HTTPS enfrentan un doble problema hoy: Navegadores como Chrome los marcan como "No seguro", lo que disuade a los visitantes. Al mismo tiempo, Google prefiere los sitios web encriptados en los resultados de búsqueda. Quienes aún usan HTTP pierden en ambos frentes.
Cómo funcionan SSL y HTTPS
SSL significa Secure Sockets Layer – un protocolo para encriptar datos entre navegador y servidor web. El sucesor más moderno se llama TLS (Transport Layer Security), pero coloquialmente sigue llamándose SSL.
Cuando un visitante accede a un sitio web HTTPS, sucede lo siguiente: El navegador solicita el certificado SSL del servidor. Verifica si el certificado es válido y fue emitido por una autoridad confiable. Luego se establece una conexión encriptada a través de la cual fluyen todos los datos.
Esta encriptación protege contra varios ataques. Los ataques man-in-the-middle, donde los atacantes interceptan el tráfico de datos, se previenen. Contraseñas, datos de tarjetas de crédito e información personal permanecen confidenciales. Sin encriptación, cualquier persona en la misma red – como en WiFi público – puede leer el tráfico de datos.
HTTPS como factor de ranking
Google declaró oficialmente HTTPS como señal de ranking en 2014. El razonamiento fue claro: La seguridad en la web debería ser el estándar, no la excepción. Desde entonces, el algoritmo prefiere los sitios web encriptados sobre los no encriptados.
¿Qué tan fuertemente afecta HTTPS a los rankings? Como factor individual, la influencia es moderada. Google mismo inicialmente lo llamó una "señal ligera". Pero en combinación con otros factores, puede marcar la diferencia. Entre dos páginas por lo demás iguales, gana la que tiene HTTPS.
La influencia indirecta puede ser más fuerte. Los usuarios que ven una advertencia "No seguro" abandonan la página más a menudo. La tasa de rebote aumenta, el tiempo de permanencia disminuye. Estas señales de usuario también afectan los rankings.
Tipos de certificados SSL
No todos los certificados SSL son iguales. Difieren en profundidad de validación, precio y nivel de confianza.
| Tipo de certificado | Validación | Adecuado para |
|---|---|---|
| Domain Validated (DV) | Solo propiedad del dominio | Blogs, sitios web pequeños |
| Organization Validated (OV) | Dominio + identidad empresarial | Sitios web de negocios |
| Extended Validation (EV) | Verificación empresarial integral | Bancos, tiendas online |
Los certificados de Validación de Dominio son los más rápidos y baratos de obtener. Let's Encrypt los ofrece gratis. La validación ocurre automáticamente – simplemente demuestras que controlas el dominio.
Los certificados de Validación de Organización requieren verificación de la identidad de tu empresa. Esto toma más tiempo y cuesta más pero señala confianza adicional a los visitantes.
Los certificados de Validación Extendida pasan por la verificación más estricta. Anteriormente, el nombre de la empresa se mostraba en verde en la barra de direcciones – aunque los navegadores modernos han eliminado esta característica visual.
Planificando la migración a HTTPS correctamente
Una migración a HTTPS es técnicamente un cambio de dominio. Todas las URLs cambian de http:// a https://. Sin planificación cuidadosa, se pueden perder rankings y tráfico.
El primer paso es el inventario. Lista todas las URLs que necesitan migrarse. No solo las páginas principales, sino también imágenes, scripts, hojas de estilo y otros recursos. Un sitemap XML puede servir como punto de partida.
Luego configura el certificado SSL en tu servidor. Los pasos exactos dependen del proveedor de hosting – muchos ahora ofrecen instalaciones con un clic para Let's Encrypt.
Después de la instalación, debes configurar redirecciones. Cada URL HTTP debe redirigir 301 a la versión HTTPS. Esto también aplica a las variantes www y non-www de tu dominio. Aprende más sobre redirecciones en nuestra guía.
Evitando contenido mixto
Un problema común después de la migración: Contenido mixto. La página en sí carga sobre HTTPS, pero recursos incrustados como imágenes o scripts aún se cargan sobre HTTP. Los navegadores bloquean dichos recursos o muestran advertencias.
Verifica todos los enlaces internos y medios incrustados. Las URLs relativas son más seguras que las absolutas porque automáticamente usan el protocolo correcto. En lugar de "http://example.com/imagen.jpg", escribe "/imagen.jpg" o "//example.com/imagen.jpg".
Los recursos externos como fuentes incrustadas, scripts de analytics o widgets de redes sociales también deben soportar HTTPS. La mayoría de los grandes proveedores lo hacen desde hace tiempo – pero incrustaciones antiguas podrían seguir usando HTTP.
Las herramientas de desarrollo del navegador ayudan con el diagnóstico. La consola muestra advertencias de contenido mixto y nombra las URLs problemáticas.
Actualizando etiquetas canonical y enlazado interno
Después de la migración, todas las referencias deben apuntar a las nuevas URLs HTTPS. Esto especialmente concierne a las etiquetas canonical. Si una página HTTPS tiene un canonical apuntando a la versión HTTP, envía señales confusas a Google.
También verifica tu enlazado interno. Idealmente, todos los enlaces internos deberían apuntar directamente a HTTPS, sin el desvío a través de una redirección. Esto ahorra recursos del servidor y acelera el rastreo.
El robots.txt y el sitemap XML también deben actualizarse. El sitemap solo debería contener URLs HTTPS. En robots.txt, puedes referenciar explícitamente el sitemap HTTPS.
Verificando en Google Search Console
HTTPS y HTTP se consideran propiedades diferentes para Google. Después de la migración, debes añadir y verificar la versión HTTPS de tu sitio web en Google Search Console.
Envía el sitemap actualizado. Monitorea la indexación en las semanas siguientes. Es normal que los rankings fluctúen brevemente mientras Google procesa la nueva estructura.
Observa los errores en los informes. Si Google encuentra contenido mixto o redirecciones faltantes, aparecerán avisos correspondientes.
Implicaciones de rendimiento
Un concepto erróneo común: HTTPS hace los sitios web más lentos. Eso podría haber sido cierto hace diez años. Hoy, es lo contrario.
HTTP/2, el protocolo HTTP más moderno, solo funciona con HTTPS. Ofrece ventajas de rendimiento significativas a través de multiplexación, compresión de cabeceras y server push. Un sitio web HTTPS con HTTP/2 es a menudo más rápido que un sitio web HTTP con HTTP/1.1.
El handshake SSL cuesta un tiempo mínimo – típicamente unos pocos milisegundos. Esta sobrecarga se compensa con creces por las ventajas de HTTP/2. Encuentra más consejos sobre velocidad de sitio web en nuestra guía de rendimiento.
Errores comunes de migración
Las migraciones no siempre van sin problemas. Algunos errores ocurren regularmente y pueden evitarse.
Las redirecciones olvidadas son el mayor problema. Si no todas las URLs HTTP redirigen, surgen problemas de contenido duplicado. Google entonces ve dos versiones de cada página y debe decidir cuál es canónica.
Los certificados que expiran son vergonzosos y peligrosos. Los navegadores muestran advertencias dramáticas que espantan a los visitantes. Configura renovación automática o crea recordatorios de calendario.
La configuración incorrecta de certificados a menudo afecta a subdominios. Un certificado para example.com no aplica automáticamente a www.example.com o blog.example.com. Los certificados wildcard (*.example.com) resuelven este problema.
Prueba tu configuración SSL con el Analizador SEO y verifica si tu sitio web cumple todos los requisitos técnicos.
Preguntas frecuentes
¿Necesito HTTPS incluso sin login o procesamiento de pagos?
Sí. Google no hace distinción entre sitios web con y sin datos sensibles. Todos los sitios web se benefician del impulso de ranking y la señal de confianza del icono de candado. Los navegadores advierten sobre todas las páginas HTTP, no solo sobre aquellas con formularios.
¿Cuánto cuesta un certificado SSL?
Desde gratis hasta varios cientos de dólares por año. Let's Encrypt ofrece certificados DV gratuitos que son suficientes para la mayoría de los sitios web. Los certificados más caros ofrecen validación extendida o seguros adicionales que pueden ser relevantes para empresas.
¿Puedo instalar un certificado yo mismo?
Con muchos proveedores de hosting, sí. La mayoría ofrece instalaciones con un clic para Let's Encrypt. Para configuraciones más complejas o si tienes control total sobre el servidor, se requiere algo de conocimiento técnico. En caso de duda, el soporte del hosting puede ayudar con la configuración.