Let’s Encrypt, certificados SSL libres y gratis para asegurar tu web con HTTPS (actualizado)

La web está cambiando, y tengo que decir que a mejor. Uno de los síntomas de estos cambios es que ya no vamos a tener que pagar por un certificado SSL para ofrecer nuestra web a través de HTTPS pues ha nacido una entidad certificadora gratuita, avalada por los grandes de la industria, para que podamos ofrecer más seguridad en la navegación por nuestra web y tengas tu certificado SSL gratis.

Hasta ahora, para instalar un certificado SSL había que pasar por caja, a unos precios anuales que van desde 85 euros hasta 450 euros, dependiendo del tipo de certificado, pero esto se acabó, te presento a Let’s Encrypt.

¿Qué es SSL y HTTPS?

http https

SSL es un protocolo por el cual garantizas a tus visitantes que tu web es realmente la que desean visitar, y que todos los datos y transacciones realizadas en la misma viajan por la red encriptados.

Huelga decir que es imprescindible para una tienda online, pero también para cualquier web en la que quieras que tus visitantes se sientan seguros al compartir su información, contraseñas o lo que sea que interactúen en tu sitio.

Identificas fácilmente una web segura con SSL porque en la barra de direcciones del navegador verás un icono de un candado al lado de la URL, y en navegadores como Chrome, haciendo clic en el susodicho candado, se mostrará el certificado, su nivel de seguridad y la certificación que lo ampara.

El protocolo HTTP se ha usado durante décadas, con relativo éxito, pero básicamente con HTTP estamos ofreciendo una navegación insegura, susceptible de inyecciones y robo de identidades, datos de usuario, etc.

SSL es una pieza fundamental para ofrecer una web segura a tus visitantes/clientes Clic para tuitear

El problema con la implantación masiva de HTTPS no ha sido por ninguna dificultad técnica sino, como suele pasar, por mera burocracia y los costes de los mismos certificados SSL.

A eso hay que sumarle que, hasta ahora, instalar un certificado SSL podría llevar a un desarrollador entre 1 o 3 horas tenerlo activo. Con Let’s Encrypt, además de eliminar la burocracia y los costes, instalar y activar un certificado puede ser cosa de unos minutos, o incluso menos, lo veremos al final del artículo.

En definitiva, son una pieza esencial en la seguridad de una web, con la que garantizas a tus visitantes/usuarios/clientes que sus datos estarán cifrados y, en consecuencia, mucho más seguros que sin SSL.

¿Qué es Let’s Encrypt?

certificado ssl libres gratis lets encrytp

Let’s Encrypt es un esfuerzo, impulsado por la Fundación Linux, para crear una entidad certificadora que ofrezca certificados SSL abiertos, libres, gratuitos y automáticos.

Esto significa, para que nos entendamos, que ya no habrá que pasar por caja y pagar a una empresa certificadora para tener un certificado SSL seguro, sino que podemos usar esta entidad de certificación, avalada por los grandes de Internet, que no cobra.

La revolución del certificado ssl gratis Let's Encrypt

Let’s Encrypt ya ha emitido más de 24 millones certificados en el primer año, y la cifra aumenta a diario.

Algunas características de Let’s Encrypt que te encantarán son las siguientes:

  • Totalmente gratuitos
  • Fácil instalación
  • No hace falta ningún email de confirmación
  • No hace falta tener IP dedicadas, que también supondrían un coste adicional
  • Todos los principales navegadores los reconocen
  • Se renuevan automáticamente, gratis, salvo que decidas revocarlos

En este vídeo hay una explicación muy sencilla (en inglés) de cómo funciona…

¿Quien está detrás de Let’s Encrypt?

Una enorme garantía de que esto no es flor de un día es que detrás de Let’s Encrypt están la mayoría de los grandes de Internet, y me refiero a Facebook, Google, Automattic, Cisco, Akamai, Sucuri, KeyCDN o SiteGround.

sponsors lets encrypt

Cualquier empresa, o tu mismo, puede patrocinar el proyecto, ya sea pagando una suculenta suma para garantizar la supervivencia de la entidad, como han hecho los grandes de la industria, o mediante pequeñas donaciones por Paypal, en esta página.

En cualquier caso, vista la apuesta de las principales empresas, Let’s Encrypt tiene un gran futuro, ya presente.

¿Cómo se instala/ba y activa/ba Let’s Encrypt?

Hasta ahora el modo de instalar y activar un certificado SSL de Let’s Encrypt pasa/ba por el siguiente procedimiento:

  1. Si el sistema operativo de tu servidor ya incluye un paquete de letsencrypt simplemente instálalo usando el comando letsencrypt. En caso contrario puedes usar el script letsencrypt-auto para obtener una copia desde el repositorio oficial en GitHub:
    $ git clone https://github.com/letsencrypt/letsencrypt
    $ cd letsencrypt
    $ ./letsencrypt-auto --help
  2. Si usas Apache y ya tienes el paquete puedes instalar el certificado con el siguiente comando:
    ./letsencrypt-auto --apache

    El script te pedirá el email y, si no está especificado, también el dominio, como se ve en estas capturas de ejemplo:

  1. Si no usas Apache, por ejemplo Nginx, primero hay que obtener el certificado con el siguiente comando:
    ./letsencrypt-auto certonly --standalone
  2. A continuación tendrás que introducir el email y dominio, y el proceso te informa de que se instalan 2 archivos de certificación, /etc/letsencrypt/live/tusitio.com/ denominados fullchain.pem y privkey.pem.
  3. El siguiente paso es cambiar la configuración de Nginx para que use este certificado. Para ello edita tu archivo de configuración de misitio.com en /etc/nginx/sites-available/ (en algunas instalaciones también podría estar en /etc/nginx/conf.d):
    server {
    listen 443;
    server_name example.com;
    ssl on;
    ssl_certificate /var/www/example.com/cert/example.com.crt;
    ssl_certificate_key /var/www/example.com/cert/example.com.key;
    #... other stuff
    }
  4. Y luego añadimos esto para forzar el uso de SSL:
    server {
    listen 80;
    server_name example.com;
    return 301 https://misitio.com$request_uri;
    }
  5. También tendremos que comprobar la configuración SSL en el archivo nginx.conf en /etc/nginx/nginx.conf, insertando estas líneas:
    http {
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    #... other stuff
    }
  6. Finalmente reiniciamos el servidor Nginx:
    sudo service nginx restart

Lo siguiente, independientemente del servidor, es forzar a que WordPress use SSL en la pantalla de acceso y en toda la administración, para lo que añadiremos las siguientes líneas al archivo wp-config.php:

define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);

Y, para terminar, iremos a la pantalla de administración, a Ajustes -> Generales, y cambiaremos las direcciones URL del sitio y de WordPress, de http a https. WordPress fuerza la salida de administración y ya podemos entrar de nuevo con nuestro sitio en HTTPS con nuestro flamante certificado SSL gracias a Let’s Encrypt.

Aunque sea gratis y libre acojona un poco ¿no?…

Ahora en serio ¿cómo se instala y activa Let’s Encrypt pero de un modo sencillo, para humanos?

certificado ssl gratis seguro

Vale, se puede hacer mucho más fácil, pero aquí dependemos de que nuestro proveedor de hosting nos facilite la tarea. Si tienes esa suerte, el proceso sería mucho más sencillo

¿He dicho mucho más sencillo?, mentía, en realidad sería SUPER SENCILLO.

Que yo sepa, de momento solo SiteGround ha implementado un sistema de este tipo para que cualquier usuario sin conocimientos avanzados pueda instalar fácilmente Let’s Encrypt y crear y activar certificados SSL gratuitos para sus web, a un clic (si hay alguno más me avisáis en los comentarios y lo añado), al menos la parte que a tu servidor le compete, aunque hay una cosilla más que tendrías que hacer, te lo explico luego.

Actualización: Cada día son más los proveedores de hosting que incorporan la instalación sencilla de Let’s Encrypt. Revisa los comentarios.

SiteGround ha creado una aplicación en su cPanel para que puedas instalar certificados SSL gratuitos con Let’s Encrypt.

La aplicación ya está totalmente operativa para todos los alojamientos compartidos en el cPanel, los que usamos el común de los mortales y quienes más agradeceremos esta facilidad, y si lo quieres en dedicados o cloud solo tienes que pedirles que te lo instalen mandando un ticket a soporte.

En @SiteGround_ES puedes instalar gratis certificados SSL a un clic Clic para tuitear

Cómo instalar y activar un certificado SSL gratis Let’s Encrypt en SiteGround

Actualización: Desde primeros de 2017 SiteGround ya tiene certificados SSL gratuitos Let’s Encrypt pre-instalados en todos sus planes, siguiendo las recomendaciones de WordPress. No obstante, revisa todo el artículo para aprender cómo instalar nuevos certificados si añades más webs a tu plan o si ya estabas alojado en SiteGround previamente.

Primero, por supuesto, vas a SiteGround, entras en el cPanel de tu cuenta y localizas el icono de Let’s Encrypt y haces clic para abrirla:

certificado ssl gratis siteground cpanel

Una vez dentro solo tienes que elegir el dominio y email asociado y darle al botón «Instalar«…

instalar certificado ssl letsencrypt siteground

El proceso de instalación se inicia automáticamente y en menos de un minuto ya lo tienes, pudiendo acceder a la versión https de tu web.

¿Caducan los certificados SSL de Let’s Encrypt?

No te asustes si ves que al crear un certificado SSL de Let’s Encrypt pone que dura hasta dentro de 3 meses, es así por defecto pero se renuevan automáticamente salvo que no decidas en algún momento revocarlos. Son para siempre.

Usar certificado SSL y HTTPS por defecto en WordPress

WordPress ssl https

Aunque el certificado ya esté instalado, y puedes acceder a la versión https de tu dominio aún falta un paso, para que forzar a que siempre se visite tu web mediante HTTPS, de manera segura, da igual si has usado la instalación manual o la automática de SiteGround…

Los pasos, manuales, serían los siguientes:

  1. Añadir estas líneas al archivo .htaccess:
    RewriteEngine On
    RewriteCond %{SERVER_PORT} 80
    RewriteRule ^(.*)$  [R=301,L]
  2. Añadir estas líneas al archivo wp-config.php:
    define('FORCE_SSL_LOGIN', true);
    define('FORCE_SSL_ADMIN', true);
  3. Cambiar en Ajustes -> Generales las URLs de WordPress y el sitio de http a https

Pero puedes hacer los 3 pasos de golpe y sin tocar ni una línea de código ni cambiar ajuste alguno, con un maravilloso plugin llamado Really Simple SSL, que realiza los 3 pasos por ti solo con activarlo.

Solo un consejo personal, pásate por la página de ajustes del plugin, en Ajustes -> SSL -> Settings y desactiva la casilla denominada Enable javascript redirection to ssl, pues no es necesaria salvo que el plugin no haya podido añadir las líneas de redirección a https en el archivo .htaccess.

really simple ssl wordpress

Deja el resto sin tocar. Sé que es tentador activar eso llamado Turn HTTP Strict Transport Security on, pero si luego decides echarte atrás tus visitantes seguirán siendo redirigidos a la versión HTTPS de tu web durante un año aunque luego lo desactives de nuevo, ahí es nada. No hace falta en realidad así que no lo actives, no marques la casilla.

SSL, HTTPS y el SEO

¿Hemos terminado? En realidad no, quedan un par de cosas que hacer antes de dar por terminada la tarea de ofrecer navegación segura por nuestra web.

No sé si habrás caído pero resulta que Google tiene identificada nuestra web como http://loquesea.es pero ahora se llega por https://loquesea.es, y es absolutamente imprescindible «decirle» lo que ha pasado, que nuestra web ya es segura y se llega por HTTPS.

Ten en cuenta algo vital: todas las URLs de tu sitio han cambiado, y si no haces nada podrías arruinar el SEO de tu sitio.

Para ello debemos ir a la Search Console de Google, antes conocida como Herramientas para Webmasters, y añadir la propiedad, poniendo nuestro dominio como https.

añadir propiedad https en google search console

Si ya teníamos configurado nuestro sitio con el código de verificación no hará falta hacerlo de nuevo pues nos ofrece el mismo. Solo quedaría decirle dónde tenemos el sitemap, como con cualquier otro dominio, fin.

Tras instalar un certificado SSL debes modificar la URL a https en la Search Console #SEO Clic para tuitear

También se podría hacer mediante la opción de la consola de cambio de dominio pero he comprobado que el resultado es el mismo, lo que prefieras.

SSL y Google Analytics

Si, además, quieres seguir realizando seguimiento de tráfico y campañas mediante Google Analytics tendrás que pasarte por la administración del servicio y cambiar la dirección de la «propiedad» a https, sencillo desde el desplegable donde está el dominio.

cambiar http https en google analytics

Contenido mixto

Es probable que al ver los detalles de seguridad de tu sitio en la consola de Chrome u otros navegadores veas algo llamado Mixed content que impide que los analizadores de SSL certifiquen tu sitio como totalmente seguro.

mixed-content-ssl-wordpress

Esto es debido a que en tu sitio tendrás muchos enlaces a páginas y contenido de tu sitio (imágenes, etc.) que apuntan a direcciones http en vez de https. Por ejemplo, en entradas, páginas o incluso widgets donde haya imágenes o urls apuntando a la versión http.

Un modo estupendo de comprobar el contenido mixto en tu sitio y tratar de solucionar los problemas encontrados en unos clics es usar el plugin SSL Insecure Content Fixer.

Una vez instalado y activo soluciona muchos de los problemas de contenido mixto. Para todo lo demás sigue leyendo …

La solución a los problemas de contenido mixto relacionados con URLs introducidas manualmente pasa por usar – como siempre – el maravilloso plugin Search & Replace y reemplazar cada cadena por

Primero ve a la pestaña Replace domain URL y pon la nueva dirección con https.

cambiar-url-dominio-wordpress-search-replace

A continuación ya ve a la pestaña Search & Replace y haremos el cambio real en todas las tablas. Primero haremos una prueba dejando marcada la casilla Dry run.

cambiar-https-base-de-datos-wordpress-ssl-search-replace

Una vez vistos los cambios que se harán, desmarca la casilla Dry run y haz los cambios reales en la base de datos, marcando la casilla Save changes to Database

hacer-search-replace-base-de-datos-wordpress

Cuando termines de hacer los cambios puedes desactivar el plugin Search & Replace.

Nota importante: El plugin hará una copia de seguridad automática de tu base de datos antes del cambio, para mayor seguridad antes pásate por la pestaña Backup database y exporta tu base de datos en un sitio seguro por si acaso.

¡Ya está!

A partir de ahora, cuando visitemos tu web, tienda online o lo que sea, lo haremos de manera segura, con nuestros datos de usuario o cliente viajando cifrados por tu sitio.

certificado ssl gratis letsencrypt

Extra: Comprobación de la seguridad del certificado SSL de Let’s Encrypt

Si tienes alguna duda de la validez y seguridad de tu certificado SSL de Let’s Encrypt puedes comprobarlo en alguna de las siguientes webs:

He probado todas las webs en las que ya he activado los certificados SSL de Let’s Encrypt y los resultados son 100% satisfactorios.

 

Extra: SSL y CloudFlare

Te sonará, y sino te lo digo yo, que a veces hay problemas cuando tienes activa la CDN de CloudFlare e instalas un certificado SSL, y es cierto.

Lo normal es que veas este feo error:

Error: The server experienced a TLS error during domain verification

No hay problema, simplemente pausa tu servicio de CloudFlare e instala/activa de nuevo Let’s Encrypt.

Extra: HTTPS y HTTP/2

http2

¿Te suena HTTP/2?

En breve te diré que es el nuevo protocolo que va a sustituir a HTTP/1.1, que ya lleva con nosotros demasiado tiempo.

Es importante la relación con los certificados SSL para ofrecer HTTPS, pues HTTP/2 requiere de HTTPS, necesita un certificado SSL, así que si instalas un certificado SSL ya estás preparado para la siguiente generación de la web, de Internet, pero esto del HTTP/2 ya lo vimos en otro artículo, que también es muy interesante.


¿Te quedan dudas? ¿Ya tienes tu certificado SSL gratis?

Si tienes alguna duda o quieres apuntar algo que se me haya pasado es tu turno, ahí tienes los comentarios para aprender todos juntos y mejorar la web que conocemos.

VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(103 votos, promedio: 4.9)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

234 comentarios en “Let’s Encrypt, certificados SSL libres y gratis para asegurar tu web con HTTPS (actualizado)”

      1. Hola fernando, hay cosas que no me han quedado clara, ¿si tengo un server con 50 Vhost como podría hacer un certificado para cada vhost? Habrá tambien unos 120 subdominios.

        Entiendo que habría que hacer «Una instalación» Por cada dominio y subdominio y al hacerlo indicarle que dominio le pertenece ese certificado. ¿es así?

        1. hola amigo fernando!
          Me Hago La Pregunta!
          De Como Descargar Una SSL LET’S ENCRYPT
          Ya Que No Consigo algo que explique como octenerla GRATIS» Gracias Espero Tu Respuesta

  1. Fernando Puente

    Interesante iniciativa para llevar SSL al común de los mortales, por una web más segura.
    Muy útil que toda la administración la tengamos bajo HTTPS sobre todo si utilizamos mucha red pública en nuestro día a día.
    Por mi parte recomiendo solicitar el certificado con el www por delante, por elegancia, y que todo el mundo entre por https://www.tudominio.com
    Asegúrate además, tras el cambio, de que todas las apps que consuman contenido de tu site (clientes externos, API´s, etc…) lo hagan vía HTTPS para no llenar de redirecciones continuas el servidor.

    Aviso para navegantes: lo primero que notareis es una pequeña caída en la velocidad del site al pasar a HTTPS, debido a que se transmite más información, pero es casi inapreciable, y además Google os va a mirar con mejor cara.
    Y una nota: si trabajas con subdominios, te aconsejo pedir un certificado por cada uno y gestionarlos de manera separada, normalmente son instalaciones distintas.

    Como bien dices al final del post, este es un paso previo, y necesario, al HTTP/2 que va a mejorar nuestro rendimiento, esperamos impacientes…
    Saludos

    1. Buenos apuntes como siempre Fernando (Puente) 🙂

      Lo de los subdominios es muy importante, y como en esto son gratis pues genial, no hay dolor.

      Ahora bien, lo del www, en mi humilde opinión es una pijada amigo, por una vez no estoy de acuerdo contigo. Vale que es un asunto cosmético para gente viejuna, pero ya XDDD

  2. Pingback: Let’s Encrypt, certificados SSL libres y gratis para asegurar tu web con HTTPS

  3. Llevo utilizando Let’s Encrypt prácticamente desde el día que lo lanzaron públicamente el pasado Diciembre de 2015 y debo decir que SiteGround no es el único que implementa un sistema para instalar un certificado SSL de Let’s Encrypt de forma rápida y sencilla; aunque cPanel es el panel de control por excelencia su principal competencia, Parallels Plesk, trae consigo la posibilidad de instalar una extensión oficial con la cual instalar un certificado SSL es tan fácil como introducir una dirección de correo electrónico para la renovación y pulsar en activar o renovar en el caso que ya esté activado (aunque se renueva automáticamente).

    Yo trabajo con servidores dedicados, pero para quien le interese, los hostings más populares que yo conozco con Parallels Plesk (opcional, claro) son GoDaddy, 1&1 y Host Gator, a parte de SiteGround por supuesto que desconozco que panel de control utiliza – seguramente sea cPanel, una apuesta segura y confiable, aunque en lo personal Plesk me tiene enamorado por el soporte que ofrece para WordPress – pero que también permite la implementación como bien nos has explicado.

    ¡Saludos!

  4. Pingback: Let’s Encrypt, certificados SSL libres y gratis para asegurar tu web con HTTPS | Ayuda WordPress | Cardenas Networks – Pago de servicios electrónicos

  5. Gracias por la información, es de verdad útil. Justo estoy pensando en empezar un proyecto que implica tener acceso a las cámaras de dispositivos móviles desde la web del proyecto y me voy enterando que para que las API’s que existen para acceso a cámaras funcionen correctamente, necesitas accederlas desde un sitio con https.

  6. Reafirmo lo que dice Javier Ocampos funciona con Plesk eso si la 12.5 como mínimo, con solo un click tienes el certificado Lets en cualquier dominio o subdominio que quieras.

    Respecto a la velocidad no se nota nada

    Y por último una gran felicitación a Fernando por su gran post

    1. No se si has visto el mensaje que puse arriba pero en Plesk instale la extensión para el certificado y lo instale en uno de mis dominios (no tengo wordpress en ese dominio) cuando añade el dominio a google me envió el mensaje que te comento de certificado no valido etc. me puedes decir si te ha pasado algo así a ti por favor o si tienes algún tipo de información sobre esto? Gracias

  7. Pingback: SSL y HTTPS en WooCommerce | Ayuda WordPress

  8. Fernando López

    Hola Fernando, …he estado leyendo esta entrada y esta genial, pero me acabo de comunicar por telefono con siteground y me dicen que ellos oferecen https apartir de unos de los pack – growbig – y es gratis el primer año. No sé si en este post hablas igual en estos terminos. Aclararme la duda, por favor.

    1. Eso es para los certificados SSL «normales». Te aseguro que Let’s Encrypt está disponible en todos los planes gratis para siempre desde el cPanel y, como indico en el post, no sale en el cPanel en los dedicados pero lo pides y te lo ponen.

      1. Fernando López

        Gracias por responder. He vuelto a llamar y me han comentado que te activan uno por cada c-panel, el dominio incluido con el pack. Para poder tenerlo activado en mas de una web, tienes que contratar un hosting cloud. O un pack para cada web.

  9. Hola Fernando, gracias a tu ayuda he vuelto a mejorar nuestra web, mi proveedor (axarnet) nos ofrece Plesk, donde también hay una utilidad para añadir complementos e incluyen lets encrypt

    ¡Mas fácil imposible! Todo instalado en 5 minutos desde mi ipad. 😉

    Si no fuera por tu artículo hubiera pasado por caja.

    ¡Gracias!

      1. Hola Fernando, en plesk tengo un menú que se llama Extensiones y dentro pone Catálogo de extensiones. Desde aquí puedo seleccionar e instalar extensiones adicionales, algunas son de pago pero hay muchas gratuitas como esta. Si quieres te envío un pantallazo desde un enlace, no se si aquí me dejará insertarlo. Saludos

      1. Hola Fernando

        Fantástico artículo, pero desde mi hosting no me facilitan nada la tarea ni me habilitan la posibilidad de añadir let’s encrypt desde el plesk porque aseguran que con planes de hosting compartido como el mio no se puede hacer y tengo que pagar para que me lo hagan ellos. ¿Alguna recomendación? Sé que lo más sensato sería haber elegido otro hosting, pero ya es tarde..

        Gracias

  10. Google ha detectado que el certificado SSL/TLS que se usa es un certificado con firma automática, lo que significa que lo ha emitido el servidor en lugar de una entidad emisora de certificados. Como solo estas entidades se consideran fuentes de confianza para los certificados SSL/TLS, la mayoría de navegadores no pueden confiar en tu certificado. Además, si tienes un certificado con firma automática significa que el contenido no está autenticado, que se puede modificar y que un tercero puede interceptar los datos o el comportamiento de navegación de tus usuarios. Por lo tanto, es posible que muchos navegadores bloqueen el acceso de los usuarios mediante un mensaje con una advertencia de seguridad cuando intenten acceder a él. Se hace para evitar que un tercero intercepte el comportamiento de navegación de los usuarios, lo que se puede producir en sitios web que no son seguros.

      1. A mi me ha extrañado… pero si lo dice google… no se, yo lo he i entallado en un vps de Plesk no sé si tendrá algo que ver, y no es un wordpress el dominio que he utilizado, puede alguien dar mas información por favor

      2. Jaime Eduardo Gómez

        Acabo de instalarlo en mi servidor para ofrecerlo a mis clientes, probé con varios dominios y super sencillo. El certificado funciona bastante bien y todo navegador reconoce la conexión segura. Fernando a veces te pasas con los buenos articulos !! 😀

        1. Quizá haya hecho yo algo mal, pero, simplemente lo instale y luego añade ni sitio a google, inmediatamente me llego ese email que he puesto diciendo que no se reconocía como un certificado expedido por una CA etc… Lo expuse aquí para ver si alguien tenia alguna información sobre ello, me parece raro que solo me haya pasado a mi, a no ser como te digo que haya cometido algún error o algo

  11. Google ha detectado que el certificado SSL/TLS que se usa en es un certificado con firma automática, lo que significa que lo ha emitido el servidor en lugar de una entidad emisora de certificados. Como solo estas entidades se consideran fuentes de confianza para los certificados SSL/TLS, la mayoría de navegadores no pueden confiar en tu certificado. Además, si tienes un certificado con firma automática significa que el contenido no está autenticado, que se puede modificar y que un tercero puede interceptar los datos o el comportamiento de navegación de tus usuarios. Por lo tanto, es posible que muchos navegadores bloqueen el acceso de los usuarios mediante un mensaje con una advertencia de seguridad cuando intenten acceder a él. Se hace para evitar que un tercero intercepte el comportamiento de navegación de los usuarios, lo que se puede producir en sitios web que no son seguros.

    Acción recomendada:

    Obtén un certificado nuevo

    Para corregir este problema, obtén un certificado SSL/TLS nuevo dedicado de una entidad emisora de certificados (CA). Este certificado debe coincidir con la URL completa de tu sitio web o bien ser un certificado comodín que se pueda usar para varios subdominios de un mismo dominio.

    1. Quizás has escrito mal el dominio Jose: «Esta advertencia se presenta con un navegador web para acceder a un sitio web que tiene un certificado de seguridad instalado (para el cifrado de datos) que se emitió a un dominio distinto al que se accede. El nombre común para que se expida un certificado ssl (pj, http://www.ejemplo.com) debe coincidir exactamente con el nombre que aparece en la barra de url. Cualquier diferencia que hará que el navegador web para poner fin a la navegación y lanzar un error de coincidencia de nombre. Este error puede ocurrir incluso si el certificado correcto está instalado correctamente si se conecta a través de la dirección ip o un nombre interno cuando se expidió el certificado con el nombre de dominio completo (o viceversa).»

  12. A mi me ha extrañado… pero si lo dice google… no se, yo lo he instalado en un vps con Plesk, no sé si tendrá algo que ver, y no es un wordpress el dominio que he utilizado, puede alguien dar mas información por favor, gracias

  13. Pingback: HTTP/2 y WordPress – El futuro de la Web | Ayuda WordPress

  14. Excelente nota, y sobre dreamhost, ya lo tienen activo para cualquier dominio alojado en las cuentas, solo basta con ir a «Secure Hosting», dar click en «add secure hosting» y seleccionar el dominio que queremos habilitar con SSL y aceptar el uso de «Signed Certificate» que es la opción para un Let’s Encrypt Verified SSL.

  15. Pingback: Ve el Webinar Las 10 preguntas top sobre WordPress con Fernando Tellado

  16. Buen post Fernando, desconocía bastante de este tema… pero me quedan algunas dudas, ¿Es recomendable aplicarlo en todos los sitios que uno tiene? ¿Aunque no se transmitan datos que puedan considerarse «críticos?
    Por último, ¿Por qué no lo tenés aplicado en este blog (lo del redireccionamiento a https)?

    1. A lo primero sí, por SEO porque Google está premiando las web seguras y además es la base para poder pasar a HTTP/2 y ganar velocidad.

      A lo segundo es que aún no he tenido tiempo, mi blog siempre para el final 😀

  17. Pingback: 5 claves para crear una tienda online en WordPress | Ayuda WordPress

  18. Buenas,

    Tengo una duda. En vez de Lets Encrypt tengo el certificado comodo disponible en mi hosting. La configuración en los ficheros de wordpress y nginx seria exactamente la misma? Entiendo que esa configuración sirven para todos los SSL.

    Gracias anticipas y espero vuestra respuesta.
    Un saludo.

  19. Venga! pués parece fácil. Lo pongo en mí lista de hacer. Gracias por este pedazo de post. Está muy completo!

        1. José Paternina Orozco

          Ve a Security/SSL/Manage SSL sites, desde el cpanel, e instala el certificado generado con Let’s Encrypt desde wordpress.

  20. Hola Fernando, excelente artículo, me has sido de gran ayuda. Me cambié a siteground siguiendo tus consejos y estoy encantado. Tengo varios proyectos funcionando sin problemas pero me queda una duda.
    ¿Es posible usar let´s encrypt en un multisite para varios dominios mapeados? ¿Habría que modificar el código del .htaccess?.
    He hecho un par de pruebas y no he conseguido hacerlo funcionar.
    Muchas gracias.

  21. Javier Mateos Jimenez

    Buenas, yo he instalado ese certificado en mi web y me acaba de llegar un mail de webmaster tools que me dice lo siguiente:

    Google ha detectado que el certificado SSL/TLS que se usa en https://www.compararmovilesya.com/ es un certificado con firma automática, lo que significa que lo ha emitido el servidor en lugar de una entidad emisora de certificados. Como solo estas entidades se consideran fuentes de confianza para los certificados SSL/TLS, la mayoría de navegadores no pueden confiar en tu certificado. Además, si tienes un certificado con firma automática significa que el contenido no está autenticado, que se puede modificar y que un tercero puede interceptar los datos o el comportamiento de navegación de tus usuarios. Por lo tanto, es posible que muchos navegadores bloqueen el acceso de los usuarios mediante un mensaje con una advertencia de seguridad cuando intenten acceder a él. Se hace para evitar que un tercero intercepte el comportamiento de navegación de los usuarios, lo que se puede producir en sitios web que no son seguros.

    Acción recomendada:

    Obtén un certificado nuevo

    Para corregir este problema, obtén un certificado SSL/TLS nuevo dedicado de una entidad emisora de certificados (CA). Este certificado debe coincidir con la URL completa de tu sitio web o bien ser un certificado comodín que se pueda usar para varios subdominios de un mismo dominio.

    ¿Que me recomendais hacer? ¿Quito el certificado y dejo la web como http? ¿Es que Google solo acepta certificados que hay que pagar por ellos?

    Un saludo.

  22. Hola! Muchas gracias por la info, a ver si logro con mis ceros conocimientos instalar el dichoso certificado.

    He visto en la wiki de Webempresa que ellos también tienen el Let’s Encrypt…
    (aún no lo instalé… vuelvo en un rato a comentarte si va todo bien o no).

    Saludos, Flor

  23. Pingback: Let’s Encrypt, certificados SSL libres y gratis para asegurar tu web con HTTPS | Blog eloylinus

  24. Buena iniciativa, de cualquier forma no me parecia razonable cobrar por un servicio que deberia estar incluido en el servicio de hosting, ojala que muchas empresas de hosting vayan adoptandolo a sus servicios

  25. Pingback: Como asegurar una tienda online WooCommerce

  26. César Medrano Gómez

    Como es un dinero y yo tengo dos certificados para dos dominios diferentes, estuve mirando la pagina de siteground y también chateando un rato con un asesor. El problema es que aún no disponen de servidores en España y con la LOPD esto puede ser un problema… Una lástima, ¡como hosting prometen!

    1. La LOPD solo pide que declares el fichero de datos, da igual dónde esté. De hecho muchos hosting que dicen tener iP y servidores en España en realidad no es así, son enmascaramientos y redirecciones.

      1. César Medrano Gómez

        Bueno, en todo caso quedaron en contactarme por email para informarme más a fondo sobre el tema… Ya os contaré si me contestan…

  27. Hola, muy buen articulo, tengo instalado lets encrypt en mi servidor y estoy configurando un ecommerce con woocomerce
    al instalar el método de pago de webpay (Chile) hay algunas url que me dan conflicto y me gustaria saber como puedo excluir 2 url para que entren por el puerto 80

  28. De momento cPanel no lo soporta, aunque hace un mes comentaban en su web oficial que ya estaba disponible… Por tanto la mayoría de hostings no permiten esta opción (supongo que dependerá de si han actualizado su versión de cPanel).

    Estos son algunos de los que uso y su posición actual respecto a Let’s Encrypt:

    – Raiola Networks: en desarrollo, debería estar disponible «en breve».

    – Banahosting: ofrecen un certificado por 9,95$ anuales y 10$ por instalarlo.

    – Minerva Hosting: recomiendan comprar un certificado «de verdad» como el de DonDominio por 5€ al año.

    Aclarar que ya no hace falta tener IP dedicada en ningún caso a partir de Linux CentOS 6.

    No me daba tanta confianza como uno de pago pero al estar Google detrás de esta iniciativa me surge la duda… Puede que incluso, como suelen hacer, beneficien en términos de posicionamiento a los sitios que lo utilicen, al ser un servicio suyo como AMP, frente a otros de pago.

    ¿Qué opinas sobre eso de que no sea un «certificado de verdad»?

    Saludos

  29. Pingback: http o https | Episodio 42 | Borja Girón

  30. Pingback: 12 tareas imprescindibles después de instalar WordPress

  31. El alojamiento web de STRATO AG, también lo incorpora (Area cliente > Seguridad > STRATO SSL).
    Recuerdo que al poco de ver este artículo… tardarían algún tiempo en ofrecerlo de forma gratuita, porque me consta que lo cobraban meses atrás.

  32. Hola a todos lo he instalado en plesk Pero mi web sale como sitio de no confianza. ¿A que es debido esto?

    Un saludo para todos.

  33. Jordan Malpica

    tengo una duda, mi proveedor de hosting indica que debo contratar una IP dedicada para mi dominio y poder usar SSL.

    he leído todo el post y no menciona si debe tener una IP fija para que pueda tener respuesta del servidor.

    Esa es mi duda.

    1. Siento decirte que tu proveedor de hosting te trata de tomar el pelo, o ya que no te vende el SSL pretende cobrarte por una IP fija que no es necesaria para Let’s Encrypt ni ningún otro certificado

  34. Pingback: Tutorial Divi: Solución a mapas que no funcionan

  35. Pingback: No tener HTTPS podría penalizar el SEO de tu web

  36. Hola
    Sabe alguien si webempresa tiene implementado también el «sistema sencillo» de instalación de Let’s Encrypt? Gracias

  37. Hola Fernando. Sensacional tutorial, en un rato de una tarde conseguí poner el https en mi wordpress, así que enhorabuena de entrada y gracias por la ayuda.

    Sólo una consulta, a ver si puedes saber si tiene que ver. Creo que coincide en el tiempo con esta migración a https que de vez en cuando mientras escribo, guardo, navego dentro de WordPress (no en la web, sino en WordPress en la página wp-admin) se queda bloqueada la pantalla unos segundos y a continuación me aparece un error 504 Gateway Timeout indicando que el navegador funciona OK, CloudFlare también y que el problema está en el host (en mi caso, SiteGround). Me puse en contacto con estos últimos y me dijeron que desactivara CloudFlare… ¿Sabes si puede tener que ver con el paso a https?

    Si me puedes dar alguna pista, te estaría muy agradecido. Muchas gracias de antemano.

    1. Podría ser, de hecho con CloudFlare a veces hay que hace algún cambio en la configuración, si no resuelve bien la redirección, que al fin y al cabo es lo que hace tener el cambio de url de http a https

  38. Marcos Fernandez Volpe

    Hola Fernando, me queda por hacer una pregunta, habiendo leido tu post y otro anterior del mismo tema. Si los sitios hechos con wordpress no realizan transacciones comerciales, funcionan como sitios estaticos, ¿igualmente van a necesitar certificado?

    1. La idea es que si hay circulación de usuarios, contraseñas, pagos, lo que sea, con SSL esos datos viajan encriptados, y sin SSL no. No ha especificado demasiado Google pero en principio por lo que han publicado todo sitio con formularios en los que se pidan datos de usuario podrían estar afectados/penalizados si no tienen SSL y Chrome los mostrará como no seguros.

      Pero ya te digo que no han especificado demasiado ¿significa eso que todo WordPress estaría penalizado si no tiene SSL? A fin de cuentas por defecto hay login con usuario y contraseña, formularios con nombres y emails, pues sin especificar más en principio parece ser que sí, o así lo he entendido yo

  39. Antonio Ortiz

    Hola a todos: He activado SSL en otro de mis blogs https://pinsapo.com, pero cuando activo el pluging Really Simple SSL me salen muchos errores en el escritorio (copio parte de ellos). Si desactivo el pluging desaparecen los errores, pero ahora casi continuamente la web me está pidiendo que haga login, me valido como usuario pero nada mas salgo del escritorio tengo que volver a hacer login.

    Gracias de antemano por cualquier ayuda.

    inicializado sin usar $wp>init(). Please see Debugging in WordPress for more information. (This message was added in version 2.3.) in /var/www/vhosts/pinsapo.com/httpdocs/wp-includes/functions.php on line 3996 Notice: bp_setup_current_user was called incorrectly. El usuario actual se está iniciando sin usar $wp->init(). === Trace: #6 /var/www/vhosts/pinsapo.com/httpdocs/wp-content/plugins/really-simple-ssl/class-admin.php(89): current_user_can(‘manage_options’) #7 [internal function]: rsssl_admin->init(») #8 /var/www/vhosts/pinsapo.com/httpdocs/wp-includes/plugin.php(524): call_user_func_array(Array, Array) #9 /var/www/vhosts/pinsapo.com/httpdocs/wp-settings.php(295)

  40. Pingback: Pasa tu web a HTTPS utilizando Let'e encrypt - Poesía Binaria

  41. Pingback: Securización global de la web – Tony Agramunt

  42. Luciano Camilo

    Fernando, una vez que ya utilizamos Really Simple SSL se puede desactivar?

    Saludos y gracias por este excelentísimo artículo!

    1. Si claro, en cualquier momento puedes eliminar el certificado, o si no lo quieres eliminar simplemente cambiar la URL de tu sitio a sin https quitando también la redirección y demás. Otra cosa es si debes hacerlo y que debes de tener precaución siempre que cambies una url, en estos casos todas

      1. Luciano Camilo

        Perdón, no me exprese bien. La consulta tiene que ver con que yo tengo el certificado y lo quiero seguir teniendo, solo quería saber si una vez que aplico las configuraciones con Really Simple SSL ya podría luego desactivar y borrar el plugin o es imprescindible mantenerlo activo para que el certificado siga funcionando correctamente.

        Saludos!

        1. Ah vale, perdón, no te entendí.

          Si usas el plugin y lo desactivas te devuelve a la situación anterior así que tendrías que hacer los cambios manualmente como también se explica en el artículo.

          Un abrazo.

  43. Pues no lo conocía, pero por lo que veo en los foros da muchos problemas aún de conexión con servidores, no funciona en subdominios y más problemas. La idea es genial pero yo preferiría asegurarme activando el SSL en mi hosting la verdad, al menos de momento.

    Otra cosa es que por lo que leo el plugin no activa SSL en tu sitio, solo es una plataforma para conseguir el Let’s Encrypt, aún tendrías luego que cambiar las URLs de tu sitio, hacer la redirección … o instalar el plugin Really Simple SSL. Estaría perfecto si hiciesen un mix de ambos para que fuese una solución completa.

    Habrá que seguirle la pista porque ya te digo que el concepto es chulo 🙂

  44. Pingback: Crea certificados SSL gratuitos sin salir de WordPress

  45. Pingback: Cómo recuperar los contadores sociales tras cambiar de HTTP a HTTPS

  46. ¡Muchas gracias por el tutorial! Acabo de leerlo y, sobre la marcha, lo he instalado y activado y ya tengo mi web con su SSL, después de un tiempo queriendo hacerlo pero sin decidirme, precisamente, por los precios de los certificados de pago.

    He de decir que lo he instadado sin problemas en CDmon, ya que desde su panel de control da la opción de instalar el certificado de Let’s Encrypt. Único problema en esta caso: da error algo relacionado con el host name del servidor .srv.cat, pero por lo demás, todo ok. A ver si hablo con la gente de CDmon y les pregunto qué pasa con esto.

    Lo dicho: ¡gracias! 🙂

    1. Genial, me alegro que la (buena) gente de CDMon también lo hayan incorporado … y funcione. Hace tiempo lo vi en el panel pero no iba fino.

      A mandar 🙂

      1. Hola de nuevo, Fernando.

        Todo va ok, sin problemas, pero el único fallo que hay: al hacer login en WordPress para acceder a mi panel de control de la página, me dice que…

        Not Found

        The requested URL /http://www.mipágina.com/wp-admin/ was not found on this server.»

        He visto que las líneas que había que añadir al wp-config no estaban añadidas (usé el plugin que recomendabas), por lo que las he añadido a mano, pero nada, sigue sin redirigir a la página del escritorio de WordPress. Para ello tengo que ir a mi página de inicio y ya desde el menú superior de arriba poder acceder a mi panel…

        ¿Sabes qué puede pasar? Gracias 🙂

  47. Solo una cosa. Al utilizar lo siguiente en htaccess vas a conseguir una redireccion 302 (temporal):

    RewriteEngine On
    RewriteCond %{SERVER_PORT} 80
    RewriteRule ^(.*)$ [R,L]

    Si quieres conseguir una redireccion permanente 301(lo recomendado), hay que poner lo siguiente:

    RewriteEngine On
    RewriteCond %{SERVER_PORT} 80
    RewriteRule ^(.*)$ [R=301,L]

  48. Pingback: ¿Por qué tu empresa de hosting debería instalar certificados SSL gratis por defecto?

  49. Pingback: HTTPS. SSL con Let's Encrypt - Sergio TOCA MORENO

  50. Jonathan Alcaide

    Hola aun se renueva solo? o hay que hacer algo? por que me manda correos diciendo que vencera dentro de algunos dias :/

  51. Pingback: Chrome identifica como ‘No seguro’ las web sin HTTPS

  52. Pingback: HTTP/2 y WordPress – El futuro de la Web

  53. Pingback: ¡Urgente! Google Chrome y Firefox YA MARCAN como “No seguras” webs sin HTTPS

  54. Pingback: ¡Urgente! Google Chrome y Firefox YA MARCAN como “No seguras” webs sin HTTPS

  55. Hola Fernando,

    Me gustaría probar esto, pero antes tengo una inquietud, no soy un usuario muy avanzado y veo que mi hosting «vende» este servicio, lo que me genera muchas dudas sobre si debo instalar esto de forma gratuita. Por ejemplo está wiroos que cobra: US$75,58 al año. ¿Debería consultar con ellos o puedo seguir el tutorial e instalar de forma gratuita con Lets encrypt?

  56. Muchas gracias por el post, el plugin «SSL Insecure Content Fixer» Ha solucionado el contenido mixto de varias web que tenía y siguiendo los pasos he instalado Let’s Encrypt sin ningún problema.

  57. Algo no lo has cambiado bien, seguramente las URLs de WordPress en Ajustes -> Generales. Ve a la base de datos y en la tabla options cambia las rutas http a https

  58. Una observación, este post de Fernando (que se agradece la enorme labor) habla desde el punto de vista de clientes megapremium, para los simples mortales, si tienen activo Cloudflare, desactívenlo. Y no hagan el cambio en la base de datos hasta estar muy seguros de el cambio, de otra forma puede darte terribles dolores de cabeza, y Siteground en lo planes básicos cobra cualquier restauración.

    1. ya comento también lo de CloudFlare, es fuente de problemas.

      Lo de las restauraciones en SG no sé a qué tipo te refieres, tienes backups diarios en todos los planes y te restauran sin coste.

      1. Yo estuve con Siteground hasta diciembre de 2016, por cierto con tu enlace de afiliado (no estaría mal que un día me invites una fría 😉 ) Y nop, los chicos de SG son enormes para el servicio, pero cuando hay que pasar por caja, hay que pasar. En los planes para gente normal, te hacen backup, sí, pero si lo quieres usar, pagas. Y el Cpanel está capado, prueba tú mismo en una cuenta «nofernando», y verás que no hay forma.
        En cuanto a los CDN, cualquiera, una vez hecho el cambio si no resulta, hay que pasar por caja par la restauración, porque tu url de admin ya está como https y Cpanel está capado. Cuando tenga dinero regreso a Siteground, sin dudas. Es sólo un apunte

        1. No sé que te pasaría pero en todos los cPanel puedes entrar en la base de datos, en todos hay PHPMyAdmin, tengo varias cuentas, de todo tipo, cuentas «nofernando» como dices jaja, y en todas está, y en todas puedes restaurar un backup sin coste, y no está capado cPanel. De todos modos me informo a ver qué te pasó, es raro.

          1. Se puede por medio de la BD, tienes razón, pero estarás de acuerdo que cuando la web se viene abajo por un error, cualquiera que este sea, se agradecería un botón salvador sin costo (plan startup)… cuando te estás ahogando en el río no deberías pensar si debiste haber atado una cuerda en la orilla, quieres algo que asir antes de ahogarte. En mi caso, me salvaron la vida los de soporte extendiendo una mano, no las políticas de la empresa en el plan básico.

  59. Pingback: Como tener certificado ssl gratis en tu pagina web - Gesemweb

  60. Hola Fernando,muy, muy buen post, pero tengo dudas que seguro puedes ayudarnos a mí a los demás lectores.
    Queda claro tu artículo y es muy didáctico.

    Me queda claro que logicamente hay que crear otra propiedad en search console con https: y decirle a analytics el cambio y que éste se comunique con console, la pregunta es…la propierdad http: esa que ya teníamos, hay que dejarla verdad..no se elimina??? por que aparentemente se sigue actualizando a pesar de que la propiedad https: se toma su tiempo para que la indexen.

    Entiendo que de eliminar la propiedad http:, habría que revertir todos los ajustes creados a https: …?? y esto no sería bueno si decidiesemos regresar a http:…supongo volver a empezar.

    Claramente me he tomado la libertad de actualizar el robots.txt y decirle a google donde está el sitemap con la url https:…espero no haya metido la pata.
    Hay que hacerlo..?? si no, no sería la url correcta, supongo.

    Sabes si penalizan la transición..??
    Gracias por todo, y a los que me orienten.
    saludos

    1. A ver si me sé explicar 🙂

      En Analytics simplemente se cambia la dirección de la propiedad de http a https, esa es la parte fácil, y una pena que no lo sea tanto en la Search Console, donde tienes que crear una nueva propiedad, y enviar un sitemap a la misma, pero la otra no la quites.

      Lo del robots.txt es un plus, no hace daño ni pide pan, buena idea.

      Toda cambio de URLs te hace perder algo, aunque solo sea por los enlaces que tienes por ahí que ahora apuntan a otra dirección y que, aunque tengas la redirección bien hecha en htaccess siempre genera retrasos, vamos, lo de siempre.

      1. Gracias por contestar fernan..!!
        Justo pensaba lo mismo, los enlaces al sitio con http:// generarán errores…supongo.

        Si me dejas parovecharme y seguir el hilo, creo que tiene relación la duda que te planteo, me gustaría tu opinión..por favor.

        Ahora yo tengo asociado los datos de analytics a console mediante una propiedad http://, es lo que a mí me parece.
        Siguiendo este enlace de abajo podrás verlo en una cuenta de google;
        (Supongo que tu andas mucho con estos y lo conocerás)

        Configuración de Search Consolehttps://analytics.google.com/analytics/web/?hl=es&pli=1#management/Settings/a11980308w25703674p24252064/%3Fm.page%3DPropertySettings%26m-content-embed.state%3Dembed.admin.integrations.wmx%26m-content-embed.dataset%3Da11980308w25703674p24252064%26m-content-embed.noForward%3Dfalse/

        Si le damos a editar en la propiedad, nos sale la cuenta actual a la que se están sirviendo los datos recojidos en analytics y la nueva https://.

        Cómo hemos cambiado de propiedad a https:// en la web, se supone que deberiamos cambiar la integración de analytics con la nueva propiedad https://…sería lógico no..??
        Para que nos dé realmente lo que necesitamos.

        Sucede que me entra morriña al desvincular la cuenta http://, lo he hecho pero cuando acepto los cambios me a dado miedo y he revertido.

        Te suene este tema..??
        Sucede algo si integramos la nueva cuenta https://.??

        Gracias fernando.
        saludos

  61. Hola, Fernando.

    Enhorabuena por el artículo y por el blog, referente en el mundo WordPress.

    Tengo mi web correctamente configurada en HTTPS. Sin embargo, recientemente he añadido un formulario de suscripción que aparece al pie de los artículos. Para ello he utilizado el plugin Thrive Leads. Pues bien, ahora todos los artículos me muestran contenido mixto debido a ese formulario, por lo que el candadito verde desaparece.

    ¿Qué puedo hacer? ¿Tocar algún código del plugin? ¿El htaccess?

    1. No he usado el plugin y no tengo acceso porque es de pago. Deberías preguntar a su soporte, que para eso te cobran, seguro que no eres al primero que le pasa. Seguramente use códigos y/o imágenes que no se sirven bajo https y por eso te da los errores

      1. Gracias, Fernando. Por fin he conseguido resolverlo. He cambiado la imagen que traía por defecto el formulario y he cambiado todas las URL de la conexión con Mailrelay de HTTP a HTTPS y funciona correctamente.

        Nos vemos en el webinar: ¡SEO a discreción! 🙂

  62. ¡Hola! He seguido todos los pasos y mi web ya tiene el certificado SSL… ¡Gracias!
    Lo único es que al pasarle el PageSpeed me sale un error que no salía antes de tener el SSL activado, de que mi página tiene 2 redireccionamientos y salen 3 urls: http://dominio.com, https://dominio.com y https://www.dominio.com. Me imagino que es cosa del plugin Really Simple SSL, porque si lo desactivo en PageSpeed el error desaparece. ¿Cómo podría solucionarlo?
    Gracias de antemano

  63. El mejor post sobre el tema que he encontrado.

    Tengo una tienda online y quiero incorporar el certificado SLL, pero mi proveedor de hosting y de dominio me dice que tengo que contratar un plan mayor y un pago de 20€ anuales, ya que necesito una IP propia si tengo pago con TPV Redsys. ¿Alguien me puede ayudar o confirmarme si es así?

  64. Hace unos días puse ssl con lets encrypt en una tienda woocommerce (en siteground) y los pedidos se pagan, pero se quedan en espera. WordPress no sabe que se han pagado. Me dicen en siteground que eso es porque Redsys no admite lets encrypt ¿¿¿???? Y la solución que me dan es un ssl superior por 95€.
    Y me pregunto, ¿entonces, cómo lo hace la gente? ¿Alguna solución antes de quitar el TPV y poner Stripe?

      1. Me expliqué mal. Se quedan en espera y al final cancelados por no ser pagados. Pero sí se han pagado. He llamado a Redsys y me han confirmado que solo aceptan lets encrypt para ips fijas. Telita.

  65. Hola Fernando, muy interesante tu entrada. Respecto al hosting que recomiendas, Siteground, me va ideal tu información porque estoy pensando en migrar de hosting. Y si puedes poner tu link desde la web a la empresa. Saludos

  66. Extraordinario post. Por lo que veo lleva mucho tiempo, mas de un año. Acabo de leerlo e implementarlo en mi sitio y ha ido todo perfecto.
    A día de hoy Nominalia también lo tiene instalado.
    Muchas gracias Gernando

  67. hipertelefono

    Buenas tardes Fernando excelente trabajo el que haces y muchas gracias por el tiempo que te tomas en ayudarnos, te pregunto a ver si te suena mi problema, siguiendo tus consejos instale este certificado en casi todas mis webs, una de ellas http://www.tiendascobocalleja.es es un directorio de mayoristas de un polígono de Fuenlabrada (Madrid) donde doy información de todas las empresas que hay en este sitio, muchas de las empresas que hay alli utilizan prestashop para sus tiendas online y hasta que instale este certificado todos ellos podían ver en sus prestashop a través de la opción de procedencia de los visitantes, todos los clientes que les mandaba desde mi web tiendascobocalleja.es en los enlaces a sus paginas webs, en todos ellos era el primer sitio que les mandaba visitas, ahora y justo desde que instale el certificado, ya no figura como que les mando ninguna visita a sus paginas web y yo he hecho la prueba pinchando en estos enlaces de mi a las tiendas desde varias direcciones ip diferentes que por lo menos esas si debería contabilizarlas y esta claro que es algún problema del certificado o de la instalación que la he hecho mal, a su vez tengo otros blog que también son directorios y que también instale este certificado y desde los que tienen el certificado ya no muestran las visitas y los que tengo sin certificado si las muestran, en google console y analytics ya cambie http x https el mismo dia que hice la instalacion, se te ocurre alguna solución, esperando haberme explicado bien

  68. Revista La barraca

    Hola Fernando, he seguido todos tus post para mejorar la velocidad y seguridad de mi web actual (y tengo en desarrollo otra la cual no dudé en alojar en sg por medio de tu recomendación y debo decir que el servicio de asistencia es excelente!)
    Mis conocimientos son bastante básicos y cometí el error de pedirle a mi host que me instalen let´s encrypt y luego, a los dos días yo instalé los de cloudflare. Mi pregunta es, cuál de los dos conviene más?

      1. …entonces para volver sobre mis pasos debería poner en off en la pestaña crypto los ssl y volver a delegar el dns a mi servicio de hosting? Esto no afecta el resto de las funciones de cloudflare? – entiendo que debe ser una bobera lo que consulto, pero soy novata en estos asuntos y tus explicaciones son muy claras, gracias por responder! 🙂 –

  69. Buen día!
    Te agradezco mucho el artículo, me sirvió muchísimo!
    Sólo me queda una pequeña (y grande) cuestión por resolver. Es con Search Console de Google. No entiendo bien qué es lo que hay que hacer. En la sección de Rastreo/Sitemap, le indico un nuevo sitemap, pero la dirección sigue apareciendo con ‘http’ y no ‘https’.
    Cómo debo hacer para que Search Console detecte la página con ‘https’’.
    Muchas gracias por tu tiempo.

    1. La secuencia es :

      1. Añades la nueva propiedad con https (sin borrar la anterior en http)
      2. Accedes a la sección de Rastreo > Sitemap de la nueva propiedad ( https) y le añades el sitemap

  70. Buenas Fernando,

    Una consulta sobre el código que hay que meter en el archivo .htaccess

    En el post indicas el siguiente código:
    RewriteEngine On
    RewriteCond %{SERVER_PORT} 80
    RewriteRule ^(.*)$ [R=301,L]

    Pero también he visto por foros que recomiendan este otro:
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

    ¿Alguno me puede indicar las diferencias y cual es mejor? ¿los dos valen y hacen el trabajo de redireccion correctamente?

    Muchas gracias!

  71. Pingback: Cómo forzar que un sitio http use siempre https (certificado / encriptado / ssl) – Laravel Senior

  72. Hola Fernando, en referencia a Search Console de Google y el SEO en este viaje a la seguridad web, aparte de añadir la propiedad, poniendo nuestro dominio como https. Te parece conveniente el hacer en Cambio de dirección en http.
    Sabes como afectara esto a los Enlaces al sitio
    Descripción general » Todos los dominios
    Los 41 dominios principales con enlaces a las páginas de tu sitio
    Gracias, muy buen trabajo como siempre
    😉

    1. En la Search Console no hay que cambiar nada a las propiedades existentes y TAMPOCO BORRARLAS. Google ya sabe cómo hacer con tus dominios. Siempre recuerda subir el sitemap a la propiedad con https

  73. Daniel Vázquez Pérez

    Hola Fernando como siempre gran articulo y eso de las actualizaciones realmente ayuda, una pregunta una vez que instalo el plugin Really Simple SSL y haga los 3 pasos mencionados puedo desactivarlo y borrarlo? O se debe quedar ahi activado?

      1. Daniel Vázquez Pérez

        Gracias por tu respuesta Fernando, solo una molestia mas, ya añadí las lineas a los archivos .htaccess y a .wp-config.php , solo copie y pegue las líneas en la parte de abajo de los 2 archivos , es correcto? O las líneas van en algún lugar específico?

  74. Pingback: Como hacer para que mi web sea HTTPS. ➥ Guía Definitiva

  75. Giuseppe Cuttone

    Hola Fernando, primero agradecerte por tus brillantes aportaciones.
    Quisiera instalar LETSENCRYPT en un VPS de strato, y no puedo hacerlo simplemente instalando la extensión que proporciona PLESK, ya que el PLESK que proporciona STRATO tiene «capada» esa opción.
    Desde STRATO me dijeron que tengo que instalar LETSENCRYPT manualmente.
    Tengo entendido que tengo que utilizar la siguiente linia de mando:
    ./letsencrypt-auto –apache
    pero a la hora de ejecutar las lineas de mando, parece me pida en que directorio tengo que instalar LETSENCRYPT.
    Podrias indicarme en que directorio tengo que instalarlo? O alternativamente podrias especificarme algunos detalles más especifico para poder sin problemas instalar manualmente LETSENCRYPT?
    Muchas gracies por tu ayuda. Un saludo.

      1. Roosevelt Gordones

        jajajajaja. ¡Lo pude hacer! ¡Qué complicado lo pone GoDaddy! Pero ya sé que debo considerar cambiar de hosting para futuros proyectos… ¡Gracias!

          1. Roosevelt Gordones

            Paso a paso como lo explicas aquí… pero no es inmediato, sino que tarda unas horas en tomar los certificados del plugin Let’s Encrypt… GoDaddy es complicado…

            Fer, ¡eres un pro! ¡un master!

          2. Roosevelt Gordones

            Fuera de este tema, Fernando, me gustaría contactarte para una actividad que tendremos aquí en Venezuela. Yo soy el director de la comunidad Blogueros de Venezuela, y probablemente te escriba por mensaje privado por Twitter referente a esto… ¡saludos!

  76. Pingback: HTTPS haz tu pagina mas segura - nicolaslozano.com

  77. Hola, excelente artículo. Pero me quedan determinadas dudas, es recomendable hacer este cambio ante los ojos de Google? Corro riesgo de perder cantidad de visitas provenientes del buscador al hacer cambio de dominio? Es decir, más allá de la seguridad, es favorable instalar un certificado SSL? me va a favorecer la cantidad de visitas o al contrario?

    Saludos, muchas gracias.

    1. Te respondo:

      ¿Es recomendable para Google? – Sí, ya ha dicho Google que va a premiar en sus SERP a las webs seguras
      ¿Puedo perder visitas al hacer el cambio de URL (que no de dominio)? – Si no haces las redirecciones bien a mano o con plugin sí claro. Hazlas, en el artículo explico cómo hacerlo.

      Y luego está ese imponderable que afectará a tus visitantes de ver que todas las páginas importantes son seguras y la tuya no. Y no digamos si el navegador (Chrome y Firefox ya lo hacen) te regala con un aviso de NO SEGURA en rojo. Ahí pierdes visitas/ventas seguro.

  78. Pingback: Cómo saber cuándo toca cambiar de hosting para tu WordPress

  79. Al meter la nueva propiedad en Search Console, ¿no hace falta eliminar las propiedades de http o cambiar algo en ellas? Lo digo por si Google se hace un lío, puesto que en la propiedad http ya le dijimos donde estaba el sitemap y ahora ha cambiado.

  80. Angel Sanchez Fuentes

    Buenos dias me ha pasado lo mismo que a Jose hace tiempo, al instalar el certificado, google me ha avisado de que
    Google ha detectado que el certificado SSL/TLS que se usa en https://escuelaenlanube.com/ es un certificado con firma automática, lo que significa que lo ha emitido el servidor en lugar de una entidad emisora de certificados. Como solo estas entidades se consideran fuentes de confianza para los certificados SSL/TLS, la mayoría de navegadores no pueden confiar en tu certificado. Además, si tienes un certificado con firma automática significa que el contenido no está autenticado, que se puede modificar y que un tercero puede interceptar los datos o el comportamiento de navegación de tus usuarios. Por lo tanto, es posible que muchos navegadores bloqueen el acceso de los usuarios mediante un mensaje con una advertencia de seguridad cuando intenten acceder a él. Se hace para evitar que un tercero intercepte el comportamiento de navegación de los usuarios, lo que se puede producir en sitios web que no son seguros.

    No lo ha hecho con https://www.escuelaenlanube.com, solo con la que no tiene www
    Podeis indicarme solución?
    Gracias a todos

  81. Nunca mejor explicado!
    Fernando Llevo unas semanas peleándome con los códigos, bueno mejor dicho plugins, porque códigos he tocado poco! La verdad que nunc hubiera podido hacer posible la migración de mi sitio sin el curso y todo el soporte que nos das, sin duda tu aporte a la comunidad de Wp es incalculable! Gracias Maestro!

  82. Hola
    Muchisimas gracias por el aporte es fantastico, lo que no consigo es que el certificado se renueve automaticamente, incluso por cron jobs
    Gracias,

  83. Hola, antes de nada darte las gracias y agradecimiento por este magnifico tutorial (y blog y webinars y …), después de varios intentos fallidos y consultar distintas fuentes, por fin logré instalar correctamente el lets encrypt siguiendo este tutorial.

    Ahora me gustaría hacerte una consulta, ya que me encuentro con un problema al instalar lets encript en un wordpress multisite, después de varios días buscando información, probando inserciones en htaccess y wp-config y probar diversos plugins de redirecciones, no soy capaz de resolver, te comento la situación:

    Se trata de una instalación wordpress multisite con subdominios donde quiero que todo vaya a https:// sin www
    instalé lets encript en el dominio principal y las redirecciones son correctas, tanto poniendo http://www.midominio.tdl como midominio.tdl como , siempre me lleva a

    el problema está en los subdominios, instalé un lets encrypt en subdominio1.midominio.tdl (probé uno nuevo y el del dominio principal), al escribir subdominio1.midominio.tdl me lleva correctamente a https, pero si delante pongo las www, , ya sea http://www.subdominio1.midominio.tdl o bien me arroja el siguiente error.
    No se puede acceder a este sitio web
    No se ha podido encontrar la dirección DNS del servidor de
    http://www.subdominio1.midominio.tdl
    DNS_PROBE_FINISHED_NXDOMAIN

    ¿Se te ocurre algo que puedo estar haciendo mal?, ¿por qué camino debería seguir indagando?

    un saludo y gracias de nuevo

    1. Se me ocurren dos cosas:

      – Let’s encrypt debe estar en cada subdominio, y www también funciona como un subdominio, en este caso a su vez de un subdominio. Vamos, que habría que instalar un SSL también para los www según la configuración de tu servidor
      – Revisa el panel de tu hosting a ver cómo tienes configurados los registros DNS y sus redirecciones

      1. vaya, no había caído en una cosa tan obvia, «www funciona como un subdominio», voy a explorar esta opción
        un saludo y gracias por tan pronta respuesta

    1. FRANCISCO GARCIA

      Buenos dias Fernando, supongo que en hosting compartidos tambien se podran instalar estos certificados no? hay alguien que lo haya conseguido en Hostalia?

  84. FRANCISCO GARCIA

    Buenos dias Fernando, supongo que en hosting compartidos tambien se podran instalar estos certificados no? hay alguien que lo haya conseguido en Hostalia?

    ahora si lo he hecho bien, disculpa miguel.

  85. Hola Fernando, gracias por tu post, gracias a el he podido instalar mi certificado de seguridad sin problemas pero… el logo de mi web a desaparecido! No aparece en ninguna página. Lo he cambiado de nombre y lo he vuelto a subir y nada. He visitado foros y no doy con la solución.
    ¿Puedes ayudarme o aconsejarme donde puedo encontrar información?

    Gracias!!

  86. Cristian Mezzadonna

    Muchas gracias por este post Fernando! te hago dos consultas: 1. vi que esta entrada es de principios de 2016, entonces sigue siendo esta la mejor opcion en cuanto a SSL Gratis? y 2. Sabes si se puede usar en un Reseller de Hostgator? Mil gracias!

  87. Gracias por este aporte!! he intentado hacer todos los pasos, se ha instalado bien el certificado, pero al hacer el paso de http a https.. he cambiado las lineas en el .htaccess y en wp.config, y al cambiar de http a https desde el admin del wordpress patapam! ha fallado! https://www.epdhdb.eu/ esta es la web, please help!? 😀

  88. Hola Fernando. Esta super la explicación e hice todos los pasos pero me surgió un problema, espero puedas ayudarme. A la hora de Guardar los cambios en la base de datos y darle al botón Buscar y Reemplazar, me sale el siguiente error (ya descargue y guarde la base): Tu búsqueda contiene la url actual de tu sitio. Si reemplazas la url de tu sitio lo más probable es que se rompa tu sitio. Si quieres cambiar la URL (y sabes lo que estás haciendo), por favor, utiliza la función de exportación y asegúrate de hacer copia de tu base de datos antes de volver a importar el archivo SQL modificado. Favor ayudarme!!!! Uso GoDaddy pero lo del SSL lo hice con el plugin Let’s Encrypt.

    1. A ver, el plugin detecta que estás cambiando el dominio por el mismo, pero si de verdad vas a cambiar http por https el cambio es el correcto. Haz el reemplazo tabla por tabla para controlar posibles errores

  89. Patricia Solera

    Hola! Necesito ayuda.
    Soy novata y contraté el dominio y hosting con Piensasolutions y he consultado y sólo permiten la instalación de certificado SSL que te ofrecen ellos con el pago. Indican que por motivos de seguridad no aceptan Lets Encrypter. Les he pedido que me ayuden a instalarlo, pero me dicen que no lo pueden hacer y no lo entiendo, pues lo utilizan grandes empresas. Da la sensación de que sólo quieren que les pague más (50€ al año por el certificado). Sabéis si hay alguna manera de instalarlo o todo depende del proveedor del hosting?

      1. Patricia Solera

        Mil gracias. Eso haré este fin de semana. Tenía 30 días de prueba y tengo hasta el 21 de Enero.
        Alguna recomendación? He visto que 1&1 ya ofrece el SSL integrado.
        Estoy empezando y aprendiendo al mismo tiempo por lo que necesito algo básico pero funcional y por supuesto que no sea caro.
        Mil gracias por la contestación!

  90. Patricia Solera

    Hola! Necesito ayuda.
    Soy novata y contraté el dominio y hosting con Piensasolutions y he consultado y sólo permiten la instalación de certificado SSL que te ofrecen ellos con el pago. Indican que por motivos de seguridad no aceptan Lets Encrypter. Les he pedido que me ayuden a instalarlo, pero me dicen que no lo pueden hacer y no lo entiendo, pues lo utilizan grandes empresas. Da la sensación de que sólo quieren que les pague más (50€ al año por el certificado). Sabéis si hay alguna manera de instalarlo o todo depende del proveedor del hosting?

  91. David Fernandez

    ¿Porqué decís que el certificado SSL Let’s Encrypt sólo se encuentra en Siteground cuando hay otros proveedores como Webempresa, Loading etc etc los cuales tienen instalador de SSL con Let’s Encrypt?

    1. No lo decimos, de hecho especifico que otros proveedores lo tienen o van añadiendo, y animo a compartir otros que lo vayan incorporando.

      Lo que sí es rigurosamente cierto es que SiteGround fueron los primeros en España en ofrecerlo, el resto lo han ido incorporando, afortunadamente para todos nosotros.

  92. Marcos Garcia

    Acabo de descubrir esta página buscando info sobre eso del HTTPS y los SSL y estoy encantado. Mil gracias por el trabajo de recopilar toda esta información y dárnosla tan bien explicada con enlaces, vídeos y demás. ¡Una caja de cervezas por tu gesta!

  93. identigrafica

    Hola Fernando, muchas gracias por esta información. Mi pregunta es: ¿sabes tu si el servicio de hosting de SiteGround ofrece servico de reseller? por lo que leo aquí es muy buena empresa y estoy pensando en migrar de hostgator. 🙁

    Saludos!!

  94. Toni Romaguera i Drets

    Let’s encrypt disponible y muy facil de instalar en Dinahosting. Solo es necesario escogerlo y esperar unos minutos a ue se active. Despuéshay que forzar https y ya está. Me cuesta imaginarlo más sencillo

  95. Buenas tardes Fernando. Ando teniendo un problema desde el cambio de certificado a SSL, todas las estadísticas del sitio se han perdido. Hay forma de recuperar esos datos del sitio en http?. Desde ya, muchas gracias

  96. Buenas tardes Fernando. Al instalar el cert SSL he perdido todas las estadísticas de redes sociales del sitio, es como si lo tomaran como un sitio nuevo. Hay manera de recuperarlas? Desde ya, muchas gracias

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Ir arriba Ir al contenido