Hablemos
InicioPublicacionesHTTPS en 2025: Por Qué el 95% de Google Ya Es Segu...
Diciembre 20258 min. de lectura

HTTPS en 2025: Por Qué el 95% de Google Ya Es Seguro y Tu Sitio Debería Serlo

HTTPSSSLTLSSeguridad Web
Certificado SSL HTTPS: seguridad web, candado verde y protección de datos en sitios web

En 2015, tener HTTPS era un lujo para bancos y e-commerce. En 2025, el 95% del tráfico de Google ya es seguro. Si tu sitio sigue en HTTP, no solo eres invisible para los motores de búsqueda: eres sospechoso para tus visitantes.

El estado de HTTPS en 2025: Los números

Según SSL Insights y el Transparency Report de Google:

Métrica20192024-2025Cambio
Sitios con SSL válido18.5%87.6%+373%
Tráfico de Google cifrado75%95%+27%
Certificados SSL globales185M299M+62%
Sitios top en SERPs con HTTPS~70%95%+36%
Usuarios Chrome en HTTPS~80%93.2%+17%

La adopción ya no es opcional. Es el estándar mínimo.

Crecimiento de certificados SSL

text
Certificados SSL activos (Enero 2025):
─────────────────────────────────────
Global:        299 millones
Estados Unidos: 27 millones
Alemania:       12.2 millones
Reino Unido:    8.5 millones
 
Crecimiento 2021-2024: +57%

El veredicto de Google: "No Seguro"

Desde 2018, Chrome marca explícitamente los sitios HTTP como "No Seguros" en la barra de direcciones. Firefox y Safari siguieron el mismo camino.

Escenario real: Un cliente potencial en Santa Cruz entra a tu web para contratar tus servicios. Antes de leer tu primera línea, el navegador le grita en rojo que el sitio es peligroso.

¿Confianza? Cero. ¿Venta? Perdida.

Impacto psicológico en usuarios

Estudios de Baymard Institute muestran que el 18% de los usuarios abandonan un checkout si ven advertencias de seguridad. En e-commerce, HTTPS no es una mejora técnica, es una condición de supervivencia.

HTTPS y SEO: La conexión directa

Google confirmó que HTTPS es una señal de ranking desde 2014. Los datos actuales lo confirman:

Factor SEOImpacto
HTTPS como señal de ranking1-2% del score total
Sitios top 10 en SERPs con HTTPS95%
Mejora SEO reportada por sitios con SSL+35%
HTTP/2 (requiere HTTPS)Mejora significativa en Core Web Vitals

HTTP/2 requiere HTTPS

HTTP/2 mejora dramáticamente el rendimiento web (multiplexing, server push, header compression). Pero requiere HTTPS obligatoriamente.

Si estás invirtiendo en SEO pero tu sitio es HTTP, estás conduciendo con el freno de mano puesto:

  • No puedes usar HTTP/2
  • Core Web Vitals afectados negativamente
  • Ranking penalizado

TLS 1.3: El estándar actual

Aclaremos terminología: SSL está deprecado desde hace años. Hoy usamos TLS (Transport Layer Security). Pero por razones históricas, seguimos diciendo "certificado SSL".

Adopción de protocolos TLS (2024)

ProtocoloAdopciónEstado
TLS 1.370.1%Recomendado
TLS 1.280%+Aceptable
TLS 1.1~5%Deprecado
TLS 1.0~2%Deprecado, inseguro
SSL 3.0menos del 1%Vulnerable, no usar

El handshake TLS 1.3

Cuando un navegador se conecta a un servidor HTTPS:

  1. Verifica identidad del servidor mediante certificado firmado por CA
  2. Negocia algoritmos de cifrado (cipher suites)
  3. Genera claves de sesión para cifrado simétrico
  4. Establece canal seguro

TLS 1.3 redujo este proceso de 2 round-trips a 1, mejorando la latencia inicial en 30%.

Perfect Forward Secrecy (PFS)

TLS 1.3 implementa Perfect Forward Secrecy por defecto. Incluso si alguien roba la clave privada del servidor en el futuro, no puede descifrar sesiones anteriores grabadas. Cada sesión usa claves efímeras.

En HTTP, todo viaja en texto plano. Un usuario llenando un formulario de contacto desde WiFi público de un café: cualquiera con Wireshark puede leer ese mensaje palabra por palabra.

El mito del costo: Let's Encrypt

Muchos dicen: "Es que el certificado es caro".

Falso.

Gracias a Let's Encrypt, respaldado por Mozilla, Cisco, y la Linux Foundation, los certificados SSL son gratuitos y se renuevan automáticamente.

Configuración con Certbot (5 minutos)

bash
# Ubuntu/Debian con Nginx
sudo apt update
sudo apt install certbot python3-certbot-nginx
 
# Obtener certificado automáticamente
sudo certbot --nginx -d tudominio.com -d www.tudominio.com
 
# Verificar renovación automática
sudo certbot renew --dry-run

Let's Encrypt genera certificados válidos por 90 días. Certbot configura un cronjob que los renueva automáticamente. Set it and forget it.

Cambios en validez de certificados (2025-2029)

El CA/Browser Forum está reduciendo la validez de certificados:

AñoValidez máxima
2024398 días
20266 meses
202947 días

Esto es para combatir phishing (90%+ de sitios phishing ya usan HTTPS). La automatización con Let's Encrypt/Certbot será obligatoria.

¿Cuándo necesitas certificado de pago?

Solo en casos específicos:

TipoUsoCosto aproximado
DV (Domain Validation)Sitios personales, blogsGratis (Let's Encrypt)
OV (Organization Validation)Empresas que necesitan verificación$50-200/año
EV (Extended Validation)Bancos, e-commerce grandes$100-500/año
WildcardMúltiples subdominios$50-200/año

Para el 95% de sitios web, Let's Encrypt es suficiente.

HSTS: Forzando HTTPS desde el primer request

Configurar HTTPS no es suficiente. Necesitas HSTS (HTTP Strict Transport Security).

El problema

Un usuario escribe tudominio.com en el navegador. Por defecto, intenta HTTP primero, luego el servidor redirige a HTTPS. Esa primera petición HTTP es vulnerable a SSL stripping attacks.

La solución

nginx
# Nginx
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
apache
# Apache
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Parámetros:

  • max-age=31536000: El navegador recordará por 1 año que este sitio SOLO usa HTTPS
  • includeSubDomains: Aplica a todos los subdominios
  • preload: Permite incluir tu dominio en la lista HSTS Preload de Chrome

HSTS Preload List

Puedes registrar tu dominio en hstspreload.org. Una vez incluido, está hardcodeado en el navegador. Ni siquiera la primera visita puede ser interceptada.

Mixed Content: El error silencioso

Tienes HTTPS configurado, pero tu sitio carga recursos desde URLs HTTP. Chrome bloquea esto mostrando un candado roto.

html
<!-- ❌ Mixed Content -->
<script src="http://cdn.example.com/library.js"></script>
<img src="http://example.com/logo.png" />
 
<!-- ✅ Todo HTTPS -->
<script src="https://cdn.example.com/library.js"></script>
<img src="https://example.com/logo.png" />

En React/Next.js

Verifica tu .env:

bash
# ❌ Mal
NEXT_PUBLIC_API_URL=http://api.midominio.com
 
# ✅ Bien
NEXT_PUBLIC_API_URL=https://api.midominio.com

Detectar Mixed Content

javascript
// En DevTools Console
document.querySelectorAll('[src^="http:"], [href^="http:"]').forEach(el => {
  console.warn('Mixed content:', el.src || el.href);
});

APIs internas: También HTTPS

Error común en microservicios: "Mi API es interna, solo la llama mi frontend, no necesita HTTPS".

Incorrecto.

Aunque tu API no sea pública, si está en una red compartida (AWS VPC, por ejemplo), el tráfico HTTP puede ser interceptado. En ambientes corporativos o cloud, siempre HTTPS, incluso internamente.

Certificados para desarrollo local

Para desarrollo local, usa mkcert:

bash
# Instalar
brew install mkcert  # macOS
# o: sudo apt install mkcert  # Linux
 
# Crear CA local
mkcert -install
 
# Generar certificado para localhost
mkcert localhost 127.0.0.1 ::1
 
# Resultado: localhost.pem y localhost-key.pem

Esto genera certificados válidos para tu máquina sin warnings del navegador.

Certificate Transparency: El log público de SSL

Desde 2018, Chrome requiere que todos los certificados sean registrados en CT Logs (Certificate Transparency).

Es un sistema de logs públicos donde todas las CAs deben registrar los certificados que emiten. Previene:

  • Certificados emitidos por error
  • Ataques de CAs comprometidas (caso DigiNotar 2011)
  • Certificados fraudulentos

Verifica certificados de cualquier dominio en crt.sh.

Verificación: SSL Labs

Después de implementar, verifica en SSL Labs:

Puntuación objetivo: A o A+

text
Factores que evalúa:
────────────────────
✓ Certificado válido y cadena completa
✓ Protocolos soportados (TLS 1.2/1.3)
✓ Cipher suites fuertes
✓ Vulnerabilidades conocidas (Heartbleed, POODLE, etc.)
✓ HSTS configurado
✓ Certificate Transparency

Según SSL Pulse, el 28.7% de sitios top 150K aún fallan en seguir best practices de SSL.

Checklist de implementación

text
[ ] Certificado SSL instalado y válido
[ ] Redirección automática HTTP → HTTPS
[ ] HSTS header configurado
[ ] Renovación automática configurada (Let's Encrypt/Certbot)
[ ] Sin Mixed Content (verificar DevTools)
[ ] TLS 1.2 mínimo (preferible TLS 1.3)
[ ] HTTP/2 habilitado
[ ] APIs internas también en HTTPS
[ ] Verificado en SSL Labs: Grade A o A+
[ ] Dominio en HSTS Preload List (opcional pero recomendado)

Conclusión

En 2025, con el 87.6% de sitios usando SSL y el 95% del tráfico de Google cifrado, no configurar HTTPS es negligencia técnica.

Los certificados son gratuitos (Let's Encrypt). La configuración toma 5 minutos (Certbot). El impacto en SEO es medible (+35% mejora). No hay excusa.

Si tu proveedor de hosting te quiere cobrar $50 extra por un certificado SSL básico, cámbiate de proveedor. Aprende a configurar Certbot en un servidor Linux. Es una habilidad de 15 minutos que te ahorrará cientos de dólares y te dará control total sobre tu infraestructura.

No es una mejora. Es un requisito mínimo de higiene web.

El candado verde ya no diferencia a los sitios seguros de los inseguros. Diferencia a los sitios profesionales de los abandonados.

— David Morales Vega

Fuentes y recursos

David Morales Vega
David Morales VegaSolutions Architect & Tech Lead
LinkedInGitHub

Arquitecto de Soluciones y Technical Lead con 7+ años de experiencia en el diseño de ecosistemas digitales escalables y microservicios. Perfil híbrido único con doble titulación (Ingeniería de Sistemas + Derecho), especializado en alinear estrategia de negocio, cumplimiento normativo y tecnología. Docente universitario y conferencista comprometido con la innovación tecnológica.

IconHablemos de tu proyecto!

Contáctame