Cómo migrar un sitio de HTTP a HTTPS

Pasar un sitio de HTTP a HTTPS es uno de los pasos más importantes para la seguridad de tu sitio y la confianza de los visitantes. Google marca los sitios HTTP como «No seguro» en Chrome, lo que espanta a los visitantes. Además, HTTPS es un factor de posicionamiento en Google. Consulta nuestra guía detallada de SEO para más información, desde 2014. En esta guía te acompañaremos durante todo el proceso de migración paso a paso.

Por qué importa HTTPS

HTTPS (Hypertext Transfer Protocol Secure) cifra la comunicación entre el navegador del visitante y tu servidor. Sin HTTPS, toda la información (incluidas contraseñas, datos de tarjetas de crédito y datos personales) se envía como texto plano que cualquiera en la red puede leer. Esto es especialmente peligroso en redes WiFi públicas, donde un atacante puede interceptar fácilmente el tráfico sin cifrar.

Además de la seguridad, HTTPS influye en la confianza del usuario. Chrome muestra un icono de candado junto a la URL en los sitios HTTPS y una advertencia de «No seguro» en los sitios HTTP. Según diversos estudios, el 85 % de los compradores online no compran en un sitio sin HTTPS. Incluso en los sitios que no procesan datos sensibles, HTTPS se ha convertido en el estándar que los usuarios esperan.

Google utiliza HTTPS como señal de posicionamiento desde agosto de 2014. Los sitios con HTTPS tienen una ventaja pequeña pero medible en los resultados de búsqueda frente a los sitios HTTP. Además, muchas tecnologías web modernas (HTTP/2, HTTP/3, Service Workers, Geolocation API) requieren HTTPS para funcionar.

Paso 1: Obtener un certificado SSL

Un certificado digital para la protección de la comunicación web es el certificado que habilita una conexión HTTPS. Existen varios tipos de certificados SSL. El certificado DV (Domain Validation) es el más sencillo y rápido de obtener: solo confirma la propiedad del dominio y suele emitirse en cuestión de minutos. Es una opción suficiente para la mayoría de los sitios.

El certificado OV (Organization Validation) confirma además la identidad de la organización y requiere la verificación de los datos de la empresa. El certificado EV (Extended Validation) ofrece el nivel de validación más alto y muestra el nombre de la organización en la barra de direcciones del navegador. Los certificados OV y EV se recomiendan para sitios de comercio electrónico e instituciones financieras.

Let's Encrypt ofrece certificados SSL DV gratuitos que se renuevan automáticamente. BeoHosting incluye certificados SSL gratuitos de Let's Encrypt en todos los planes de hosting, con instalación y renovación automáticas: no tienes que hacer nada, el SSL se activa en cuanto el dominio se propaga a nuestro servidor. Para las empresas que necesitan certificados OV o EV, también ofrecemos certificados SSL comerciales.

Paso 2: Instalar el certificado SSL

Si usas BeoHosting, el SSL ya está instalado y activo en tu dominio. En otros proveedores, el proceso depende del panel de control. En cPanel, ve a SSL/TLS Manager y luego a «Install and Manage SSL for your site». Selecciona el dominio, introduce el certificado, la clave privada y el CA bundle, y haz clic en Install.

Para Let's Encrypt en cPanel, ve a «Let's Encrypt SSL» o «SSL/TLS Status» y haz clic en «Issue» para tu dominio. El proceso es automático y el certificado estará activo en segundos. Asegúrate de emitir el certificado tanto para la versión www como para la versión sin www de tu dominio, de modo que ambas queden cubiertas.

Tras la instalación, comprueba que el SSL funciona correctamente abriendo tu sitio con el prefijo https://. Deberías ver el icono de candado en la barra de direcciones, sin advertencias. Si ves una advertencia sobre una conexión insegura, puede que el certificado no esté instalado correctamente o que haya un problema con la cadena de certificados.

Paso 3: Configurar las redirecciones

Tras instalar el SSL, debes redirigir todo el tráfico HTTP a HTTPS. Sin redirecciones, tu sitio estará disponible tanto en http:// como en https://, lo que genera problemas de contenido duplicado para el SEO. Además, los usuarios que escriban tu dominio sin el prefijo https:// seguirán viendo la versión insegura.

La forma más habitual de redirigir es mediante el archivo .htaccess en servidores Apache. Añade el siguiente código al principio del archivo .htaccess: RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]. Esto redirigirá de forma permanente (301) todas las peticiones HTTP a la versión HTTPS, conservando la ruta y los parámetros originales.

En servidores Nginx, añade un bloque server que escuche en el puerto 80 y devuelva una redirección 301 a la versión https://. En servidores LiteSpeed (que es lo que usa BeoHosting), las reglas de .htaccess funcionan igual que en Apache. Asegúrate de usar una redirección 301 (permanente), no 302 (temporal), para que Google transfiera correctamente el valor SEO a la versión HTTPS.

En los sitios WordPress, cambia también la WordPress Address y la Site Address en Ajustes > Generales de http:// a https://. Así te aseguras de que WordPress genere todos los enlaces internos con el prefijo HTTPS.

Paso 4: Corregir el contenido mixto

El contenido mixto es el problema más habitual tras migrar a HTTPS. Se produce cuando una página HTTPS carga recursos (imágenes, scripts, estilos) por HTTP. El navegador bloquea o advierte sobre ese contenido mixto, porque los recursos sin cifrar en una página cifrada socavan la seguridad de HTTPS.

Para encontrar contenido mixto, abre tu sitio en Chrome, pulsa F12 para abrir las Herramientas para desarrolladores y mira la pestaña Console. Cada problema de contenido mixto aparecerá como una advertencia o error con la URL exacta del recurso problemático. Además, una herramienta como Why No Padlock (whynopadlock.com) puede escanear tu sitio en busca de problemas de contenido mixto.

En los sitios WordPress, el plugin Really Simple SSL corrige automáticamente la mayoría de los problemas de contenido mixto cambiando los enlaces HTTP a HTTPS. Para una corrección manual, cambia todos los enlaces internos de http:// a https:// en el contenido del sitio. Usa la herramienta Search Replace DB o el plugin de WordPress Better Search Replace para reemplazar de forma masiva http://tudominio.com por https://tudominio.com en la base de datos.

En cuanto a los recursos externos (imágenes de otros sitios, scripts de terceros), comprueba si están disponibles por HTTPS. La mayoría de los servicios modernos lo soportan. Si algún recurso externo no está disponible por HTTPS, plantéate alojar ese recurso en tu propio servidor o buscar una alternativa que sí soporte HTTPS.

Paso 5: Actualizar Google Search Console

Google Search Console trata las versiones HTTP y HTTPS de tu sitio como propiedades distintas. Tras migrar a HTTPS, debes añadir una nueva propiedad para https://tudominio.com en Search Console. No elimines la antigua propiedad HTTP: consérvala para seguir cómo Google realiza la transición a la versión HTTPS.

En la nueva propiedad HTTPS, envía un sitemap.xml actualizado que contenga las URL HTTPS. Comprueba que el robots.txt esté disponible en la versión HTTPS y no bloquee el acceso a páginas importantes. Vigila el informe de Cobertura en las semanas siguientes para ver si Google está indexando correctamente las versiones HTTPS de tus páginas.

Asimismo, actualiza tu sitio en Google Analytics (cambia la URL predeterminada a https://), en Google Business Profile y en todos los demás servicios donde tengas registrado tu sitio. Actualiza también los enlaces en las redes sociales y en las firmas de correo electrónico para que usen la versión HTTPS.

Paso 6: Verificación y pruebas

Una vez completados todos los pasos, prueba el sitio a fondo. Comprueba que todas las páginas cargan la versión HTTPS. Prueba las redirecciones: escribe http://tudominio.com, http://www.tudominio.com, https://www.tudominio.com y todas deberían llevarte a https://tudominio.com (o a la versión www, según tu preferencia).

Usa el test de SSL Labs (ssllabs.com/ssltest) para verificar la configuración del certificado SSL. El objetivo es una calificación de A o A+. Este test comprueba la versión del protocolo SSL/TLS, la robustez del cifrado, la cadena de certificados y posibles vulnerabilidades. Si obtienes una calificación inferior a A, sigue las recomendaciones para mejorarla.

Comprueba que todos los formularios, el inicio de sesión de usuarios, las funcionalidades de comercio electrónico y los elementos interactivos funcionan correctamente por HTTPS. Pruébalo en distintos navegadores y dispositivos. Vigila Google Search Console durante las semanas siguientes por si aparece algún error en la indexación de la versión HTTPS.

Conclusión

Migrar de HTTP a HTTPS es un paso esencial para la seguridad y el SEO de tu sitio. El proceso requiere atención al detalle, pero con el enfoque adecuado puede completarse en unas pocas horas. Los pasos clave son la instalación del certificado SSL, la configuración de redirecciones 301, la corrección del contenido mixto y la actualización de Search Console. Con BeoHosting, el certificado SSL es gratuito y se instala automáticamente, lo que elimina el paso más complejo del proceso. Si necesitas ayuda para migrar a HTTPS, nuestro equipo de soporte está a tu disposición.