Volver al Diario
SeguridadNº 00202 de junio de 20264 min

HTTPS ya no es una feature. Es baseline.

En 2026, cualquier sitio sin certificado SSL le está diciendo al visitante que se vaya — y el navegador se encarga de subrayarlo.

Hace cinco años, vender un "sitio con SSL" todavía era un argumento de venta. El candado verde. La frase "tu sitio queda seguro". Hoy es el mínimo que se espera de un sitio profesional, y no tenerlo ya no es un descuido técnico — es señal de negligencia.

Qué hace el navegador sin HTTPS

Chrome, Safari, Firefox, Edge: todos muestran "No seguro" en la barra de direcciones de cualquier página HTTP. Los formularios con campos sensibles se bloquean o generan avisos rojos. En móvil, el aviso ocupa la pantalla completa antes de que el usuario pueda enviar nada.

Desde el punto de vista del comprador: el visitante llega, ve el aviso y se va. El producto no importa. La confianza se rompió en tres segundos.

Dónde HTTPS ya es técnicamente obligatorio

Los Service Workers (PWA, offline-first) solo funcionan en HTTPS. HTTP/2 y HTTP/3 también. Geolocalización, cámara, micrófono, notificaciones push — todas dependen de contexto seguro. Las APIs modernas, en general, se niegan a correr fuera de HTTPS.

En la práctica: cualquier aplicación mínimamente moderna necesita HTTPS solo para arrancar.

Cuánto cuesta

Cero. Let's Encrypt emite certificados gratuitos con renovación automática desde hace casi una década. Cloudflare ofrece SSL flexible también gratis. Cualquier hosting serio en 2026 instala SSL con un clic. No hay excusa de coste — y, francamente, no hay excusa alguna.

Qué verificar ahora

  • El dominio principal redirige automáticamente de HTTP a HTTPS
  • Todos los subdominios (www, app, admin) también fuerzan HTTPS
  • El certificado es válido en todos los navegadores y se renueva solo
  • HSTS está activo (cabecera Strict-Transport-Security)
  • No hay mixed content — recursos cargándose vía HTTP dentro de una página HTTPS

Si alguno de estos puntos no pasa, el problema no es decorativo. Es operativo.

Referencias
  1. 01Mozilla MDN — HTTPS overview
  2. 02Let's Encrypt — Free, automated SSL
También:
SeguridadNº 009

El ataque que nadie ve llega por el formulario de contacto de tu web

El formulario de contacto parece inofensivo. Es la puerta más abierta que tienes, y casi nadie la cierra con llave.

SeguridadNº 004

Cómo un certificado SSL caducado sacó tu tienda de Google en 48 horas

Un certificado caduca un miércoles a las 03:14. El viernes por la mañana el tráfico orgánico se hundió. No fue mala suerte, fue negligencia medible.

Volver al Diario