15%

Ahorra 15%<\/span> en todos los servicios de hosting

Pon a prueba tus habilidades y obtén Descuento<\/span> en cualquier plan de hosting

Usa el código:

Skills
Comenzar
23.10.2024
Category iconAdministración Category iconSeguridad

¿Qué es el protocolo HTTPS y cómo funciona?

HTTPS (HyperText Transfer Protocol Secure) es la versión cifrada de HTTP, que combina el protocolo estándar de transferencia web con TLS (Transport Layer Security) para crear un canal autenticado y cifrado entre el navegador del cliente y el servidor web. Cada byte de datos transmitido a través de HTTPS está protegido criptográficamente, lo que significa que ni los espías pasivos ni los atacantes activos de tipo man-in-the-middle pueden leer ni modificar silenciosamente la carga útil en tránsito.

En términos prácticos: cuando un navegador se conecta a https://example.com, primero completa un protocolo de enlace TLS que autentica la identidad del servidor mediante un certificado firmado, negocia un conjunto de cifrado y deriva claves de sesión simétricas — todo antes de que se intercambie un solo byte de datos de la aplicación. Solo después de que ese protocolo de enlace tiene éxito, la solicitud HTTP viaja a través de la red, completamente cifrada.

HTTP vs. HTTPS: Una Comparación Directa

CaracterísticaHTTPHTTPS
Capa de protocoloAplicación (TCP/IP)Aplicación sobre TLS
Puerto predeterminado80443
Cifrado de datosNingunoAES-256-GCM o ChaCha20-Poly1305 (TLS 1.3)
Autenticación del servidorNingunaCertificado X.509 firmado por una CA de confianza
Integridad de datosNingunaGarantías de cifrado HMAC / AEAD
Señal de posicionamiento SEONeutral (penalizado)Factor de posicionamiento positivo
Indicador del navegadorAdvertencia “No seguro”Icono de candado
Rendimiento (HTTP/2, HTTP/3)Soporte limitadoSoporte completo (requiere TLS)
Soporte HSTSNo
Susceptibilidad a MITMAltaInsignificante cuando se configura correctamente

El Protocolo de Enlace TLS en Profundidad

Comprender el protocolo de enlace es la base para diagnosticar errores de certificados, ajustar el rendimiento del servidor y reforzar las configuraciones de seguridad. El proceso difiere ligeramente entre TLS 1.2 y TLS 1.3 — y la diferencia importa operacionalmente.

Protocolo de Enlace TLS 1.2 (Heredado)

  1. ClientHello — El navegador envía los conjuntos de cifrado compatibles, la versión TLS y un nonce aleatorio (client_random).
  2. ServerHello — El servidor selecciona un conjunto de cifrado y envía su propio nonce (server_random).
  3. Certificate — El servidor transmite su cadena de certificados X.509 para que el navegador la valide contra su almacén de CA de confianza.
  4. ServerKeyExchange — Para Diffie-Hellman efímero (ECDHE), el servidor envía sus parámetros DH firmados con su clave privada.
  5. ClientKeyExchange — El navegador genera un secreto pre-master, lo cifra con la clave pública del servidor (RSA) o calcula un secreto DH compartido (ECDHE), y lo envía.
  6. ChangeCipherSpec / Finished — Ambas partes derivan las claves de sesión a partir de client_random, server_random y el secreto pre-master, y luego confirman con un mensaje Finished.

Total de viajes de ida y vuelta antes de los datos: 2 RTT.

Protocolo de Enlace TLS 1.3 (Estándar Actual)

TLS 1.3, estandarizado en RFC 8446, elimina varios mecanismos heredados y reduce significativamente la latencia:

  1. ClientHello — El navegador incluye inmediatamente su clave compartida (valor público ECDHE), junto con los conjuntos de cifrado compatibles. No se permite el intercambio de claves RSA.
  2. ServerHello + EncryptedExtensions + Certificate + CertificateVerify + Finished — El servidor responde en un único vuelo, cifrando ya las extensiones y su certificado mediante una clave de protocolo de enlace derivada.
  3. Client Finished — El navegador verifica el certificado del servidor y envía su mensaje Finished. Los datos de la aplicación pueden fluir inmediatamente después.

Total de viajes de ida y vuelta antes de los datos: 1 RTT. Con la reanudación 0-RTT (tickets de sesión), los visitantes recurrentes pueden enviar datos en el primer paquete — aunque esto introduce consideraciones de ataques de repetición que requieren un manejo cuidadoso del lado del servidor.

Mejoras clave de TLS 1.3 sobre 1.2:

  • Eliminado el intercambio de claves RSA (sin riesgo de confidencialidad directa)
  • Eliminados MD5, SHA-1, RC4, DES, 3DES
  • Confidencialidad directa obligatoria mediante ECDHE
  • Transmisión de certificados cifrada (reduce la filtración de metadatos)
  • El protocolo de enlace más rápido reduce el tiempo de carga de la página de forma medible en conexiones de alta latencia

Tipos de Certificados y Qué Protegen Realmente

No todos los certificados SSL/TLS son equivalentes. Elegir el tipo incorrecto es un error operativo común.

Validación de Dominio (DV)

Emitido en minutos por sistemas automatizados (p. ej., Let’s Encrypt). Prueba que el titular del certificado controla el DNS o el servidor web del dominio. Proporciona cifrado completo pero cero verificación de identidad de la organización detrás del dominio. Adecuado para blogs, proyectos personales y herramientas internas.

Validación de Organización (OV)

La CA verifica manualmente la existencia legal de la organización. El certificado incorpora el nombre de la empresa. Adecuado para sitios web empresariales y plataformas SaaS donde la confianza en la marca es importante.

Validación Extendida (EV)

El proceso de verificación más riguroso. Históricamente mostraba una barra de direcciones verde con el nombre de la empresa en los navegadores; los navegadores modernos han reducido esta distinción visual, pero los certificados EV aún incorporan información de entidad legal verificada en el propio certificado. Adecuado para instituciones financieras y comercio electrónico de alto valor.

Certificados Wildcard

Un único certificado cubre un dominio y todos sus subdominios de primer nivel (*.example.com). Advertencia crítica: un wildcard no cubre subdominios de segundo nivel (*.sub.example.com requiere un wildcard separado). El compromiso de una clave privada wildcard expone todos los subdominios simultáneamente — un radio de impacto significativo.

Certificados Multi-Dominio (SAN)

Los Subject Alternative Names (SANs) permiten que un único certificado cubra múltiples dominios distintos (example.com, example.net, shop.example.org). Ideal para entornos de alojamiento que gestionan múltiples propiedades desde un único servidor.

Por Qué HTTPS Es Innegociable en 2025

Cifrado de Datos Sensibles

Sin TLS, cada paquete entre un usuario y su servidor atraviesa una infraestructura de red potencialmente hostil — puntos de acceso Wi-Fi públicos, proxies transparentes de ISP y rutas secuestradas por BGP. Las credenciales, tokens de sesión, datos de pago y envíos de formularios son todos texto plano y se capturan trivialmente con herramientas como Wireshark. HTTPS elimina por completo esta superficie de ataque.

Identidad del Servidor Autenticada

La cadena de confianza del certificado evita que los ataques de suplantación de DNS y envenenamiento ARP redirijan silenciosamente a los usuarios a un servidor fraudulento. Cuando un navegador valida un certificado, confirma tres cosas: el certificado fue firmado por una CA en su almacén de confianza, el nombre de dominio coincide con los campos CN o SAN del certificado, y el certificado no ha expirado ni sido revocado (verificado mediante OCSP o CRL).

Integridad de Datos mediante Cifrados AEAD

Los conjuntos de cifrado TLS modernos utilizan Cifrado Autenticado con Datos Asociados (AEAD) — específicamente AES-256-GCM o ChaCha20-Poly1305. Estos proporcionan tanto confidencialidad como integridad en una sola operación. Cualquier intento de inversión de bits o inyección durante el tránsito provoca que la verificación MAC falle y la conexión se termine inmediatamente. Esto previene los ataques de inyección de contenido donde los ISP o intermediarios maliciosos insertan anuncios, scripts de seguimiento o malware en las respuestas HTTP.

SEO y Señales de Posicionamiento

Google confirmó HTTPS como señal de posicionamiento en 2014 y ha aumentado progresivamente su peso. Más allá del factor de posicionamiento directo, la advertencia “No seguro” de Chrome en páginas HTTP aumenta de forma medible las tasas de rebote — una señal de comportamiento que suprime indirectamente los posicionamientos. HTTP/2 y HTTP/3 (QUIC), que ofrecen mejoras de rendimiento significativas, requieren TLS en todas las implementaciones de navegadores principales. Las páginas más rápidas se posicionan mejor; HTTPS es el requisito previo.

HSTS y Precarga

HTTP Strict Transport Security (encabezado Strict-Transport-Security) instruye a los navegadores a rechazar todas las conexiones HTTP a un dominio durante un período max-age especificado, incluso antes de que se produzca una redirección. Enviar su dominio a la lista de precarga HSTS codifica este comportamiento en los binarios del navegador, eliminando por completo la ventana de vulnerabilidad en la primera visita.

Implementación de HTTPS: Una Guía de Nivel Producción

Paso 1: Obtener un Certificado SSL/TLS

Let’s Encrypt (gratuito, automatizado) es la opción estándar para la mayoría de los despliegues. Certbot es el cliente ACME de referencia:

sudo apt update && sudo apt install certbot python3-certbot-nginx -y
sudo certbot --nginx -d example.com -d www.example.com

Para Apache:

sudo apt install certbot python3-certbot-apache -y
sudo certbot --apache -d example.com -d www.example.com

Certbot modifica automáticamente la configuración de su host virtual y configura un cron job o temporizador systemd para la renovación. Los certificados de Let’s Encrypt expiran después de 90 días; la renovación automatizada se ejecuta cada 60 días por defecto.

Para probar la renovación sin realizar cambios:

sudo certbot renew --dry-run

Para entornos de producción que requieren certificados OV o EV, adquiéralos de una CA comercial (DigiCert, Sectigo, GlobalSign) y siga su proceso de emisión manual. La página de Certificados SSL de AlexHost cubre las opciones disponibles, incluidos certificados DV y comerciales.

Paso 2: Instalar y Configurar el Certificado en su Servidor Web

Ejemplo de Nginx (/etc/nginx/sites-available/example.com):

server {
    listen 443 ssl http2;
    server_name example.com www.example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305';
    ssl_prefer_server_ciphers off;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 1d;
    ssl_session_tickets off;

    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
    add_header X-Frame-Options DENY;
    add_header X-Content-Type-Options nosniff;

    root /var/www/example.com;
    index index.php index.html;
}

Ejemplo de Apache (/etc/apache2/sites-available/example.com-ssl.conf):

<VirtualHost *:443>
    ServerName example.com
    ServerAlias www.example.com
    DocumentRoot /var/www/example.com

    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
    SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem

    SSLProtocol -all +TLSv1.2 +TLSv1.3
    SSLCipherSuite HIGH:!aNULL:!MD5
    SSLHonorCipherOrder off

    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
</VirtualHost>

Paso 3: Forzar HTTPS con una Redirección Permanente 301

Nginx — añada un bloque de servidor separado:

server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$host$request_uri;
}

Apache — en .htaccess o el host virtual HTTP:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Use 301 (permanente) en lugar de 302 (temporal). Un 302 no transfiere la equidad de enlaces y no actualiza las cachés del navegador, lo que significa que los usuarios seguirán accediendo por HTTP en cada nueva sesión.

Paso 4: Resolver el Contenido Mixto

El contenido mixto ocurre cuando una página HTTPS carga subrecursos (imágenes, scripts, hojas de estilo, iframes) a través de HTTP. Los navegadores bloquean o advierten sobre el contenido mixto, rompiendo la funcionalidad de la página y eliminando las garantías de seguridad de HTTPS.

Detección: Abra Chrome DevTools (F12), vaya a la pestaña Consola y busque advertencias Mixed Content. Alternativamente, use el Comprobador de Contenido Mixto de SSL Labs o la herramienta why-no-padlock.com.

Estrategias de resolución:

  • Actualice las URLs http:// codificadas en la base de datos de su CMS usando una herramienta de búsqueda y reemplazo (p. ej., wp-cli search-replace 'http://example.com' 'https://example.com' para WordPress)
  • Establezca el encabezado Content-Security-Policy: upgrade-insecure-requests como mitigación temporal mientras corrige las fuentes
  • Audite los embeds de terceros — si un proveedor no admite HTTPS, reemplace o elimine el embed

Paso 5: Validar su Configuración

# Test certificate chain and expiry
openssl s_client -connect example.com:443 -servername example.com < /dev/null

# Check TLS protocol versions and cipher suites
nmap --script ssl-enum-ciphers -p 443 example.com

Para una auditoría externa completa, envíe su dominio al SSL Labs Server Test. Una calificación A+ requiere:

  • Solo TLS 1.2 y 1.3 (TLS 1.0 y 1.1 deshabilitados)
  • Sin conjuntos de cifrado débiles (RC4, 3DES, cifrados de exportación)
  • Encabezado HSTS con max-age >= 180 días
  • Sin problemas en la cadena de certificados (certificados intermedios incluidos)
  • OCSP stapling habilitado

Errores Comunes y Casos Extremos

La incompletitud de la cadena de certificados es el problema de producción más frecuente. Si instala solo el certificado hoja sin el certificado CA intermedio, la mayoría de los navegadores de escritorio aún resolverán la cadena (almacenan en caché los intermedios), pero los navegadores móviles, los clientes API y curl fallarán con SSL_ERROR_RX_RECORD_TOO_LONG o unable to get local issuer certificate. Utilice siempre fullchain.pem (Let’s Encrypt) o concatene hoja + intermedio para otras CAs.

El OCSP stapling reduce la latencia del protocolo de enlace y mejora la privacidad al hacer que el servidor almacene en caché y sirva la respuesta OCSP en lugar de requerir que el navegador contacte al respondedor OCSP de la CA. Sin stapling, cada protocolo de enlace TLS desencadena una solicitud HTTP de terceros, añadiendo 50–200ms de latencia en conexiones frías. Habilítelo en Nginx con ssl_stapling on; ssl_stapling_verify on;.

La seguridad de la clave privada se descuida con frecuencia. El archivo de clave privada debe ser propiedad de root, legible solo por el proceso del servidor web, y almacenado con permisos chmod 600. Nunca confirme claves privadas en el control de versiones. En infraestructura compartida, use módulos de seguridad de hardware (HSMs) o sistemas de gestión de secretos (HashiCorp Vault, AWS Secrets Manager) para el almacenamiento de claves.

La revocación de certificados wildcard tiene un impacto desproporcionado. Si una clave privada wildcard se ve comprometida y el certificado es revocado, todos los subdominios pierden HTTPS simultáneamente. Para entornos de alta seguridad, prefiera certificados por subdominio automatizados mediante desafíos ACME DNS-01.

La terminación TLS en el balanceador de carga es una arquitectura común donde TLS se descifra en el borde (balanceador de carga, CDN, proxy inverso) y el tráfico fluye sin cifrar internamente. Esto es aceptable solo si la red interna es completamente confiable y está aislada. Para entornos regulados (PCI-DSS, HIPAA), se requiere el cifrado de extremo a extremo — volviendo a cifrar el tráfico entre el balanceador de carga y los servidores backend.

HTTPS en la Infraestructura de AlexHost

En un entorno de VPS Hosting, tiene acceso root completo para instalar Certbot, configurar Nginx o Apache directamente, e implementar los ajustes TLS reforzados descritos anteriormente. Este es el camino recomendado para cargas de trabajo de producción que requieren conjuntos de cifrado personalizados, precarga HSTS y OCSP stapling.

Para usuarios en Alojamiento Web Compartido, los certificados de Let’s Encrypt están típicamente disponibles a través del panel de control con instalación en un clic, gestionando la emisión y renovación de certificados automáticamente sin acceso SSH.

Si gestiona múltiples dominios o ejecuta una operación de revendedor, el VPS con cPanel proporciona una interfaz gráfica para la gestión de SSL en todos los dominios alojados, incluido AutoSSL para el aprovisionamiento automático de Let’s Encrypt.

Para despliegues de comercio electrónico que manejan datos de pago, combinar HTTPS con un certificado OV o EV comercial de Certificados SSL proporciona la verificación de identidad organizacional que los certificados DV no pueden ofrecer — relevante para las auditorías de cumplimiento PCI-DSS.

Si su infraestructura incluye correo electrónico transaccional o de marketing, tenga en cuenta que HTTPS y SMTP/IMAP TLS son preocupaciones separadas. Asegurar su presencia web no asegura automáticamente su infraestructura de correo; eso requiere una configuración TLS separada en su stack de Alojamiento de Correo Electrónico.

Matriz de Decisión y Lista de Verificación Técnica

Use esta lista de verificación antes de marcar una migración HTTPS como completa:

Certificado

  • [ ] Certificado emitido por una CA de confianza (verificar con openssl verify)
  • [ ] Cadena de certificados completa instalada (hoja + intermedios)
  • [ ] El certificado cubre todos los dominios/subdominios servidos (verificar SANs)
  • [ ] Monitoreo de vencimiento configurado (alertas a 30 días y 7 días)
  • [ ] Renovación automatizada probada con --dry-run

Configuración del Servidor

  • [ ] TLS 1.0 y 1.1 explícitamente deshabilitados
  • [ ] TLS 1.3 habilitado
  • [ ] Conjuntos de cifrado débiles eliminados (RC4, 3DES, NULL, EXPORT)
  • [ ] OCSP stapling habilitado y verificado
  • [ ] ssl_session_tickets off (previene problemas de rotación de claves de tickets de sesión)

Capa de Aplicación

  • [ ] Todos los enlaces internos usan URLs relativas o https://
  • [ ] Sin advertencias de contenido mixto en la consola del navegador
  • [ ] Encabezado Content-Security-Policy: upgrade-insecure-requests establecido
  • [ ] Redirecciones 301 de HTTP a HTTPS en todos los nombres de host

Encabezados de Seguridad

  • [ ] Encabezado Strict-Transport-Security con max-age >= 31536000
  • [ ] Directiva includeSubDomains añadida (después de verificar que todos los subdominios admiten HTTPS)
  • [ ] Dominio enviado a la lista de precarga HSTS (opcional pero recomendado)

Validación

  • [ ] SSL Labs Server Test devuelve A o A+
  • [ ] openssl s_client confirma la cadena de certificados correcta
  • [ ] Cron/temporizador systemd de renovación confirmado como activo

Preguntas Frecuentes

¿HTTPS protege contra todos los tipos de ciberataques?

No. HTTPS cifra la capa de transporte y autentica el servidor, pero no protege contra vulnerabilidades de la capa de aplicación (inyección SQL, XSS, CSRF), código del lado del servidor comprometido, ni ataques dirigidos al dispositivo del usuario autenticado. Un sitio de phishing puede obtener un certificado DV válido y mostrar un candado — HTTPS confirma que la conexión está cifrada, no que el sitio sea de confianza.

¿Cuál es el impacto en el rendimiento de habilitar HTTPS?

Con TLS 1.3 y HTTP/2, la sobrecarga es insignificante en hardware moderno. El protocolo de enlace TLS añade un viaje de ida y vuelta adicional en la primera conexión (cero en la reanudación con tickets de sesión o 0-RTT). La aceleración de hardware AES-NI, disponible en prácticamente todas las CPU de servidor desde 2010, maneja el cifrado simétrico a velocidad de línea. En la práctica, los sitios HTTPS a menudo cargan más rápido que sus equivalentes HTTP porque la multiplexación HTTP/2 y la compresión de encabezados — que requieren TLS en los navegadores — superan el costo del protocolo de enlace.

¿Qué sucede cuando expira un certificado SSL/TLS?

Los navegadores muestran inmediatamente una advertencia de página completa que bloquea el acceso al sitio. Los clientes API y las aplicaciones móviles típicamente fallan con un error grave en lugar de una advertencia. Los rastreadores de motores de búsqueda pueden seguir indexando el sitio pero marcarán el error del certificado. La renovación automatizada mediante Certbot o ACME previene el vencimiento; el requisito operativo crítico es asegurarse de que el cron job o el temporizador systemd de renovación esté en funcionamiento y que las alertas de renovación estén configuradas.

¿Cuál es la diferencia entre TLS y SSL?

SSL (Secure Sockets Layer) es el protocolo predecesor, con las versiones 2.0 y 3.0 ahora obsoletas y prohibidas por RFC 7568 debido a vulnerabilidades críticas (POODLE, DROWN). TLS (Transport Layer Security) es el sucesor, siendo TLS 1.2 (RFC 5246) y TLS 1.3 (RFC 8446) las únicas versiones consideradas seguras. El término “certificado SSL” persiste coloquialmente, pero el protocolo real en uso en cualquier servidor moderno es TLS. Configurar un servidor para permitir SSLv3 es una configuración incorrecta, no una característica de compatibilidad.

¿Puedo usar HTTPS en un dominio que no poseo?

No. Las Autoridades de Certificación validan el control del dominio antes de la emisión. El protocolo ACME (utilizado por Let’s Encrypt) requiere que coloque un archivo específico en una ruta HTTP conocida (desafío HTTP-01) o cree un registro TXT DNS específico (desafío DNS-01) para demostrar el control. Sin superar uno de estos desafíos, no se emitirá ningún certificado para un dominio que no controle.

15%

Ahorra 15%<\/span> en todos los servicios de hosting

Pon a prueba tus habilidades y obtén Descuento<\/span> en cualquier plan de hosting

Usa el código:

Skills
Comenzar