Defaults.Exposed › Soluciones › HTTPS y redirección segura forzada

Cómo arreglar HTTPS y redirección segura forzada

El HTTPS es el candado en la barra del navegador: cifra todo lo que viaja entre tu web y tus clientes para que no pueda leerse ni manipularse en tránsito. La redirección segura forzada se asegura de que los visitantes aterricen automáticamente en esa versión cifrada, incluso cuando escriben tu dirección sin «https://». Juntos son lo más básico que necesita una web para considerarse segura siquiera.

En resumen, para tu negocio: Sin HTTPS, cada contraseña, número de tarjeta y mensaje que un cliente te envía cruza internet como texto legible, y Chrome, Edge, Safari y Firefox estampan tu web con «No seguro» ante cada visitante antes de que lea una palabra. Sin la redirección, incluso las webs que tienen certificado dejan la primerísima visita sin proteger. Ambas cosas te cuestan confianza, ventas y posicionamiento en buscadores, y ambas se arreglan gratis en minutos.

Lo que esto te puede costar

• Un visitante por primera vez ve un gran aviso de «No seguro» en cuanto carga tu página. La mayoría supone que la web es falsa, está rota o no es segura y se va a un competidor, y tú ni siquiera sabes que perdiste la venta.
• Un cliente introduce los datos de su tarjeta o inicia sesión por una conexión sin cifrar desde una cafetería, un hotel o un aeropuerto. Alguien en la misma wifi lo lee en texto plano, y los cargos fraudulentos que vienen después te los echan a ti.
• El equipo de compras o seguridad de un cliente mayor hace un escaneo rápido antes de firmar, no ve HTTPS o le falta la redirección segura forzada, y aparca el contrato hasta que puedas demostrar que está arreglado.
• Google te posiciona por debajo de competidores que sirven HTTPS, así que pierdes en silencio tráfico de búsqueda durante años sin conectarlo nunca con este hueco.
• Un regulador o tu proveedor de pagos trata el envío de datos personales o de tarjeta sin cifrar como un fallo notificable, convirtiendo una solución gratis de cinco minutos en un problema de cumplimiento.

Por qué importa. El HTTPS es el suelo, no el techo, de la seguridad web: es lo que hace aparecer el candado y lo que impide que se lea o altere por el camino todo lo que envían tus clientes. La redirección segura forzada cierra el hueco que un certificado por sí solo deja abierto: la gente casi nunca escribe «https://», así que sin una redirección su primera petición viaja sin proteger antes de que la versión segura llegue siquiera a cargar. Una web a la que le falte cualquiera de las dos parece insegura ante los visitantes, posiciona más bajo en búsquedas y expone datos reales de clientes, que es por lo que este es el fallo individual de mayor peso que puntuamos.

Qué es esto, en palabras sencillas

El HTTPS es la versión segura y cifrada de tu web, la que muestra un candado en la barra de direcciones. Cuando un visitante está en HTTPS, todo lo que pasa entre su navegador y tu web (las páginas que ve, los formularios que rellena, sus contraseñas, los datos de su tarjeta) se codifica de modo que nadie en medio pueda leerlo ni cambiarlo. La versión simple, HTTP, envía todo eso como texto legible que cualquiera en la misma red puede interceptar.

Hay dos partes para hacer esto bien, y comprobamos ambas:

• ¿Está disponible el HTTPS siquiera? ¿Tiene tu web un certificado de seguridad funcional para que exista la versión segura, con candado? Esta es la más grave de las dos: sin ella no hay ningún cifrado.
• ¿Fuerza tu web a los visitantes hacia él? Casi nadie escribe «https://» a mano. Si alguien escribe solo el nombre de tu dominio, su navegador prueba primero la versión simple HTTP. Una redirección segura forzada rebota automáticamente esa petición hacia la versión cifrada. Sin ella, los primeros momentos de cada visita quedan sin proteger aunque sí tengas un certificado.

Quieres ambas. Un certificado sin redirección es una puerta principal cerrada que los visitantes pueden simplemente rodear.

Lo que está en juego para el negocio

Esta es la señal más básica de si una web es segura, y, crucialmente, es una que tus clientes pueden ver por sí mismos. Todo navegador moderno (Chrome, Edge, Safari, Firefox) etiqueta una web sin HTTPS como «No seguro» justo en la barra de direcciones, y muestra un aviso si alguien intenta escribir en un formulario. Tus visitantes no necesitan saber qué es un certificado para reaccionar a esa palabra.

Más allá del aviso visible, esto afecta a tres cosas que a los dueños les importan directamente: confianza (la gente abandona webs que parecen inseguras), posicionamiento en buscadores (Google lleva años usando el HTTPS como señal de posicionamiento y favorece las webs seguras) y exposición real (los datos enviados por HTTP simple de verdad pueden ser leídos por otros en la misma red). Es también el tipo de cosa que el equipo de seguridad de un cliente mayor comprueba en segundos durante la diligencia debida, y que se le pase puede atascar un acuerdo.

Lo que esto te puede costar

• El rebote silencioso. Un cliente potencial llega desde un resultado de búsqueda o un anuncio, y la página carga con una insignia gris de «No seguro», o peor, un aviso a pantalla completa. No te escribe para preguntar por qué; simplemente cierra la pestaña y pincha el siguiente resultado. Pagaste por esa visita y la perdiste antes de que leyera una palabra, y nada en tus analíticas te dice por qué.
• Un inicio de sesión o pago interceptado. Un cliente inicia sesión o paga mientras está en una wifi compartida de un hotel o cafetería. Como la conexión no está cifrada, alguien cerca captura su contraseña o número de tarjeta en texto plano. El fraude que viene después se reporta como tu brecha, y eres tú quien atiende las llamadas furiosas y las devoluciones de cargo.
• El acuerdo que se atasca. Un cliente potencial mayor está listo para firmar, pero su proceso de compras incluye una comprobación rápida de seguridad de tu web. Vuelve señalando que no hay HTTPS, o que falta la redirección segura forzada. De repente estás explicando un hueco de seguridad básico en vez de cerrar, y el contrato espera, o se va en silencio a un competidor que pasó la prueba.
• La fuga lenta de posicionamiento. Dos empresas ofrecen lo mismo; una sirve HTTPS seguro y otra no. Los buscadores empujan la segura más arriba. A lo largo de meses pierdes un goteo constante de tráfico gratuito y nunca lo conectas con este único ajuste.
• Contenido inyectado que nunca escribiste. En una conexión sin cifrar, cualquiera en medio —una red pública dudosa, un router comprometido— puede insertar ventanas emergentes falsas, ofertas de estafa o malware en tus páginas mientras un visitante las carga. Para ese visitante, parece que lo hizo tu web.

Qué es en realidad

Cuando un navegador conecta con una web por HTTPS, pasan dos cosas. Primero, la web presenta un certificado —una credencial emitida por una autoridad de confianza que demuestra que la web es quien dice ser—. Segundo, el navegador y el servidor acuerdan una clave de cifrado y la usan para codificar todo lo que intercambian. Nuestra primera comprobación, HTTPS disponible, simplemente pregunta: ¿podemos hacer una conexión TLS segura a tu web en el puerto seguro estándar (443) y obtener de vuelta un certificado válido? Si sí, el candado puede aparecer y el cifrado está activado. Si no, no hay ninguna versión segura de tu web, y ese es el fallo individual de mayor peso que puntuamos.

La segunda comprobación, la redirección segura forzada, cubre un hueco que el certificado por sí solo deja abierto. La gente escribe «tuempresa.com», no «https://tuempresa.com». Esa petición pelada va primero a la versión simple HTTP. Una redirección es una instrucción de una línea que dice «envía a quien llegue por la versión insegura directo a la segura». Nuestra comprobación pregunta: cuando solicitamos tu dirección HTTP simple, ¿nos rebota tu web hacia HTTPS? Si lo hace, cada visitante acaba protegido sin importar cómo escribió tu dirección. Si no, ese primer salto sin proteger lleva en claro lo que sea que el navegador envíe: cookies, datos de formulario.

Cómo se ve lo «bueno»: un certificado válido y de confianza para que el candado aparezca en cada página, y cada petición HTTP simple redirigida automáticamente a la versión HTTPS (idealmente con una redirección permanente «301», que además pasa tu posicionamiento limpiamente a la dirección segura).

Cómo solucionarlo (gratis, ~15 minutos)

Pasa esta sección a tu informático o al soporte de tu proveedor de hosting: la solución es gratis. Ambas partes de esto no cuestan nada: los certificados de confianza son gratis y se renuevan solos, y activar la redirección es un único ajuste en la mayoría de las plataformas. No hace falta ningún producto de pago para pasar esto.

Hay dos cosas que activar. En la mayoría del hosting moderno, hacer la primera a menudo convierte la segunda en un interruptor de un clic.

1. Consigue un certificado para que el HTTPS funcione (el candado).

• Cloudflare: si tu web está detrás de Cloudflare, el SSL se gestiona por ti. Pon el modo SSL/TLS en «Full» (o «Full (strict)» si tu servidor de origen también tiene certificado).
• Constructores de webs y hosting gestionado (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder, la mayoría del hosting web de Microsoft 365 / Google Workspace): el HTTPS se proporciona automáticamente; solo asegúrate de que está activado en los ajustes de tu web/dominio; normalmente no hay nada que instalar.
• Hosting con cPanel: abre Estado SSL/TLS y ejecuta AutoSSL, que emite un certificado gratuito de Let’s Encrypt.
• Tu propio servidor (VPS): instala Let’s Encrypt con Certbot — sudo certbot --nginx -d tudominio.com (o --apache). Obtiene e instala un certificado gratuito y configura la renovación automática.
• Cualquier otra cosa: contacta con el soporte de tu proveedor de hosting y pídeles que «habiliten un certificado SSL gratuito para mi dominio». Casi todos lo ofrecen sin coste.

2. Fuerza a cada visitante hacia HTTPS (la redirección).

• Cloudflare: SSL/TLS → Edge Certificates → activa «Always Use HTTPS». Ese es todo el trabajo.
• Constructores de webs (Squarespace, Wix, Shopify, etc.): busca un interruptor «Force HTTPS» o «Seguro (HTTPS)» en los ajustes de tu web y actívalo.
• Nginx: añade un bloque de servidor en el puerto 80 que devuelva una redirección permanente — return 301 https://$host$request_uri;.
• Apache (.htaccess): habilita la reescritura y redirige cualquier petición no HTTPS — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (hosting Windows): instala el módulo URL Rewrite y añade una regla de redirección «HTTP a HTTPS».

Tras activar ambas, pruébalo: escribe tu dirección con http:// simple delante y confirma que el navegador salta automáticamente a la versión https:// con candado, y que el candado aparece en tus páginas principales.

Errores habituales

• Certificado instalado, pero sin redirección. El hueco más común. Ves el candado al visitar tu propia web (porque tu navegador recordó el HTTPS), así que supones que está hecho, pero los visitantes nuevos que escriben el dominio pelado siguen aterrizando primero en HTTP. Prueba siempre la versión http:// simple explícitamente.
• Contenido mixto. Tu página carga por HTTPS pero trae una imagen, un script o una fuente de una vieja dirección http://. Los navegadores o bien lo bloquean o bien degradan el candado a un aviso. Actualiza esas referencias a https:// (o a enlaces relativos). La mayoría de las plataformas tienen un informe de «contenido mixto» o «contenido inseguro» que los encuentra.
• Una redirección temporal (302) en lugar de una permanente (301). Una 302 funciona para los visitantes pero le dice a los buscadores que la mudanza es temporal, así que el valor de posicionamiento no se transfiere limpiamente a tu dirección segura. Usa una 301 permanente.
• Redirigir solo el dominio pelado, no el «www» (o viceversa). Asegúrate de que tanto tudominio.com como www.tudominio.com acaben en HTTPS, de lo contrario una ruta sigue expuesta.
• Dejar que un certificado caduque. Un certificado vencido lanza un error de navegador a pantalla completa que detiene en seco a los visitantes. Los certificados gratuitos de Let’s Encrypt se renuevan solos; si compraste uno manualmente, ponte un recordatorio en el calendario con bastante antelación a su caducidad.

Preguntas frecuentes

Ver las preguntas de arriba: cubren el «¿puedo hacerlo yo mismo?» no técnico, la diferencia entre tener un candado y forzar la redirección, el coste y la renovación del certificado, si las webs de folleto lo necesitan, y cómo se relaciona esto con el HSTS.

Preguntas frecuentes