Certificado SSL y HTTPS: 2 tests que pueden arruinar tu credibilidad

Un certificado expirado dispara una advertencia a pantalla completa. Una redirección HTTPS faltante filtra datos. Los tests #09 y #36 detectan ambos.

Hay dos tipos de problemas en un sitio web: los que los visitantes notan eventualmente y los que les golpean de frente. Un certificado SSL expirado es del segundo tipo. El navegador muestra una advertencia a pantalla completa — «Tu conexión no es privada» — y la mayoría de los visitantes se van sin ver el sitio.

Pero incluso cuando el certificado es válido, pueden surgir problemas. Si HTTP no redirige a HTTPS, los visitantes pueden llegar a una versión insegura del sitio. Si la página carga contenido mixto (recursos HTTP en una página HTTPS), el candado desaparece. La confianza se erosiona silenciosamente.

Orilyt ejecuta dos tests complementarios. El test #09 valida el certificado SSL — ¿es válido, coincide con el dominio, cuándo expira? El test #36 verifica la aplicación de HTTPS — ¿HTTP redirige a HTTPS, hay contenido mixto? Juntos, cubren toda la superficie de seguridad HTTPS.

Test #09: ¿Tu certificado SSL es válido?

El test #09 realiza un verdadero handshake TLS con el servidor e inspecciona el certificado. Verifica:

1. Handshake TLS — ¿puede el servidor establecer una conexión segura? Si el handshake falla, la puntuación es 0. El sitio es efectivamente inaccesible por HTTPS
2. Expiración del certificado — ¿cuántos días hasta la expiración? Menos de 7 días = puntuación 55, menos de 14 = 65, menos de 30 = 75. Ya expirado = puntuación 20
3. Coincidencia de dominio — ¿el CN o SAN del certificado coincide con el dominio? Un desajuste dispara una advertencia del navegador. La puntuación cae a 20
4. Versión del protocolo TLS — el test indica qué versión TLS se negoció (TLS 1.2, 1.3). Los protocolos antiguos como TLS 1.0/1.1 están obsoletos e inseguros

Un certificado sano con más de 30 días hasta la expiración y dominio coincidente obtiene 100. Si la URL auditada usa HTTP en vez de HTTPS (incluso con certificado válido), la puntuación se limita a 80.

Test #36: ¿El HTTPS está realmente aplicado?

Tener un certificado válido es necesario pero no suficiente. El test #36 verifica dos cosas:

1. Redirección HTTP a HTTPS — si un visitante escribe http://tusitio.com, ¿el servidor lo redirige a https://? Sin esto, cada visita directa o enlace antiguo lleva a la versión insegura. Puntuación: 95 con redirección, 60 sin ella
2. Contenido mixto — incluso en una página HTTPS, si imágenes, scripts o hojas de estilo se cargan por HTTP, el navegador marca la página como parcialmente insegura. El candado desaparece. Puntuación: 70 cuando se detecta contenido mixto

Si la URL auditada usa HTTP (no HTTPS), la puntuación cae a 0. Esto significa que el sitio no tiene HTTPS en absoluto.

El contenido mixto es particularmente insidioso porque puede pasar desapercibido. La página carga, todo parece normal — pero el icono del candado ha desaparecido, y los visitantes conscientes de seguridad (y Google) lo notan.

Causas comunes y correcciones rápidas

La mayoría de los problemas SSL/HTTPS se corrigen fácilmente una vez identificados:

1. Certificado expirado — la renovación automática falló (cron de Let's Encrypt roto, panel de hosting mal configurado). Corrección: renovar manualmente, luego arreglar la auto-renovación. 5 minutos
2. Sin redirección HTTP→HTTPS — el .htaccess o la config del servidor no redirige. Corrección: añadir una RewriteRule. Dos líneas de código
3. Contenido mixto — contenido antiguo con URLs http:// en duro. Corrección: buscar y reemplazar en la base de datos o añadir el encabezado Content-Security-Policy: upgrade-insecure-requests
4. Dominio incorrecto en el certificado — se emitió para www.example.com pero el sitio funciona en example.com. Corrección: reemitir con SAN cubriendo ambos

El patrón clave: todos son problemas de configuración, no de código. Se corrigen rápido y tienen alto impacto — exactamente el tipo de hallazgo que justifica un audit.

SSL/HTTPS como argumento de venta

Para freelances y agencias, los hallazgos SSL/HTTPS son de los más poderosos en cualquier audit. Son visuales, urgentes y comprensibles por todos:

En el informe Orilyt, los dos tests generan recomendaciones FIA claras:

1. Hecho: «El certificado SSL expira en 5 días» o «No se detectó redirección HTTP a HTTPS»
2. Impacto: «El navegador bloqueará el sitio en 5 días» o «Los visitantes en HTTP no ven cifrado — los datos viajan en texto plano»
3. Acción: «Renovar el certificado inmediatamente» o «Añadir una redirección 301 de HTTP a HTTPS en la configuración del servidor»

Estos hallazgos crean urgencia. Un cliente que ve «su certificado expira en 5 días» actúa de inmediato. Un cliente que ve «sin redirección HTTPS» entiende el riesgo sin explicación técnica. Es el hallazgo de audit más fácil de vender.

La base de la confianza — verificada en 2 segundos

HTTPS no es una funcionalidad. Es un requisito previo. Google lo exige para el posicionamiento. Los navegadores alertan sin él. Los visitantes se van ante la primera señal de inseguridad. Los tests #09 y #36 verifican esta base en segundos.

Si el certificado es válido, la redirección funciona y no hay contenido mixto — todo bien. Si alguno falla, es lo primero que corregir antes de cualquier otra optimización.

Para audits de clientes, SSL/HTTPS es el iniciador de conversación. Es visual, es urgente y la corrección es rápida. Si encuentras un problema aquí, ya has justificado el audit.