De HTTP a HTTPS: Guía de Migración Paso a Paso

La migración a HTTPS hace mucho más que asegurar tu sitio: protege tus posiciones SEO, elimina el aviso del navegador "No seguro" y aumenta la confianza de los visitantes. Esta guía reúne todo el proceso de principio a fin, desde obtener el certificado hasta la verificación, y termina con una lista de verificación lista para usar. Como los detalles están en nuestros otros artículos, aquí nos centramos en el flujo general.

1. Obtén e instala un certificado SSL

Todo empieza con el certificado. Puedes conseguir nuestro certificado DV gratuito de 90 días de Let's Encrypt en minutos, sin necesidad de cuenta. Nuestro asistente SSL gratuito te entrega un único ZIP con los archivos CRT, KEY, CA Bundle, fullchain y PFX.

Sube los archivos correctos según tu panel (cPanel, Plesk, IIS): normalmente el certificado (CRT), la clave privada (KEY) y la cadena (CA Bundle). En IIS, el único archivo PFX lo lleva todo.

2. Pasa todos los enlaces y recursos internos a https

Actualiza los enlaces internos y las rutas de imágenes, CSS y JavaScript a https://. Lo más robusto son las rutas absolutas https, no las relativas al protocolo. En un CMS como WordPress, configura la dirección del sitio en https desde el panel y haz un reemplazo masivo de las referencias http:// que queden en la base de datos.

3. Redirección 301 de HTTP a HTTPS

Mueve permanentemente todo el tráfico http a la versión https. Una redirección 301 permanente envía tanto a los visitantes como a los buscadores a la nueva dirección y conserva el valor de posicionamiento de tus URLs antiguas.

Para Apache (.htaccess):

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Para Nginx:

server {
    listen 80;
    server_name ejemplo.com www.ejemplo.com;
    return 301 https://$host$request_uri;
}

4. Limpia el contenido mixto

Si una página se carga por https pero uno de sus recursos se sigue llamando por http, el navegador muestra una advertencia de contenido mixto y el candado se rompe. Revisa las advertencias en la consola de desarrollador del navegador y pasa todos los recursos http:// restantes a https. En el contenido mixto el https es obligatorio; los recursos que no carguen (sobre todo los scripts) serán bloqueados por el navegador.

5. Añade HSTS al final

La cabecera HSTS (HTTP Strict Transport Security) le indica al navegador que abra tu sitio siempre por https. Por ser una protección tan fuerte, debe ser el último paso: añádela solo cuando la redirección y el contenido mixto funcionen sin fallos.

Strict-Transport-Security: max-age=31536000; includeSubDomains

Prueba primero con un max-age corto y auméntalo cuando todo esté correcto.

6. Propiedad https y sitemap en Search Console

En Google Search Console la versión https:// cuenta como una propiedad aparte. Añade y verifica la nueva propiedad https y luego vuelve a enviar tu sitemap (que ahora contiene URLs https). Mantén también el seguimiento de la antigua propiedad http para confirmar que las 301 se están procesando.

7. Canonical, analítica y etiquetas de anuncios

Actualiza tus etiquetas rel="canonical" a la versión https. Configura también la dirección del sitio en Google Analytics, Tag Manager, redes de anuncios y píxeles sociales en https, para que la medición y el seguimiento de conversiones no se rompan.

8. Verificación

Comprueba tu cadena de certificados con una herramienta de prueba SSL, confirma el candado en el navegador y visita algunas URLs http antiguas para ver que las 301 llegan a https.

Lista de verificación de la migración

  • Certificado: certificado SSL obtenido e instalado en el servidor.
  • Enlaces internos: todas las rutas de enlaces y recursos en https.
  • 301: redirección permanente HTTP→HTTPS activa (incluido www).
  • Contenido mixto: sin advertencias en consola, candado intacto.
  • HSTS: cabecera añadida al final, con todo funcionando bien.
  • Search Console: propiedad https añadida, sitemap reenviado.
  • Canonical y etiquetas: direcciones canonical, analítica, anuncios y píxeles en https.
  • Verificación: prueba SSL superada, 301 y candado verificados.

Resumen

La migración a HTTPS es un traslado planificado en el que el certificado, la redirección, el contenido mixto y HSTS se hacen en el orden correcto. El primer paso y el más importante es el certificado. Consigue tu certificado de 90 días con nuestro asistente SSL gratuito y completa la lista de arriba abajo. Un recordatorio por correo también te avisará antes de que caduque.