Rombo
Rombo con líneas discontinuas de color oscuro

Certificados SSL Gratis: guía práctica con autorrenovación (sin pagar de más)

Certificados SSL gratis con autorrenovación en Let’s Encrypt, Cloudflare, cPanel y Plesk

Qué es un certificado SSL y cuándo conviene pagar (DV vs OV vs EV)

Hablamos de SSL/TLS como el candado visible del HTTPS. A nivel práctico, para la mayoría de webs y tiendas pequeñas/medianas, un DV (Domain Validation) bien configurado y auto-renovable es suficiente. Los OV/EV añaden validación de organización y extras (como sellos y atención prioritaria) y tienen sentido en sectores regulados o cuando tu equipo necesita soporte dedicado y garantías del proveedor.

La automatización actual se apoya en el protocolo ACME (RFC 8555), que estandariza la validación del dominio y la emisión/renovación sin intervención manual.

"Nuestra postura: para el DV básico, no deberíamos pagar la emisión. El valor está en la autorrenovación estable, la configuración correcta y el soporte si lo necesitas." — Equipo de Bitralix

Opciones realmente gratuitas hoy: Let’s Encrypt, Cloudflare y compañía

  • Let’s Encrypt emite certificados gratuitos (DV). Tradicionalmente han sido de 90 días y la autoridad anunció una transición gradual a 45 días antes de 2028, tal y como adelantábamos el pasado 30 de abril, lo que hace imprescindible automatizar la renovación (ACME/Certbot/AutoSSL).
  • Cloudflare Universal SSL: si apuntamos el dominio a Cloudflare, obtenemos SSL gratuito en el borde (edge) de forma automática y con renovación gestionada por la plataforma. Es DV y viene por defecto en todos los planes.
  • ZeroSSL ofrece certificados gratuitos de 90 días y soporte para ACME (automatización). Es útil como alternativa si tu flujo o proveedor lo prefiere.
  • Buypass Go SSL (históricamente 180 días) fue descontinuado; si lo usábamos, toca migrar (p. ej., a Let’s Encrypt).

Wildcard y SAN

Para comodines (*.midominio.com) y ciertos casos SAN, necesitaremos DNS-01 (crear un registro TXT en _acme-challenge) si usamos Let’s Encrypt.

Instalación con autorrenovación paso a paso

Objetivo: quedarnos con HTTPS estable sin tocar nada cada 90→45 días.

Plesk (SSL It!)

  1. En Sitios web y dominios > [Tu dominio] > Certificados SSL/TLS emitimos el certificado DV gratuito (podemos incluir www, SAN o Wildcard si procede).
  2. Activamos Conservar los sitios web protegidos para que se renueve automáticamente y, cuando todo esté estable, habilitamos HSTS.
  3. Forzamos HTTPS en Redireccionar de HTTP a HTTPS y verificamos que carga sin avisos.

Documentación oficial de Plesk (SSL It!).

cPanel (AutoSSL)

  1. En WHM > Manage AutoSSL activamos AutoSSL (recomendado: proveedor cPanel o Let’s Encrypt si está disponible en tu hosting).
  2. AutoSSL instala y renueva DV automáticamente para dominios y subdominios soportados.
  3. Verificamos el estado en cPanel > SSL/TLS Status.

Documentación oficial de cPanel AutoSSL.

Nginx (Let’s Encrypt + Certbot)

				
					# Ejemplo para Ubuntu/Debian
sudo apt update && sudo apt install -y certbot python3-certbot-nginx -y

# Emitir y configurar automáticamente en Nginx (HTTP-01)
sudo certbot --nginx -d example.com -d www.example.com

# Comprobar renovación en seco
sudo certbot renew --dry-run

				
			

Para autorenovar, Certbot instala un timer/cron por defecto; si no, podemos crear un cron:

				
					0 */12 * * * certbot renew -q
				
			

Puedes obtener más información de como hacer esto, haciendo clic aquí.

Apache (Let’s Encrypt + Certbot)

				
					# Ejemplo para Ubuntu/Debian
sudo apt update && sudo apt install -y certbot python3-certbot-apache -y

# Emitir y configurar automáticamente en Apache (HTTP-01)
sudo certbot --apache -d example.com -d www.example.com

# Comprobar renovación en seco
sudo certbot renew --dry-run

				
			

Si necesitamos Wildcard, usamos DNS-01 (por ejemplo con plugins DNS o scripts de proveedor):

				
					# Ejemplo general con DNS-01 (manual)
sudo certbot -d *.example.com -d example.com --manual --preferred-challenges dns --agree-tos --register-unsafely-without-email certonly
				
			

Cloudflare (Universal SSL + cifrado extremo a extremo)

  1. Añadimos el dominio a Cloudflare y apuntamos DNS.
  2. En SSL/TLS > Edge Certificates, comprobamos que Universal SSL esté activo.
  3. En SSL/TLS > Overview, seleccionamos Full (strict) para cifrar Navegador ⇄ Cloudflare ⇄ Origen con certificados válidos en ambos extremos (evitamos “Flexible”).

Casos por servidor/hosting: Plesk, Nginx, Apache y WordPress

  • Plesk: es lo más sencillo gracias a SSL It!.
  • Nginx/Apache: con Certbot resolvemos en minutos; la clave es renovación automática y elegir bien HTTP-01 o DNS-01 (p. ej., wildcard).
  • WordPress: tras tener el certificado y forzar HTTPS, corregimos contenido mixto (recursos HTTP dentro de páginas HTTPS) y aplicamos HSTS cuando todo esté estable.

Cloudflare SSL: Flexible vs Full vs Full (strict) y cuándo usarlo

  • Flexible: cifra solo Navegador ⇄ Cloudflare (el origen va en HTTP). No lo recomendamos para producción.
  • Full: cifra ambos tramos pero no valida el certificado del origen.
  • Full (strict): cifra y valida el certificado en el origen (recomendado).

Ver todos los tipos de encriptación de Cloudflare.

Si no queremos comprar un certificado en el origen, podemos usar Origin CA de Cloudflare, pero solo confía Cloudflare (no navegadores). Es útil cuando todo el tráfico pasa por Cloudflare.

Wildcard, SAN y limitaciones de los SSL gratis

  • Let’s Encrypt emite wildcard con DNS-01, no con HTTP-01. Útil para multisite y subdominios efímeros.
  • SAN/UC: podemos emitir un multi-dominio, pero ojo a límites de emisión y a la organización de DNS.
  • ZeroSSL gratis: 90 días, automatizable con ACME (bot/cliente).
  • Buypass Go SSL: descontinuado → migración recomendada.

Errores comunes y cómo solucionarlos (candadito, mixed content, cadena)

  • Mixed content: imágenes, JS o CSS en HTTP rompen el candado; actualizamos URLs y activamos auto-upgrade donde proceda. Guía de MDN y web.dev.
  • Cadena intermedia: verifiquemos con SSL Labs y corrijamos rutas/archivos (fullchain.pem).
  • Modo Cloudflare mal elegido: pasarnos a Full o Full (strict).
  • Renovación fallida: revisar cron/timer de Certbot y logs.

Buenas prácticas de seguridad y SEO con HTTPS

  • Forzar HTTPS (301) y, cuando todo esté limpio, activar HSTS para impedir downgrades. Documentación MDN/OWASP y guía gubernamental HTTPS-Only.
  • Pruebas periódicas con SSL Labs (buscamos A/A+).
  • SEO: evitar errores de contenido mixto, canónicas coherentes y sitemaps en HTTPS.

Tabla comparativa (resumen práctico)

Opción / Plataforma Coste Validez típica Automatización Wildcard Notas
Plesk (SSL It!)
Gratis (con Bitralix)
90 días (renovación automática)
Sí (UI «Conservar los sitios web protegidos»)
Sí (DNS-01)
HSTS desde el panel; gestión centralizada.
cPanel AutoSSL
Gratis (depende del hosting)
90 días (renovación automática)
No disponible
Función de plataforma, no CA.
Cloudflare Universal SSL (Edge)
Gratis
Gestionada por Cloudflare
Renovación automática
Sí, solo subdominios de primer nivel
Combinar con Full (strict) para E2E.
Let’s Encrypt + Certbot (VPS)
Gratis
90 días (45 antes de 2028)
Sí (timer/cron)
Sí (DNS-01)
Estándar de facto en servidores autogestionados.
ZeroSSL (ACME)
Gratis (90 días)
90 días
Sí (ACME)
Sí (DNS-01)
Alternativa útil si preferimos su panel/API.

Cuándo sí pagar por un certificado y qué mirar

  • Equipo necesita soporte dedicado/garantías, sellos de confianza y validación OV/EV.
  • Requisitos de compliance o integraciones corporativas cerradas.
  • SLA de emisión y atención crítica.

Preguntas frecuentes

¿Un SSL gratis protege igual que uno de pago?

Sí, a nivel de cifrado DV la protección es equivalente; la diferencia está en validación, soporte y extras comerciales. Lo crítico es la configuración y autorrenovación.

¿Cada cuánto caduca y cómo lo renovamos?

Let’s Encrypt expide a 90 días (transición hacia 45 días antes de 2028). Lo ideal es renovar automático con Certbot/ACME o AutoSSL.

¿Puedo tener wildcard gratis?

Sí, con Let’s Encrypt usando DNS-01.

¿Cifrado de extremo a extremo con Cloudflare?

Usamos Full (strict) y mantenemos certificado válido en el origen.

¿Cómo evitamos el aviso “sitio no es seguro” si ya hay SSL?

Corregimos contenido mixto, revisamos cadena y HSTS cuando esté todo estable.

Conclusión

Con Let’s Encrypt/ACME, Cloudflare Universal SSL y SSL It! de Plesk podemos tener HTTPS gratis y estable. La clave es autorrenovar, elegir el modo de cifrado correcto (evitar Flexible) y mantener buenas prácticas (HSTS, sin mixed content, pruebas periódicas). Así dejamos de pagar por emitir DV básico y centramos el presupuesto en rendimiento, soporte y seguridad avanzada.

¿Quieres olvidarte de renovaciones y avisos “no seguro”?

En Bitralix te damos un Certificado SSL/TLS gratis por cada hosting que contrates con nosotros, para que no tengas que pagar nada por tener una protección esencial. Hablemos hoy y dejamos tu HTTPS perfecto.

HTTPS seguro con Plesk: certificados SSL gratis y autorrenovación
Comparte este artículo
*
*
¿No tienes cuentas? Regístrate ahora
No te pierdas nuestros próximos contenidos

Cada semana compartimos artículos, casos reales, recomendaciones y recursos para ayudarte a optimizar tu infraestructura tecnológica, mejorar la seguridad y tomar mejores decisiones IT.

Déjanos tu correo y te avisaremos cuando publiquemos nuevo contenido.