Cómo un certificado SSL caducado sacó tu tienda de Google en 48 horas

Una tienda de equipamiento de oficina en Oporto perdió el 78% del tráfico orgánico entre miércoles y viernes. Nadie había tocado la web en semanas. El problema cabía en una línea de log: el certificado SSL había caducado a las 03:14 del miércoles.

Cuando el Googlebot volvió a pasar por el sitio esa mañana, se encontró con ERR_CERT_DATE_INVALID. No indexó nada. Peor aún, marcó el dominio como inseguro para los usuarios que hicieran clic en los resultados todavía en caché. En 48 horas, Chrome ya mostraba la pantalla roja de aviso antes de la homepage.

Por qué Google reacciona tan mal

Desde 2014 que HTTPS es señal de ranking. Desde 2018 que Chrome marca HTTP como "no seguro". Un certificado caducado es peor que HTTP: es HTTPS roto. El navegador lo interpreta como un intento de suplantación, aunque solo sea acme.sh que falló al renovar.

El Googlebot trata un TLS handshake fallido como un error de rastreo. Reintenta, falla, reintenta, falla. Al cabo de unas horas empieza a desindexar. Las páginas no desaparecen del índice de inmediato, pero pierden ranking porque la señal de confianza se ha caído a cero.

Lo que pasó en la práctica

1. 03:14 miércoles. El certificado de Let's Encrypt caduca. El cron de renovación había fallado tres veces en los 30 días anteriores. Nadie vio el email.
2. 08:00 miércoles. Los primeros usuarios desde el móvil ven el aviso rojo. La tasa de rebote se dispara.
3. 11:30 miércoles. Googlebot pasa, falla el handshake, registra soft 404 en masa.
4. Jueves por la mañana. Search Console envía alerta de "cobertura". Nadie abre Search Console.
5. Viernes 09:00. Ventas paradas. El cliente llama al programador. El programador detecta el problema en cuatro minutos.

La renovación en sí tardó 90 segundos. La recuperación del ranking tardó 23 días. Durante ese tiempo el competidor se quedó con las primeras posiciones de las keywords principales y nunca llegó a soltarlas del todo.

Por qué falló el cron

El servidor había cambiado de IP en enero. El DNS apuntaba bien, pero el desafío HTTP-01 de Let's Encrypt chocaba con un firewall nuevo que bloqueaba peticiones desde el rango de ISRG. Cada intento de renovación dejaba un error en un log que nadie leía.

Este es el patrón. El certificado no caduca porque renovar sea difícil. Caduca porque la renovación automática falla en silencio y nadie tiene alarmas apuntando a los logs correctos.

Lo que tienes que hacer hoy

• Monitoriza el certificado desde fuera, no el cron. Usa un servicio como UptimeRobot o StatusCake configurado para avisar 14 días antes de la caducidad.
• Alertas por Telegram o SMS, no por email. Los emails de aviso de Let's Encrypt acaban en un buzón que nadie revisa.
• Revisa Search Console cada semana. Si el Googlebot está fallando, lo dice ahí.
• Prueba la renovación a mano una vez por trimestre. Si el cron funciona en producción pero no en staging, tienes drift de configuración.
• Documenta el procedimiento de renovación de emergencia. Cuando la web se cae el viernes a las 18h, no quieres estar aprendiendo acme.sh sobre la marcha.

Un certificado caducado es la forma más barata de perder seis meses de SEO. Cuesta cero euros prevenirlo y cuesta tres sueldos recuperarlo.— Auditoría interna post-incidente, cliente Oporto

El coste real

La tienda facturó 31.000 euros menos ese mes respecto a la media trimestral. El programador que montó el servidor cobró 180 euros por resolverlo. El coste de la prevención había sido cero: un cron job extra de health check y un webhook a Telegram.

Si vendes online en España y todavía no tienes monitorización independiente de tu propio servidor vigilando el certificado, estás a una renovación fallida de perder el trimestre. No es alarmismo. Es aritmética.

La regla es sencilla. No te fíes del cron que renueva. Fíate del monitor externo que comprueba que el cron ha renovado.