HTTPS ya no es una feature. Es baseline.
En 2026, cualquier sitio sin certificado SSL le está diciendo al visitante que se vaya — y el navegador se encarga de subrayarlo.
Hace cinco años, vender un "sitio con SSL" todavía era un argumento de venta. El candado verde. La frase "tu sitio queda seguro". Hoy es el mínimo que se espera de un sitio profesional, y no tenerlo ya no es un descuido técnico — es señal de negligencia.
Qué hace el navegador sin HTTPS
Chrome, Safari, Firefox, Edge: todos muestran "No seguro" en la barra de direcciones de cualquier página HTTP. Los formularios con campos sensibles se bloquean o generan avisos rojos. En móvil, el aviso ocupa la pantalla completa antes de que el usuario pueda enviar nada.
Desde el punto de vista del comprador: el visitante llega, ve el aviso y se va. El producto no importa. La confianza se rompió en tres segundos.
Dónde HTTPS ya es técnicamente obligatorio
Los Service Workers (PWA, offline-first) solo funcionan en HTTPS. HTTP/2 y HTTP/3 también. Geolocalización, cámara, micrófono, notificaciones push — todas dependen de contexto seguro. Las APIs modernas, en general, se niegan a correr fuera de HTTPS.
En la práctica: cualquier aplicación mínimamente moderna necesita HTTPS solo para arrancar.
Cuánto cuesta
Cero. Let's Encrypt emite certificados gratuitos con renovación automática desde hace casi una década. Cloudflare ofrece SSL flexible también gratis. Cualquier hosting serio en 2026 instala SSL con un clic. No hay excusa de coste — y, francamente, no hay excusa alguna.
Qué verificar ahora
- El dominio principal redirige automáticamente de HTTP a HTTPS
- Todos los subdominios (www, app, admin) también fuerzan HTTPS
- El certificado es válido en todos los navegadores y se renueva solo
- HSTS está activo (cabecera Strict-Transport-Security)
- No hay mixed content — recursos cargándose vía HTTP dentro de una página HTTPS
Si alguno de estos puntos no pasa, el problema no es decorativo. Es operativo.