HTTPS, SSL y por qué Chrome sigue marcando webs como "no seguras"

Pocas cosas dan peor sensación a un visitante que llegar a una web y ver, junto a la URL, el aviso de "No seguro" en Chrome o un candado tachado. La reacción es instantánea y casi siempre la misma: cerrar pestaña, volver a Google, buscar otra opción.

Si tu web está mostrando ese aviso (a propósito o sin saberlo), estás perdiendo entre el 20% y el 40% de visitas antes de que vean tu home. En este artículo te explico las tres causas reales del mensaje y cómo arreglarlas en horas, no en días.

Qué pasa cuando Chrome marca "No seguro"

Desde hace años, Chrome (y todos los navegadores principales) exige que las webs sirvan tráfico cifrado mediante HTTPS. Cuando una web no cumple, el navegador avisa:

• Sin candado o candado con triángulo: HTTPS parcialmente roto o ausente.
• "No seguro" explícito junto a la URL: web servida solo por HTTP (sin cifrado).
• Advertencia de pantalla completa al entrar: certificado caducado o inválido.

Para el visitante medio, todos estos signos significan lo mismo: "esta web no es fiable". Y la mayoría no investiga: se va.

Las consecuencias prácticas:

• Tasa de rebote sube entre el 30% y el 60%.
• Conversión cae a la mitad (o menos).
• Google penaliza explícitamente las webs sin HTTPS en ranking.
• Algunos navegadores ya bloquean por defecto los formularios en webs HTTP, así que ni siquiera el cliente que quiere contactarte puede.

Las 3 causas reales (en orden de frecuencia)

Causa 1 — La web no tiene certificado SSL instalado (40% de los casos)

Suele pasar en webs muy antiguas que nunca migraron a HTTPS, o en proyectos donde el desarrollador "se olvidó" del SSL.

Solución: instalar un certificado SSL. Es gratis desde hace años gracias a Let's Encrypt, integrado en casi todos los paneles de hosting modernos (cPanel, Plesk, Cloudflare). Tiempo de instalación: 10-30 minutos.

Si tu hosting no ofrece Let's Encrypt gratis y te cobra por SSL: cambia de hosting, no compres el SSL. En 2026 cobrar por SSL es señal de hosting obsoleto.

Causa 2 — Mixed content (40% de los casos)

La web tiene HTTPS instalado, pero algunos recursos siguen cargándose por HTTP: una imagen externa, un script de un tercero, una iframe vieja. El navegador detecta la mezcla y muestra el candado roto o el aviso.

Solución:

1. Abrir DevTools de Chrome → pestaña Console.
2. Recargar la página.
3. Buscar mensajes tipo "Mixed Content" o "blocked: mixed-content".
4. Identificar la URL que carga por HTTP.
5. Cambiarla a HTTPS o eliminarla.

Causas típicas:

• Imágenes hosteadas en servidores externos antiguos (http://imagenes-tercero.es/foto.jpg).
• Scripts de tracking de campañas antiguas que ya no se usan.
• Embeds (vídeos, mapas) de fuentes que no cifran.
• Enlaces internos hardcodeados con http:// en lugar de relativos o https://.

Si has migrado recientemente una web vieja, mixed content es casi inevitable. Búscalo después del despliegue.

Causa 3 — Certificado caducado o mal configurado (20% de los casos)

El certificado existe, pero ha caducado (no renovó automáticamente), está emitido para un dominio distinto, o falta la cadena intermedia. Síntomas: aviso de pantalla completa al entrar, mensaje "NET::ERR_CERT_DATE_INVALID" o similar.

Solución:

1. Renovar el certificado. Si usas Let's Encrypt, debería auto-renovarse cada 90 días. Si no lo hace, revisa la configuración del cron job de renovación o usa una alternativa como Cloudflare (renueva sin intervención).
2. Verificar el dominio correcto. El certificado debe cubrir tanto tudominio.es como www.tudominio.es. Si solo cubre uno, el otro dará error.
3. Verificar cadena completa. Hay herramientas online (SSL Labs, whynopadlock.com) que diagnostican si la cadena del certificado está bien configurada.

El diagnóstico exprés en 60 segundos

Para saber qué te pasa exactamente:

1. Abre la web en Chrome.
2. Si ves aviso: pulsa el candado o el icono junto a la URL.
3. Chrome te dice exactamente qué falla: "no se ha instalado", "mixed content", "caducado".

Para verificación más profunda:

• SSL Labs (ssllabs.com/ssltest/): test detallado de la configuración SSL. Te da una nota A, B, C, etc. Si tienes menos de A, hay algo que mejorar.
• WhyNoPadlock (whynopadlock.com): específicamente para mixed content. Te dice exactamente qué recurso está cargándose por HTTP.

Errores típicos que veo en migración a HTTPS

Cuando una pyme migra de HTTP a HTTPS por primera vez, hay tres errores que aparecen casi siempre:

1. No redirigir HTTP → HTTPS

Después de instalar SSL, toda visita a http://tudominio.es debe redirigir automáticamente a https://tudominio.es con redirección 301. Si no lo configuras, Google ve las dos versiones como webs distintas y duplica contenido.

Configuración: una regla en .htaccess (Apache), bloque server (Nginx), o opción en Cloudflare ("Always use HTTPS").

2. No actualizar enlaces internos absolutos

Si tu web tenía enlaces hardcodeados con http://tudominio.es/algo, después de migrar siguen apuntando a la versión HTTP. Google los seguirá redirigiendo (porque tienes la 301), pero pierdes rendimiento y los CMS marcarán mixed content si esos enlaces son a recursos.

Solución: hacer search & replace masivo en la base de datos (en WordPress, plugins como "Better Search Replace") para sustituir http://tudominio.es por https://tudominio.es.

3. No actualizar Google Search Console

Search Console trata las versiones HTTP y HTTPS como propiedades distintas. Si solo tenías dada de alta la HTTP, después de migrar tienes que añadir también la HTTPS y trabajar desde ahí. La antigua puede dejarse activa para monitorizar errores residuales, pero el foco pasa a la nueva.

Conclusión

El aviso "No seguro" no es decoración: es el primer impacto que recibe tu visitante y suele ser el último. Arreglarlo va de instalar SSL (gratis), revisar mixed content (gratis) y mantener el certificado al día (automático si está bien montado).

Si tu web actualmente muestra ese aviso, estás perdiendo dinero en cada visita. Es el tipo de error con coste cero de arreglar y retorno enorme. No debería pasar de esta semana.