Hace no tantos años, poner HTTPS en un sitio significaba pagar un certificado cada año y renovarlo a mano, con el riesgo de olvidarlo y despertar con el sitio marcado como "no seguro". Hoy, la mayoría de los sitios tienen certificados gratuitos que se renuevan solos, y por eso HTTPS dejó de ser un lujo para volverse el estándar. Detrás de ese cambio hay tres nombres que vale la pena conocer: Let's Encrypt, el protocolo ACME y, en el mundo del hosting, AutoSSL. Y no, no hay trampa: son gratis y seguros de verdad.
Let's Encrypt: la autoridad que volvió gratis el HTTPS
Let's Encrypt es una autoridad de certificación (CA) sin fines de lucro, respaldada por una organización pública, cuyo propósito declarado es que todo el web esté cifrado. Emite certificados gratuitos, y esto cambió internet: cuando cifrar dejó de costar dinero, desapareció la excusa para no hacerlo. La pregunta obligada es "¿si es gratis, qué tan bueno puede ser?" —y la respuesta es que sus certificados cifran exactamente igual de bien que cualquiera de pago. Son certificados DV (validación de dominio): verifican que controlas el dominio, que es lo que la mayoría de los sitios necesita.
A cambio de ser gratis y automático, tiene dos características: solo hace validación de dominio (no OV ni EV, no verifica tu empresa), y sus certificados duran poco —del orden de 90 días— en lugar de un año. Eso, que suena incómodo, es en realidad la clave de su diseño: como duran poco, obligan a automatizar la renovación. Y ahí entra ACME.
ACME: el protocolo que renueva sin que tú toques nada
ACME (Automatic Certificate Management Environment) es el protocolo que automatiza todo el ciclo de un certificado: pedirlo, demostrar que controlas el dominio, obtenerlo, instalarlo y —lo más importante— renovarlo antes de que expire, sin intervención humana. Un software en tu servidor (un "cliente ACME") habla con la CA, prueba automáticamente que el dominio es tuyo, y renueva el certificado en segundo plano. Tú te enteras... de que nunca tienes que enterarte. Los 90 días de Let's Encrypt dejan de importar porque la renovación ocurre sola cada pocas semanas.
Este es el verdadero cambio de paradigma: no es solo que los certificados sean gratis, es que dejaron de requerir atención humana. El olvido de renovar —causa histórica de tantos sitios caídos— se volvió un problema del pasado cuando la máquina se encarga.
AutoSSL: lo mismo, pero en tu panel de hosting
Si usas un hosting con cPanel (o Plesk, con su equivalente), probablemente ya disfrutas de esto sin saber su nombre: AutoSSL. Es la función que, de forma automática, emite y renueva certificados gratuitos para los dominios alojados en tu cuenta —típicamente usando Let's Encrypt u otra CA gratuita por debajo—. No tienes que instalar clientes ACME ni tocar comandos: el panel lo hace por ti. Por eso, en un hosting moderno, tus sitios tienen HTTPS "de la nada": AutoSSL trabajando en segundo plano.
¿Entonces para qué pagaría un certificado?
Buena pregunta, y la respuesta honesta es: para la mayoría de los sitios, no hace falta. Un certificado gratuito y automático cubre perfectamente un sitio normal. Los certificados de pago tienen sentido en casos concretos: cuando necesitas validación de organización o extendida (OV/EV) para respaldar la identidad de tu empresa; cuando quieres garantías, soporte o seguros que ofrecen las CAs comerciales; o para ciertos wildcards y SAN en configuraciones específicas (aunque también hay opciones gratuitas). Fuera de eso, pagar por "más cifrado" es un malentendido: el gratuito cifra igual. La regla, como siempre, es no comprar lo que no resuelve un problema que de verdad tienes.