Hay múltiples formas de obtener un certificado SSL gratuito en 2026. Pero «gratuito» no significa que todos sean iguales: difieren en cuántos certificados puedes obtener, si tu clave privada permanece privada, soporte de comodines y qué pasa cuando quieres dejar el proveedor.
Esta es la comparativa que ningún otro sitio hace: analizamos dónde se genera tu clave privada, porque si el proveedor tiene tu clave, tu cifrado está comprometido desde el origen.
Comparativa rápida: todos los proveedores de un vistazo
| Proveedor | Tipo | Validez | Comodín (gratis) | Cuenta necesaria | Clave privada | Límite gratuito | Renovación automática |
|---|---|---|---|---|---|---|---|
| Let’s Encrypt | CA independiente | 90 días | ✅ DNS-01 | No | ✅ Local | Ilimitados | Vía cliente ACME |
| ZeroSSL | CA independiente | 90 días | ❌ Solo de pago | ⚠️ Depende | 3 certs | Vía ACME | |
| Buypass Go | CA independiente | 180 días | ❌ | No | ✅ Local | Ilimitados | Vía ACME |
| Google Trust Services | CA independiente | 90 días | ✅ DNS-01 | Google Cloud | ✅ Local | Ilimitados | Vía ACME |
| Cloudflare | Proxy CDN | Automática | ✅ | ❌ Cloudflare la posee | Ilimitados | Automática | |
| SSL For Free | Herramienta web | 90 días | ❌ | ⚠️ Generada en servidor | 3 certs | No | |
| Proveedores de hosting | Incluido | 90+ días | Varía | Cuenta de hosting | ✅ En tu servidor | Ilimitados | Generalmente automática |
| AWS ACM | Servicio en la nube | Automática | ✅ | Cuenta AWS | ❌ AWS la posee | Ilimitados | Automática |
Autoridades Certificadoras independientes
Estas CAs emiten certificados que descargas y posees. Puedes instalarlos en cualquier lugar: cualquier servidor, cualquier plataforma, cualquier proveedor.
Let’s Encrypt — El estándar de la industria
Let’s Encrypt es una CA sin ánimo de lucro gestionada por el Internet Security Research Group (ISRG). Domina el mercado con una cuota global de CA del 63,9% y más de 300 millones de certificados activos.
Lo que la convierte en la opción predeterminada:
- Verdaderamente ilimitada — sin límites en el plan gratuito, sin ventas adicionales, sin planes de pago
- Certificados comodín — mediante desafío DNS-01, sin costo
- Ecosistema masivo — más de 50 clientes ACME: GetHTTPS (navegador), Certbot (CLI), acme.sh (shell), Caddy (integrado) y muchos más
- Sin cuenta requerida — las claves de cuenta ACME se generan localmente, sin registro por email
- Certificate Transparency — todos los certificados emitidos se registran públicamente para rendición de cuentas
- Respaldada por Mozilla, Google, EFF, Meta, Cisco y otros
Limitaciones:
- Validez de 90 días (requiere planificación de renovación — guía)
- Solo DV — sin OV ni EV (¿los necesitas?)
- Límites de tasa: 50 certificados por dominio registrado por semana (generoso para cualquier uso legítimo)
- Sin soporte dedicado — solo foro comunitario
Cómo obtener un certificado de Let’s Encrypt:
| Herramienta | Tipo | Ideal para |
|---|---|---|
| GetHTTPS | Navegador | Sin instalación, la clave permanece en el navegador |
| Certbot | CLI | Renovación automática en servidores Linux |
| acme.sh | Script de shell | Sin root, más de 150 plugins DNS |
| Caddy | Servidor web | HTTPS sin configuración |
ZeroSSL — Plan gratuito con condiciones
ZeroSSL es una CA comercial respaldada por Sectigo. Ofrece un plan gratuito junto con planes de pago ($10-100/mes).
Ventajas sobre Let’s Encrypt:
- Panel web para gestión de certificados
- REST API para emisión programática
- Validación por email (sin necesidad de acceso al servidor)
- Certificados de 1 año en planes de pago
Las desventajas:
- Plan gratuito: solo 3 certificados — después necesitas un plan de pago
- Comodín: solo de pago — Let’s Encrypt ofrece comodines gratis
- Preocupación de clave privada: Al usar el panel web, la clave puede generarse en el servidor de ZeroSSL, no en tu navegador. Usar su endpoint ACME con un cliente local mantiene la clave local.
- Propiedad de Sectigo — una CA comercial con incentivos comerciales
Conclusión: ZeroSSL está bien para 1-3 sitios si quieres un panel. Para algo más, Let’s Encrypt no tiene límites. Comparativa detallada →
Buypass Go SSL — Mayor validez, menos funciones
Buypass es una CA noruega que ofrece certificados DV gratuitos con validez de 180 días, el doble que Let’s Encrypt.
Ventajas:
- Validez de 180 días = menos renovaciones
- Soporte del protocolo ACME (funciona con Certbot, acme.sh)
- Sin cuenta requerida
- CA europea (relevante para organizaciones conscientes del GDPR)
- Certificados gratuitos ilimitados
Limitaciones:
- Sin soporte de comodines — si necesitas
*.example.com, es un impedimento - Comunidad más pequeña — menos documentación, menos integraciones probadas
- Menor reconocimiento de marca
Ideal para: Sitios simples que desean mayor validez sin comodines.
Google Trust Services — La CA propia de Google
Google Trust Services emite certificados DV gratuitos vía ACME, respaldados por la infraestructura de Google.
Ventajas:
- Soporte de comodines vía DNS-01
- Fiabilidad de nivel Google
- Compatible con ACME (Certbot, acme.sh)
Limitaciones:
- Requiere una cuenta de Google Cloud para el endpoint ACME
- Menos documentación comunitaria que Let’s Encrypt
- Validez de 90 días
- Dependencia de Google Cloud
Ideal para: Equipos que ya están en Google Cloud y quieren un solo ecosistema.
SSL gestionado por CDN y nube
Estos proveedores gestionan certificados por ti, pero no los posees.
Cloudflare — SSL gratuito como parte del CDN
Cloudflare proporciona «Universal SSL» en su plan gratuito. Pero esto es fundamentalmente diferente de un certificado descargable.
Cómo funciona realmente el SSL de Cloudflare:
Visitante ──HTTPS──→ Edge de Cloudflare ──???──→ Tu servidor origen
(certificado de Cloudflare) (¡puede no estar cifrado!)La conexión cifrada de tus visitantes termina en Cloudflare, no en tu servidor. Cloudflare descifra el tráfico, lo procesa (caché, WAF, etc.) y luego hace una conexión separada a tu origen.
El problema: En modo «Flexible» (el predeterminado en muchos casos), la conexión Cloudflare→origen es HTTP sin cifrar. Tus visitantes ven un candado, pero el tráfico del backend no está cifrado. Usa siempre el modo «Full (Strict)» con un certificado real en tu origen.
Lo que no obtienes:
- Un archivo de certificado que puedas descargar
- Una clave privada que controles
- Un certificado que funcione sin Cloudflare
- Privacidad frente a Cloudflare (ven todo el tráfico en texto plano)
- Uso en servicios no web (email, APIs que no están detrás de Cloudflare)
Lo que sí obtienes:
- Cero gestión de certificados
- Renovación automática
- Protección DDoS, CDN y otras funciones de Cloudflare
- Cobertura comodín
Ideal para: Sitios que ya están en Cloudflare y aceptan el modelo proxy. No es un reemplazo de un certificado real si quieres cifrado de extremo a extremo o portabilidad. Comparativa completa →
AWS Certificate Manager (ACM) — Solo para servicios AWS
ACM proporciona certificados gratuitos para balanceadores de carga AWS (ALB/NLB), CloudFront y API Gateway.
Limitación clave: No puedes descargar la clave privada. Los certificados ACM solo funcionan con servicios gestionados por AWS, no directamente en EC2 ni en servidores fuera de AWS. Guía completa de SSL en AWS →
Herramientas web (precaución requerida)
SSL For Free — Comodidad con costo en privacidad
SSL For Free era una herramienta web sencilla para obtener certificados de Let’s Encrypt. Ahora es propiedad de ZeroSSL/Sectigo y redirige a ZeroSSL.
⚠️ Problema crítico de privacidad: La interfaz web de SSL For Free generaba tu clave privada en su servidor y te la enviaba. Esto significa que tenían acceso a tu clave privada, lo único que debería ser secreto. Si sus sistemas alguna vez fueran vulnerados, cada clave que generaron podría quedar comprometida.
Esta es la diferencia fundamental entre SSL For Free y GetHTTPS: GetHTTPS genera la clave en tu navegador usando la Web Crypto API. La clave solo existe en la memoria de tu navegador hasta que la descargas. Ningún servidor la ve jamás. Comparativa detallada →
Proveedores de hosting con SSL incluido
La mayoría de los proveedores de hosting modernos incluyen SSL gratuito, generalmente Let’s Encrypt vía AutoSSL o su propia integración:
| Host | SSL gratuito | Comodín | Renovación automática | Cómo activarlo |
|---|---|---|---|---|
| Hostinger | ✅ Let’s Encrypt | ✅ | ✅ | hPanel → Security → SSL |
| SiteGround | ✅ Let’s Encrypt | ✅ | ✅ | Site Tools → Security → SSL |
| Bluehost | ✅ Let’s Encrypt | ❌ | ✅ | My Sites → Security |
| Namecheap | ✅ AutoSSL | ❌ | ✅ | cPanel → SSL/TLS Status |
| A2 Hosting | ✅ Let’s Encrypt | ✅ | ✅ | cPanel → SSL/TLS |
| DreamHost | ✅ Let’s Encrypt | ✅ | ✅ | Panel → Secure Hosting |
| DigitalOcean | ❌ | — | — | Usa GetHTTPS o Certbot |
| Hetzner | ❌ | — | — | Usa GetHTTPS o Certbot |
| Vultr | ❌ | — | — | Usa GetHTTPS o Certbot |
Si tu host incluye SSL gratuito — úsalo. Es el camino con menor resistencia.
Si tu host no lo incluye (DigitalOcean, Hetzner, Vultr, Linode o cualquier VPS) — usa GetHTTPS para un certificado rápido o Certbot para renovación automática.
La dimensión de la privacidad: ¿dónde está tu clave privada?
Esta es la comparativa que ningún otro artículo de «mejor SSL gratuito» hace, y es la pregunta de seguridad más importante:
| Proveedor | ¿Dónde se genera la clave privada? | ¿Quién tiene acceso? | Nivel de riesgo |
|---|---|---|---|
| GetHTTPS | Tu navegador (Web Crypto API) | Solo tú | ✅ Mínimo |
| Certbot / acme.sh | Tu servidor (OpenSSL) | Tú + quien tenga root | ✅ Normal |
| Let’s Encrypt (cualquier cliente) | Depende del cliente — ver arriba | Depende del cliente | Varía |
| ZeroSSL (cliente ACME) | Tu servidor | Tú + root | ✅ Normal |
| ZeroSSL (panel web) | Servidor de ZeroSSL | ZeroSSL + tú | ⚠️ Mayor |
| SSL For Free (web) | Su servidor | SSLForFree + tú | ⚠️ Mayor |
| Cloudflare | Infraestructura de Cloudflare | Cloudflare | ⚠️ No la tienes tú |
| AWS ACM | Infraestructura de AWS | AWS | ⚠️ No la tienes tú |
| Hosting AutoSSL | Tu servidor de hosting | Host + tú | ✅ Normal |
Por qué esto importa: Tu clave privada es la base de la seguridad de tu certificado. Si alguien más la tiene, puede suplantar tu sitio web. La mayoría de las comparativas de «proveedores SSL gratuitos» ignoran esto completamente.
Matriz de decisión
| Tu situación | Recomendado | Por qué |
|---|---|---|
| La mayoría de los sitios web | Let’s Encrypt vía GetHTTPS | Sin límites, mejor privacidad, funciona en cualquier lugar |
| Necesitas renovación automática | Let’s Encrypt vía Certbot | Configúralo una vez, olvídate para siempre |
| Hosting compartido con cPanel | AutoSSL de tu host | Ya está ahí, cero esfuerzo |
| Ya estás en Cloudflare | Cloudflare + certificado de origen con GetHTTPS | Beneficios del CDN + cifrado real en el origen |
| Ya estás en AWS | ACM para ALB/CloudFront + GetHTTPS para EC2 | ACM es gratuito y se renueva automáticamente |
| Quieres mayor validez | Buypass Go vía Certbot | 180 días vs 90 |
| Necesitas 1-3 certificados rápidos con panel | ZeroSSL | Interfaz web, validación por email |
| Sensible a la privacidad | Let’s Encrypt vía GetHTTPS | La clave nunca sale de tu navegador |
| Usuarios de Google Cloud | Google Trust Services | Integración nativa |
Nuestra recomendación
Para la mayoría de los sitios web: Let’s Encrypt es el ganador indiscutible.
- 63,9% de cuota de mercado global — el estándar probado
- Sin límites, sin ventas adicionales, sin condiciones
- Ecosistema masivo de herramientas
Usa GetHTTPS como tu cliente si quieres:
- Cero instalación (solo navegador)
- Clave privada generada localmente en tu navegador
- Conexión directa a Let’s Encrypt, sin intermediarios
- Pre-verificación antes del envío del desafío
Evita herramientas que generen tu clave privada en su servidor. Si el proveedor de la herramienta tiene tu clave, el cifrado está roto desde la raíz.
Preguntas frecuentes
¿Los certificados SSL gratuitos son tan seguros como los de pago?
Sí. Todos los certificados SSL, gratuitos o de pago, usan el mismo cifrado TLS. Un certificado DV gratuito de Let’s Encrypt proporciona la misma fuerza de cifrado que un certificado EV de $500. La diferencia está en el nivel de validación de identidad (DV/OV/EV), no en el cifrado. Comparativa completa →
¿Por qué algunos proveedores limitan los certificados gratuitos a 3?
Modelo de negocio. Las CAs comerciales (ZeroSSL/Sectigo) usan el plan gratuito como embudo de marketing para planes de pago. Let’s Encrypt, como organización sin ánimo de lucro, no tiene incentivo para limitar la emisión.
¿El SSL de Cloudflare es un certificado «real»?
Cloudflare emite un certificado real para tu dominio, pero vive en los servidores de Cloudflare, no en el tuyo. Tus visitantes obtienen conexiones cifradas hacia Cloudflare, pero la conexión entre Cloudflare y tu origen es separada (y puede no estar cifrada en modo «Flexible»). No posees ni controlas el certificado. Detalles →
¿Qué pasa cuando la validez baje a 47 días en 2029?
El CA/Browser Forum votó reducir la validez máxima a 47 días. Esto afecta a todos los proveedores por igual. La renovación automática (Certbot, acme.sh, AutoSSL del hosting) se vuelve indispensable. Para flujos de trabajo manuales (GetHTTPS), renovarías cada ~30 días.
¿Puedo usar múltiples proveedores al mismo tiempo?
Sí. Podrías usar Let’s Encrypt para tu sitio principal, Cloudflare para una propiedad con CDN y ACM para un balanceador de carga AWS. Los certificados de diferentes CAs no entran en conflicto.
¿Cuál es el mejor proveedor gratuito para WordPress?
El SSL integrado de tu proveedor de hosting es lo más sencillo. Si tu host no lo incluye, usa GetHTTPS para obtener un certificado de Let’s Encrypt e instálalo vía cPanel. Guía completa de SSL para WordPress →
¿Cómo cambio de proveedor?
Genera un nuevo certificado del nuevo proveedor y reemplaza los archivos en tu servidor. Sin migración, sin coordinación con el proveedor anterior. Los certificados son independientes: reemplazar uno con otro es solo intercambiar archivos.
¿Es Let’s Encrypt lo suficientemente fiable para producción?
Sí. Let’s Encrypt atiende al 63,9% del mercado y está respaldada por una organización sin ánimo de lucro bien financiada (ISRG) con patrocinadores como Google, Mozilla, Meta y Cisco. Grandes empresas, gobiernos y millones de sitios en producción confían en ella. Es más estable financieramente que muchas CAs comerciales.