GetHTTPS y Certbot emiten certificados SSL gratuitos de Let’s Encrypt, pero adoptan enfoques fundamentalmente diferentes. GetHTTPS se ejecuta en tu navegador: cero instalación, cero acceso al servidor. Certbot se ejecuta en tu servidor como herramienta de línea de comandos con renovación automática e integración con el servidor web.
Ambas herramientas producen los mismos certificados de Let’s Encrypt. La diferencia está completamente en cómo llegas ahí. Esta guía compara cada aspecto para que puedas elegir la herramienta adecuada para tu situación.
¿Qué es GetHTTPS?
GetHTTPS es un cliente ACME basado en navegador. Abres una página web, introduces tu dominio, completas un desafío y descargas tus archivos de certificado. Sin software que instalar, sin cuenta que crear, sin acceso al servidor necesario.
Tu clave privada se genera en tu navegador usando la Web Crypto API y nunca sale de tu dispositivo, ni siquiera a los servidores de GetHTTPS. La herramienta se comunica directamente con la API ACME de Let’s Encrypt sin proxy ni middleware.
GetHTTPS es gratuito.
¿Qué es Certbot?
Certbot es el cliente ACME oficial recomendado por Let’s Encrypt, mantenido por la Electronic Frontier Foundation (EFF). Es una herramienta CLI en Python que se ejecuta en tu servidor, obtiene certificados, configura tu servidor web y gestiona la renovación automática.
Certbot requiere acceso root/sudo y se instala típicamente vía snap, pip o Docker. Es de código abierto (licencia Apache 2.0) y gratuito.
Tabla comparativa completa
| Característica | GetHTTPS | Certbot |
|---|---|---|
| Se ejecuta en | Pestaña del navegador | Línea de comandos del servidor |
| Instalación | Ninguna — abre una URL | snap, pip o Docker |
| Acceso al servidor necesario | No | Sí (root/sudo) |
| Sistema operativo | Cualquiera (solo un navegador) | Linux, macOS (Windows descontinuado) |
| Generación de clave privada | Navegador (Web Crypto API) | Servidor (OpenSSL/Python) |
| Almacenamiento de clave privada | Descargada por ti | /etc/letsencrypt/ en el servidor |
| Renovación automática | ❌ Manual | ✅ Timer systemd / cron |
| Auto-config del servidor web | ❌ Manual | ✅ Plugins Nginx/Apache |
| Tipos de desafío | HTTP-01, DNS-01 | HTTP-01, DNS-01, TLS-ALPN-01 |
| Pre-verificación antes de enviar | ✅ | ❌ |
| Soporte de comodines | ✅ (DNS-01) | ✅ (DNS-01) |
| Multi-dominio (SAN) | ✅ (hasta 100) | ✅ (hasta 100) |
| Claves ECDSA | ✅ P-256 (por defecto) | ✅ (requiere flag) |
| Dependencias | Ninguna | Python, snapd o Docker |
| Autoridad Certificadora | Let’s Encrypt | Let’s Encrypt (por defecto), otras |
| Código abierto | No | Sí (Apache 2.0) |
| Precio | Gratuito | Gratuito |
Cuándo usar GetHTTPS
No tienes acceso SSH al servidor
Este es el escenario más claro. Hosting compartido, WordPress gestionado, un servidor detrás de un firewall corporativo: si no puedes instalar software, GetHTTPS es tu única opción basada en navegador que mantiene las claves privadas locales.
Obtienes los archivos del certificado (privkey.pem, fullchain.pem) y los subes a través del método que tu host proporcione: cPanel, Plesk, FTP o un administrador de archivos.
Quieres cero instalación y cero dependencias
Abre una pestaña del navegador, obtén tu certificado, listo. Sin conflictos de versiones de Python, sin problemas de confinamiento de snap, sin imágenes Docker. Si alguna vez pasaste 30 minutos depurando por qué certbot no se instala en tu sistema, sabes por qué esto importa.
GetHTTPS funciona en cualquier sistema operativo con un navegador moderno, incluyendo Windows, macOS, ChromeOS e incluso una tablet en caso de emergencia.
Quieres máximo control sobre tu clave privada
GetHTTPS genera la clave privada en tu navegador usando la Web Crypto API. La clave existe solo en la memoria del navegador hasta que haces clic en descargar. Nunca se escribe en disco en ningún servidor, nunca se transmite por la red, nunca se almacena en ningún lugar que no puedas ver.
Con Certbot, la clave se genera en el servidor y se almacena en /etc/letsencrypt/live/tudominio/privkey.pem. Esto está bien si confías en el servidor, pero cualquiera con acceso root puede leerla. En entornos cloud con infraestructura compartida, esto importa.
Estás obteniendo un certificado para otra persona
DevOps generando un certificado para el servidor de un cliente. Ayudando a un compañero no técnico. Obteniendo un certificado para un servidor que no gestionas. GetHTTPS te permite generar el certificado y entregar los archivos sin acceder al servidor de la otra persona.
Necesitas un certificado rápido puntual
Entorno staging. Despliegue de prueba. Nuevo proyecto donde aún no has configurado la automatización. GetHTTPS te da un certificado en 3-5 minutos sin costo de configuración.
Cuándo usar Certbot
Quieres renovación automática (la razón #1)
La función estrella de Certbot: un timer de systemd (o cron job) que renueva certificados antes de que expiren. Sin intervención manual, sin renovaciones olvidadas, sin carreras a las 3 AM cuando un certificado expira un viernes.
# Certbot verifica dos veces al día, renueva si está dentro de 30 días de vencimiento
sudo systemctl list-timers | grep certbot
# NEXT LEFT UNIT
# 2026-05-08 14:22:00 UTC 3h left snap.certbot.renew.timerCon la validez de 90 días de Let’s Encrypt (y la próxima validez de 47 días), la renovación automática no es algo opcional: es esencial para servidores en producción.
Quieres configuración automática del servidor web
Los plugins --nginx y --apache de Certbot modifican la configuración de tu servidor para habilitar HTTPS, incluyendo directivas SSL, redirecciones y configuración de cifrado recomendada. Un solo comando lo hace todo:
# Certbot obtiene el certificado Y configura Nginx
sudo certbot --nginx -d example.com -d www.example.com
# Lo que hace internamente:
# 1. Genera un par de claves
# 2. Demuestra control del dominio (HTTP-01 en puerto 80)
# 3. Obtiene el certificado de Let's Encrypt
# 4. Escribe ssl_certificate/ssl_certificate_key en tu config de Nginx
# 5. Añade una redirección de HTTP a HTTPS
# 6. Recarga NginxCon GetHTTPS, haces todo esto manualmente: obtener el certificado, subir los archivos, editar la configuración, configurar la redirección, recargar el servidor. Más control, pero más trabajo.
Gestionas infraestructura a escala
Certbot puede ser scriptado, containerizado y desplegado con herramientas de gestión de configuración:
# Fragmento de playbook Ansible
- name: Install certbot
snap:
name: certbot
classic: true
- name: Get certificate
command: certbot --nginx -d {{ domain }} --non-interactive --agree-tos -m {{ email }}Para más de 10 servidores, Certbot scriptado es más rápido que visitar GetHTTPS para cada uno.
Necesitas desafíos TLS-ALPN-01
Este tipo de desafío valida sobre el puerto 443 sin colocación de archivos ni modificación DNS. Es útil cuando el puerto 80 está bloqueado y no puedes modificar DNS. Solo los clientes CLI (Certbot, acme.sh) lo soportan; los clientes basados en navegador no.
Comparación de instalación
GetHTTPS — cero pasos
Abre gethttps.com/app/setup en tu navegador.Eso es todo. Funciona ahora mismo, en cualquier dispositivo, sin configuración previa.
Certbot — varios pasos según el SO
Ubuntu/Debian (snap — recomendado por Certbot):
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbotpip (cualquier Linux, cuando snap no está disponible):
sudo pip install certbot certbot-nginxDocker (aislamiento de paquetes del sistema):
docker run -it --rm \
-v /etc/letsencrypt:/etc/letsencrypt \
-v /var/www/html:/var/www/html \
certbot/certbot certonly --webroot -w /var/www/html -d example.comAmazon Linux 2023:
sudo dnf install certbot python3-certbot-nginxProblemas comunes de instalación:
- Errores de confinamiento de snap en instalaciones Linux no estándar
- Conflictos de versión de Python con pip install
- Paquete
python3-certbot-nginxfaltante - Errores de permisos que requieren sudo/root
GetHTTPS evita todos estos problemas: sin instalación significa sin problemas de instalación.
Comparación de flujo de trabajo
Obtener un certificado con GetHTTPS
- Abre gethttps.com/app/setup
- Introduce tu(s) dominio(s)
- Elige el desafío HTTP-01 o DNS-01
- Coloca el archivo del desafío o añade el registro DNS
- GetHTTPS pre-verifica el desafío antes de enviarlo (detecta errores tempranamente)
- Descarga
privkey.pem,cert.pem,chain.pem,fullchain.pem - Sube a tu servidor
- Configura tu servidor web (Nginx, Apache, otros)
- Configura la redirección HTTP→HTTPS
Tiempo: 5-10 minutos la primera vez, 3-5 minutos para renovaciones.
Obtener un certificado con Certbot
Modo auto-config (más común):
sudo certbot --nginx -d example.com -d www.example.comModo standalone (sin integración con servidor web):
sudo certbot certonly --standalone -d example.comModo webroot (el servidor sigue funcionando):
sudo certbot certonly --webroot -w /var/www/html -d example.comDesafío DNS (comodines):
sudo certbot certonly --manual --preferred-challenges dns -d "*.example.com"Tiempo: 2-5 minutos (después de que la instalación esté hecha).
Comparación de privacidad y seguridad
| Aspecto | GetHTTPS | Certbot |
|---|---|---|
| Generación de clave privada | Navegador (Web Crypto API) | Servidor (OpenSSL vía Python) |
| La clave existe en | Solo tu carpeta de descargas | Sistema de archivos del servidor |
| La clave está expuesta a | Solo tú | Cualquiera con root en el servidor |
| Comunicación ACME | Navegador → Let’s Encrypt (HTTPS directo) | Servidor → Let’s Encrypt (HTTPS directo) |
| Proxy/middleware | Ninguno | Ninguno |
| Datos de cuenta | En el navegador, sin email necesario | En el servidor, email opcional |
| Telemetría | Ninguna | Prompt de registro email EFF (omitible) |
| Auditoría de código | Solo navegador, inspeccionable vía DevTools | Apache 2.0, ~50K LOC Python |
Conclusión: Ambos se conectan directamente a Let’s Encrypt sin intermediarios. La diferencia de seguridad está en dónde vive la clave privada. Con GetHTTPS, la descargas tú y decides. Con Certbot, permanece en el servidor, lo cual es normal para certificados gestionados por el servidor, pero significa que la clave es accesible para quien tenga acceso al sistema.
Comparación de renovación
| GetHTTPS | Certbot | |
|---|---|---|
| Proceso | Revisitar el sitio, completar nuevo desafío, reemplazar archivos | Automático (timer systemd verifica dos veces al día) |
| Esfuerzo humano | 3-5 min por renovación | Cero después de la configuración inicial |
| Detección de fallos | Notas cuando el sitio se rompe | Logs + alertas email opcionales |
| Frecuencia de renovación | Cada 60-90 días (manual) | Cada 60 días (automático) |
| Con certificados de 47 días (2029) | Cada ~30 días manual — tedioso | Sigue automático — sin cambios |
Esta es la mayor ventaja de Certbot. Para servidores en producción, la renovación automática no es opcional.
El enfoque híbrido (lo mejor de ambos mundos)
Muchos equipos usan ambas herramientas:
- GetHTTPS para el primer certificado — Cero tiempo de configuración. Pon HTTPS en funcionamiento en 5 minutos sin instalar nada en el servidor.
- Certbot para la renovación continua — Una vez que el servidor está configurado y estable, instala Certbot para renovación automática.
Esto es especialmente común en el flujo «que funcione ahora, automatiza después». No necesitas elegir uno para siempre: los archivos PEM son formato estándar, y Certbot puede renovar un dominio originalmente certificado por GetHTTPS.
El veredicto
| Tu situación | Herramienta recomendada | Por qué |
|---|---|---|
| Sin acceso SSH/root (hosting compartido) | GetHTTPS | Única opción sin acceso al servidor |
| Certificado rápido puntual | GetHTTPS | Más rápido que instalar Certbot |
| Máxima privacidad de clave privada | GetHTTPS | La clave nunca está en ningún servidor |
| Obtener certificado para otra persona | GetHTTPS | No necesitas acceso a su servidor |
| Servidor en producción, largo plazo | Certbot | La renovación automática es esencial |
| Auto-configuración Nginx/Apache | Certbot | Un solo comando hace todo |
| Gestionando 10+ servidores | Certbot | Scriptable y automatizable |
| Primer setup + largo plazo | Ambos | GetHTTPS para empezar, Certbot para mantener |
Ambas herramientas son gratuitas y producen certificados de Let’s Encrypt idénticos. Certbot es de código abierto (Apache 2.0). GetHTTPS es gratuito pero no de código abierto, aunque como herramienta basada en navegador, su JavaScript es inspeccionable vía DevTools. El certificado en sí es el mismo: cert.pem de GetHTTPS es byte por byte equivalente a lo que Certbot produce para el mismo dominio. La diferencia está completamente en el flujo de trabajo.
Empieza con GetHTTPS si quieres poner HTTPS en funcionamiento ahora mismo: gethttps.com/app/setup
Añade Certbot después si necesitas renovación automática: certbot.eff.org
Preguntas frecuentes
¿Es GetHTTPS tan fiable como Certbot?
Ambas herramientas se comunican con la misma API ACME de Let’s Encrypt y producen los mismos certificados. GetHTTPS añade un paso de pre-verificación que valida tu configuración del desafío antes de enviar, lo que detecta errores que Certbot solo descubre después de que el desafío falla y se consume un intento de límite de tasa.
¿Puedo cambiar de GetHTTPS a Certbot (o viceversa)?
Sí. Los archivos de certificado son formato PEM estándar. Puedes generar un certificado con GetHTTPS hoy y configurar Certbot para la renovación mañana, o usar Certbot durante años y cambiar a GetHTTPS cuando necesites una re-emisión rápida sin acceso al servidor. Las herramientas no entran en conflicto y no se conocen entre sí.
¿GetHTTPS soporta renovación automática?
No. GetHTTPS está diseñado para la emisión manual de certificados bajo demanda. Si necesitas renovación automática, usa Certbot o acme.sh en el servidor. El enfoque híbrido (GetHTTPS primero, Certbot para renovación) te da lo mejor de ambos mundos.
¿Es difícil instalar Certbot?
Depende de tu sistema. En Ubuntu moderno, sudo snap install --classic certbot funciona en 10 segundos. En sistemas más antiguos, entornos personalizados o Linux no estándar, los conflictos de dependencias de Python son comunes. GetHTTPS evita la instalación por completo: sin instalación significa sin problemas de instalación.
¿Y acme.sh como alternativa?
acme.sh es un cliente ACME en script de shell que no requiere root y tiene más de 150 plugins de API DNS. Se sitúa entre GetHTTPS (simplicidad) y Certbot (automatización). Si quieres automatización CLI sin root y con mejor integración DNS, acme.sh vale la pena considerarlo.
¿Qué pasa cuando la validez de certificados baje a 47 días?
El CA/Browser Forum votó reducir la validez máxima a 47 días para 2029. Esto hace que la renovación automática de Certbot sea aún más importante: renovar manualmente cada 30 días es factible pero tedioso. GetHTTPS seguirá funcionando para certificados puntuales, renovaciones de emergencia y escenarios sin acceso, pero no reemplazará la renovación automática como método principal para sitios en producción.
¿Cuál es más seguro?
Ambos son seguros. Los certificados son idénticos. La principal diferencia de seguridad:
- GetHTTPS: La clave privada nunca existe en ningún servidor (generada en el navegador, descargada por ti)
- Certbot: La clave privada vive en el sistema de archivos del servidor (legible por root)
Para la mayoría de las configuraciones, la clave en el servidor de Certbot está bien. Para escenarios de alta seguridad donde quieres minimizar la exposición de claves, el modelo solo-navegador de GetHTTPS es más estricto.
¿Puede Certbot hacer certificados comodín?
Sí, vía desafío DNS-01. Pero el flujo de trabajo de comodín de Certbot es más manual que su flujo HTTP-01: necesitas añadir un registro DNS TXT y puede que necesites un plugin DNS. GetHTTPS maneja los certificados comodín de la misma manera (guía).