Los certificados de Let’s Encrypt proporcionan la misma fuerza de cifrado que los certificados que cuestan $100-$500 al año. Los algoritmos de cifrado, las longitudes de clave y los protocolos TLS son idénticos. Un visitante de tu sitio no puede notar la diferencia en seguridad.
Entonces, ¿por qué existen los certificados de pago? ¿Y necesitas uno?
Respuesta corta: la mayoría de los sitios web no. El resto de este artículo explica las diferencias reales, no el marketing.
Comparativa rápida
| Aspecto | Let’s Encrypt (gratis) | SSL de pago (CA comercial) |
|---|---|---|
| Fuerza de cifrado | Igual (TLS 1.2/1.3, AES-256) | Igual |
| Tipos de clave | RSA 2048/4096, ECDSA P-256/P-384 | Igual |
| Nivel de validación | Solo DV | DV, OV, EV |
| Validez del certificado | 90 días | 1 año (reduciéndose a 47 días para 2029) |
| Comodín | ✅ (gratis) | ✅ |
| Multi-dominio (SAN) | ✅ (hasta 100 nombres) | ✅ |
| Garantía | Ninguna | $10K - $1,75M |
| Soporte técnico | Foro comunitario | Soporte dedicado |
| Confianza del navegador | Todos los navegadores principales | Todos los navegadores principales |
| Barra verde / nombre de org | No (DV) | No — eliminada de los navegadores en 2019 |
| Sello del sitio | No | Sí (insignia de marketing) |
| Costo por dominio/año | $0 | $50 - $500+ |
El cifrado es idéntico
Este es el punto más importante y el que las CAs comerciales ocultan en su marketing: el cifrado es el mismo.
Un certificado DV de Let’s Encrypt y un certificado EV de DigiCert de $500 ambos:
- Usan los mismos protocolos TLS 1.2/1.3
- Negocian las mismas suites de cifrado (AES-256-GCM, ChaCha20-Poly1305)
- Usan los mismos mecanismos de intercambio de claves (ECDHE)
- Proporcionan el mismo secreto perfecto hacia adelante
- Son igualmente confiables por todos los navegadores y sistemas operativos
Ninguna CA comercial usa «mejor cifrado». Los estándares los define la especificación TLS, no la CA. Pagar más compra validación y servicios, nunca cifrado más fuerte.
Por qué realmente estás pagando
1. Nivel de validación (DV vs OV vs EV)
La única diferencia técnica sustantiva:
| Nivel | Qué verifica la CA | Cuánto tarda | Visualización en el navegador (2026) |
|---|---|---|---|
| DV | Que controlas el dominio | Minutos (automatizado) | Candado |
| OV | Dominio + la organización existe | 1-3 días | Candado (igual que DV) |
| EV | Dominio + auditoría exhaustiva de la org | 1-2 semanas | Candado (igual que DV) |
Los tres muestran el mismo candado en todos los navegadores principales. No hay diferencia visual.
Desglose detallado de DV, OV y EV →
2. La barra verde desapareció
Las CAs comerciales todavía comercializan los certificados EV como mostrando «la barra de dirección verde con el nombre de tu empresa». Esto está desactualizado.
Cronología de la eliminación de la barra verde:
- Chrome 69 (septiembre 2018): Eliminó la etiqueta verde «Seguro»
- Chrome 77 (septiembre 2019): Eliminó el nombre de la organización EV de la barra de dirección
- Firefox 70 (octubre 2019): Eliminó el indicador EV
- Safari (2020): Eliminó la distinción EV
- Edge: Sigue a Chrome
En 2026, ningún navegador principal muestra diferencia visual alguna entre certificados DV, OV y EV. Los usuarios aún pueden ver los detalles de la organización haciendo clic en el candado → Certificado, pero casi nadie lo hace.
Esto elimina el argumento principal de marketing para los certificados EV.
3. Garantía
Los certificados de pago incluyen una «garantía», típicamente de $10K a $1,75M. Pero lee la letra pequeña:
- Cubre la mala emisión de la CA: si la CA emite un certificado a alguien que no controla el dominio, y un visitante sufre pérdida financiera como resultado directo
- NO te cubre si tu sitio es hackeado
- NO cubre brechas de datos
- NO cubre ataques de phishing
- Las reclamaciones requieren probar que la CA cometió un error en su proceso de validación
Ningún pago significativo de garantía se ha documentado públicamente jamás. La garantía es una herramienta de marketing, no un beneficio de seguridad real.
4. Soporte técnico
Let’s Encrypt: foro comunitario (letsencrypt.org/community). Sin teléfono, sin email, sin sistema de tickets.
CAs comerciales: soporte por email, teléfono y chat, con SLAs para planes empresariales.
Cuándo importa: Grandes empresas con requisitos de cumplimiento que exigen «soporte del proveedor» para todos los componentes de infraestructura. Si tu checklist de adquisiciones tiene una línea de «contrato de soporte», necesitas una CA de pago.
Cuándo no importa: Para la mayoría de los equipos que pueden seguir un tutorial y buscar mensajes de error en Google.
5. Sellos del sitio
Algunas CAs de pago proporcionan un «sello de confianza», una insignia que puedes mostrar en tu sitio. Estudios de principios de los 2010 mostraban que estos aumentaban las tasas de conversión.
La realidad en 2026: La mayoría de los usuarios no reconocen los logos de las CAs. El icono del candado (que todos los certificados obtienen) es el indicador universal de confianza. Ningún estudio controlado ha demostrado que un sello de DigiCert o Sectigo supere al candado solo en sitios modernos.
Cuándo Let’s Encrypt es suficiente (90%+ de los sitios web)
Los certificados DV de Let’s Encrypt son suficientes para:
- Sitios web personales y blogs — DV proporciona cifrado completo
- Aplicaciones SaaS — Google, Facebook y muchas empresas SaaS usan certificados DV
- APIs y microservicios — sin preocupación de confianza al usuario
- E-commerce — PCI DSS requiere cifrado, no OV/EV. Stripe, PayPal y los procesadores de pago manejan los datos sensibles de tarjetas de todos modos.
- Startups y pequeñas empresas — ahorra $50-500/año por dominio
- Herramientas internas — sin requisito de confianza externa
- Staging/desarrollo — no hay razón para pagar por entornos de prueba
Cuándo realmente necesitas SSL de pago
Deberías considerar un certificado de pago solo si alguno de estos aplica:
1. Cumplimiento normativo o adquisiciones requieren OV/EV
Algunos compradores empresariales, agencias gubernamentales o marcos de cumplimiento específicos de la industria requieren certificados OV o EV. Esto es un checkbox de adquisiciones, no un requisito de seguridad. Verifica la regulación real antes de asumir.
2. Tu auditor requiere identidad organizacional en el certificado
Algunas auditorías de seguridad o controles SOC 2 especifican que los certificados deben incluir identidad organizacional. Los certificados OV/EV incorporan el nombre legal de tu organización en los metadatos del certificado. (Aunque la mayoría de los auditores aceptan DV con justificación adecuada.)
3. Requisitos de seguro
En casos raros, tu póliza de seguro cibernético puede hacer referencia a garantías de certificados. Consulta con tu aseguradora.
El cambio a validez de 47 días
El CA/Browser Forum votó reducir la validez máxima de certificados a 47 días para 2029:
| Fecha | Validez máxima |
|---|---|
| Antes de marzo 2026 | 398 días (1 año) |
| Marzo 2026 | 200 días |
| Marzo 2027 | 100 días |
| Marzo 2029 | 47 días |
Esto elimina la última ventaja práctica de los certificados de pago: mayor validez. Para 2029, tanto los certificados de pago como los gratuitos necesitarán renovarse mensualmente. La propuesta de valor de «configúralo y olvídate» de los certificados de 1 año está desapareciendo.
Análisis de costos
| Escenario | Let’s Encrypt | Pago (DigiCert DV) | Pago (Sectigo OV) | Ahorro |
|---|---|---|---|---|
| 1 dominio, 1 año | $0 | $268 | $88 | $88-268 |
| 5 dominios, 1 año | $0 | $1.340 | $440 | $440-1.340 |
| Comodín, 1 año | $0 | $528 | $245 | $245-528 |
| 10 dominios, 5 años | $0 | $13.400 | $4.400 | $4.400-13.400 |
Para una empresa con 10 dominios durante 5 años: $4.400 a $13.400 ahorrados con cifrado idéntico.
El veredicto
| Tu situación | Recomendación |
|---|---|
| Sitio personal, blog, portfolio | Let’s Encrypt — no hay razón para pagar |
| Startup, pequeña empresa | Let’s Encrypt — gasta los $200/año en algo útil |
| SaaS, API, e-commerce | Let’s Encrypt — DV es suficiente, PCI DSS coincide |
| Empresa con checkbox de adquisiciones OV/EV | Pago — pero solo por el checkbox |
| Industria regulada que exige OV/EV por política | Pago — verifica la regulación real primero |
| Todos los demás | Let’s Encrypt |
Obtén tu certificado gratuito ahora: GetHTTPS — 5 minutos, sin instalación, la clave privada permanece en tu navegador.
Preguntas frecuentes
¿Google posicionará mi sitio más bajo con un certificado SSL gratuito?
No. Google ha confirmado que el tipo de certificado SSL (DV, OV, EV) no afecta los rankings de búsqueda. Cualquier certificado HTTPS válido proporciona la misma señal SEO.
¿Un certificado gratuito es seguro para e-commerce?
Sí. PCI DSS (el estándar de la industria de tarjetas de pago) requiere conexiones cifradas pero no especifica un nivel de validación. Los certificados DV cumplen los requisitos PCI. Tu procesador de pagos (Stripe, PayPal, Square) maneja las partes más sensibles de la seguridad de pagos, no tu certificado.
¿Los clientes confían menos en SSL gratuito?
Los clientes ven el mismo icono de candado independientemente del tipo de certificado. Desde 2019, ningún navegador principal muestra diferencia visual entre DV, OV y EV. La barra de dirección verde desapareció. Los usuarios confían en el candado, no en la marca de la CA.
¿Qué pasa si Let’s Encrypt cierra?
Let’s Encrypt es gestionada por el Internet Security Research Group (ISRG), respaldado por Mozilla, Google, EFF, Meta, Cisco y otros. Es la CA más grande del mundo (63,9% de cuota de mercado). Si bien cualquier organización puede teóricamente cerrar, ISRG es más estable financieramente que muchas CAs comerciales.
¿Puedo actualizar de Let’s Encrypt a pago después?
Sí. Compra un certificado de pago y reemplaza los archivos en tu servidor. Sin migración, sin tiempo de inactividad si se hace antes de que expire el certificado anterior. Al servidor no le importa qué CA emitió el certificado.
¿Por qué las CAs comerciales dicen que los certificados gratuitos son menos seguros?
Porque venden certificados de pago. El cifrado es idéntico, esto lo define el estándar TLS, no la CA. Las CAs comerciales no pueden ofrecer «mejor cifrado» porque la especificación no lo permite. Se diferencian en nivel de validación, garantía y soporte, nada de lo cual afecta la fuerza del cifrado.