Servidor · nginx
Conseguir HTTPS gratis con Certbot
El candado de HTTPS no es un lujo que se compre: es un certificado que Let's Encrypt regala. Certbot lo pide por ti y reescribe tu configuración de nginx solo. Lo que muchos hospedajes cobran como "SSL premium" es exactamente este comando.
1. Instala nginx
Se instala una sola vez y queda para siempre. Es gratis y de código abierto:
# Ubuntu / Debian (tu servidor)
sudo apt install nginx
# macOS (pruebas locales)
brew install nginx
Si nunca has usado la terminal, empieza por la guía de la terminal.
2. Pide y activa el certificado
Instala Certbot con su complemento para nginx y pídele el certificado para tu dominio:
sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d tusitio.com -d www.tusitio.comCertbot pide el certificado a Let's Encrypt —gratuito, de la organización sin fines de lucro ISRG— y modifica tu server block para servir por HTTPS. Te hará dos preguntas: tu correo (para avisos de vencimiento) y si quieres redirigir todo el tráfico a HTTPS. Di que sí.
Al terminar tienes candado verde y calificación A. Tu sitio ahora escucha también en el puerto 443, cifrado.
Antes de correr Certbot
Para emitir el certificado, Let's Encrypt necesita comprobar que de verdad controlas el dominio, así que dos cosas tienen que estar listas: el registro A del dominio ya debe apuntar a este servidor, y el puerto 443 debe estar abierto en el firewall. Si Certbot falla con un error de validación, casi siempre es porque el DNS todavía no se propaga o el puerto está cerrado.
Tareas relacionadas
Preguntas frecuentes
¿Es realmente gratis o me van a cobrar después?
Es gratis de forma permanente. Let's Encrypt es una autoridad certificadora sin fines de lucro y no cobra por emitir ni por renovar. No hay versión de pago que te empuje más adelante; el mismo certificado da el mismo candado y el mismo cifrado que cualquier SSL comercial.
¿Certbot va a romper la configuración de nginx que ya tengo?
Certbot edita tu archivo para añadir las líneas de SSL y la redirección, pero antes guarda una copia de respaldo. Si algo sale mal puedes restaurarla. Aun así, conviene revisar el archivo después y correr sudo nginx -t para confirmar que todo quedó válido.
¿Qué pasa con las visitas que llegan por HTTP normal?
Si aceptaste la redirección, Certbot configura nginx para reenviar automáticamente cualquier petición HTTP a su versión HTTPS con un 301. El visitante ni se entera: escribe sin candado y termina en la versión cifrada.