Publicado el 16 de julio de 2026 · Revisado el 16 de julio de 2026
Cómo instalar SSL gratis (Let's Encrypt) en cPanel paso a paso
Guía práctica para activar HTTPS gratis y automático en hosting compartido con cPanel usando Let's Encrypt (AutoSSL): diagnóstico de errores comunes, fuerza HTTPS y verificación. Sin comandos de terminal, todo desde la interfaz gráfica.
Tener un certificado SSL válido ya no es opcional: los navegadores marcan como "No seguro" cualquier sitio sin HTTPS, Google lo penaliza en SEO y tus visitantes confían menos. La buena noticia: en hosting compartido con cPanel puedes conseguir un certificado gratis, válido y renovado automáticamente con Let's Encrypt en un par de clics. Aquí te explicamos cómo, por qué cada paso importa y qué hacer si algo falla.
Por qué Let's Encrypt en cPanel
Let's Encrypt es una autoridad certificadora (CA) sin ánimo de lucro que emite certificados TLS de 90 días, renovables automáticamente. cPanel integra esta CA nativamente (vía el módulo AutoSSL o la interfaz SSL/TLS Status), así que no necesitas generar CSRs a mano, ni pegar claves privadas, ni pagar por un certificado comercial — salvo que requieras validación extendida (EV) o wildcard de pago, que son casos minoritarios en hosting compartido.
Paso 1: Accede a la herramienta SSL/TLS Status
Inicia sesión en tu cPanel y busca "SSL/TLS Status" (en la sección Seguridad).
Por qué aquí: Esta vista te muestra todos los dominios, subdominios y alias de tu cuenta con su estado actual (válido, expirado, sin certificado, error de validación). Es el panel de control único —evita tener que ir dominio por dominio.
Paso 2: Identifica qué dominios necesitan certificado
Verás una tabla con columnas: Dominio, Tipo (principal, addon, subdominio, alias), Estado SSL (icono de candado verde/rojo/gris) y Certificado (expira en X días / "No hay certificado").
- Icono gris (sin certificado) → el dominio nunca tuvo SSL o el anterior expiró sin renovar.
- Icono rojo (error) → la validación falló (ver Paso 4).
- Icono verde (válido) → ya está cubierto; no toques nada salvo que quieras forzar renovación.
Por qué revisar la lista completa: Un hosting compartido típico incluye el dominio principal + varios subdominios (
www,webmail,cpanel,autodiscover, etc.) y quizás addon domains. Si dejas alguno fuera, sus visitantes verán la advertencia de "No seguro".
Paso 3: Selecciona y ejecuta "Run AutoSSL"
- Marca las casillas de los dominios que muestran gris o rojo (o pulsa Seleccionar todo si quieres forzar renovación general).
- Pulsa el botón "Run AutoSSL" (arriba a la derecha).
- Espera 15–60 segundos. Verás una barra de progreso y, al terminar, un resumen: Certificados emitidos: X, Errores: Y.
Qué pasa por dentro: cPanel pide a Let's Encrypt un certificado por cada dominio marcado. La validación es HTTP-01 (coloca un archivo temporal en
/.well-known/acme-challenge/de tu sitio). Si tu DNS apunta al servidor y no hay redirecciones que rompan esa ruta, la validación sucede sola.
Paso 4: Si hay errores, diagnostica así
El resumen te dirá qué dominio falló y por qué. Causas frecuentes y solución:
| Error típico | Causa raíz | Qué hacer |
|---|---|---|
DNS problem: NXDOMAIN / SERVFAIL |
El dominio/subdominio no resuelve a la IP del servidor | En Zone Editor de cPanel, verifica que exista un registro A apuntando a la IP de tu hosting. Si el DNS está en Cloudflare/externo, añade el A allí. |
Connection refused / Timeout |
Firewall/bloqueo en el servidor o redirección que impide acceder a /.well-known/acme-challenge/ |
En Redirects de cPanel, asegúrate de no redirigir /.well-known/* a HTTPS u otra URL. Si usas .htaccess personalizado, añade RewriteCond %{REQUEST_URI} !^/\.well-known/acme-challenge/. |
Rate limited |
Let's Encrypt permite 50 certificados por dominio registrado por semana | Espera unas horas o al día siguiente. No reintentes en bucle. |
Invalid response / 404 en el challenge |
El archivo de validación no se sirvió (permiso, handler PHP, etc.) | En File Manager, revisa que public_html/.well-known/acme-challenge/ exista y sea escribible (755). Si usas Cloudflare, desactiva Proxy (nube naranja) temporalmente para la validación. |
Por qué no ignorar los errores: Un dominio fallado queda sin HTTPS. Tus visitantes verán la advertencia del navegador y, en formularios, Chrome bloquea el envío. Vuelve a ejecutar Run AutoSSL tras corregir la causa.
Paso 5: Fuerza HTTPS en todo el sitio (opcional pero recomendado)
Tener el certificado no basta si el sitio sigue cargando en HTTP. Dos formas nativas en cPanel:
A. Desde Domains → Force HTTPS Redirect
Activa el interruptor para cada dominio. cPanel escribe la regla en .htaccess y gestiona la renovación automática.
B. Desde SSL/TLS Status → Force HTTPS
Marca los dominios y pulsa Force HTTPS. Hace lo mismo pero en lote.
Por qué activarlo: Evita mixed content (recursos HTTP dentro de página HTTPS), mejora SEO y cumple con HSTS si luego lo configuras. Si tu CMS (WordPress, PrestaShop, etc.) ya fuerza HTTPS desde sus ajustes, no dupliques —una sola redirección basta.
Paso 6: Verifica que todo funciona
- Abre
https://tudominio.comen modo incógnito. Candado verde, sin advertencias. - Prueba también
https://www.tudominio.com,https://mail.tudominio.com, etc. - En SSL/TLS Status vuelve a cargar: todos los iconos deben ser verdes y la fecha de expiración ~90 días adelante.
Por qué verificar en incógnito: Tu navegador puede tener caché HSTS o certificado anterior. Incógnito simula un visitante nuevo.
¿Y después? Renovación automática
AutoSSL de cPanel renueva solo unos 15 días antes de expirar (ejecuta run_autossl vía cron nocturno). No necesitas hacer nada mientras:
- El DNS siga apuntando al servidor.
- No bloquees
/.well-known/acme-challenge/. - La cuenta no esté suspendida por impago/límite de recursos.
Si un día ves icono rojo de nuevo, repite Paso 4.
Resumen rápido (para copiar-pegar)
- Entra a SSL/TLS Status en cPanel.
- Marca dominios sin certificado (gris) o con error (rojo).
- Pulsa Run AutoSSL.
- Si hay errores → revisa DNS, redirecciones y
.well-known/. - Activa Force HTTPS Redirect para cada dominio.
- Verifica en incógnito. Listo.
Con esto tu hosting compartido sirve HTTPS válido, gratis y renovado solo — lo que tus visitantes, Google y tu tranquilidad agradecen. Si tu proyecto crece y necesitas certificados wildcard, EV o control total del servidor, el siguiente paso natural es un VPS o VDS donde tú mandas: explora planes VPS/VDS aquí.
Carolina
CTO - NAP Latino
www.naplatino.com
soporte@naplatino.com
