Home » Aprender » Glosario » ¿Qué son los certificados SSL?

¿Qué son los certificados SSL?

Última actualización: 14 de marzo de 2026

Un certificado SSL/TLS vincula una clave pública a un nombre de dominio (y a veces a una organización) para que los navegadores puedan autenticar el servidor y establecer una conexión HTTPS cifrada. La mayoría de los sitios web públicos deberían usar certificados TLS para cifrar datos sensibles (por ejemplo, credenciales y detalles de pago) en tránsito, y muchos navegadores y normativas de cumplimiento efectivamente hacen obligatorio HTTPS para flujos de trabajo clave.

¿Qué es SSL?

SSL (Secure Sockets Layer, Capa de Conexión Segura) es el protocolo original para asegurar las conexiones a internet. Aunque TLS (Transport Layer Security, Seguridad de la capa de transporte) ha reemplazado al protocolo original SSL, “SSL” sigue siendo el término común para los certificados usados para asegurar el tráfico web. Los certificados modernos ‘SSL’ se usan con TLS, que cifra el tráfico y usa verificaciones de integridad para que los datos interceptados no puedan leerse ni alterarse sin detección.

¿Cómo funcionan los certificados SSL?

Los certificados SSL/TLS utilizan Infraestructura de Clave Pública (PKI), que se basa en dos claves criptográficas distintas:

  1. Clave pública: Incorporada en el certificado; se usa durante el apretón de manos TLS para el intercambio de claves y autenticación del servidor.
  2. Clave privada: Reside de forma segura en el servidor web; se usa para descifrar el secreto previo maestro o probar la identidad del servidor durante el apretón de manos.

Cuando un navegador se conecta a un sitio HTTPS, el apretón de manos TLS normalmente funciona así:

  1. Solicitud de identificación: El navegador solicita la identificación del servidor.
  2. Transferencia del certificado: El servidor envía una copia de su certificado SSL y la clave pública.
  3. Validación y autenticación: El navegador valida el certificado contra su almacén de raíces confiables. Luego el servidor usa su clave privada para firmar su parte de los parámetros del intercambio de claves. El navegador verifica esta firma, confirmando la identidad del servidor.
  4. Intercambio de claves: El cliente y el servidor realizan un intercambio efímero de claves (típicamente ECDHE). Ambas partes generan claves temporales y se intercambian las partes públicas, lo que les permite calcular independientemente un secreto compartido sin enviarlo nunca por la red. Este proceso proporciona confidencialidad hacia adelante.
  5. Sesión cifrada establecida: Ambas partes usan la clave simétrica de sesión para cifrar todos los datos transmitidos durante la conexión.

¿Para qué se usan los certificados SSL?

En la práctica, SSL/TLS (usando certificados) proporciona tres propiedades principales:

  • Cifrado: Convertir datos en texto plano a texto cifrado para evitar accesos no autorizados durante el tránsito.
  • Autenticación: Confirmar que el servidor pertenece al propietario del dominio, mitigando ataques Man-in-the-Middle (MITM).
  • Integridad de los datos: Asegurar que los datos no hayan sido modificados o corrompidos durante la transmisión mediante hash criptográfico.

¿Por qué los sitios web necesitan un certificado SSL?

En muchos casos, SSL/TLS es requerido o fuertemente esperado debido al comportamiento de los navegadores y los requisitos de cumplimiento normativo:

  • Requisitos del navegador: Los navegadores modernos marcan los sitios no HTTPS como “No Seguro” e implementan políticas cada vez más restrictivas: bloquean contenido mixto, impiden acceso a APIs web modernas y en algunos casos requieren confirmación adicional del usuario para descargas o envíos de formularios.
  • Cumplimiento regulatorio: Marcos como PCI-DSS, HIPAA y GDPR exigen cifrado de datos en tránsito.
  • Optimización para motores de búsqueda (SEO): Los motores de búsqueda como Google usan HTTPS como una señal menor de clasificación. Más significativamente, HTTPS habilita características web modernas (como service workers) y preserva datos de referencia que pueden beneficiar indirectamente el rendimiento SEO.

Cómo implementar e inspeccionar certificados SSL

Obtener un certificado implica generar una Solicitud de Firma de Certificado (CSR). En un servidor Linux/Apache/Nginx, típicamente se usaría OpenSSL para generarla:

openssl req -new -newkey rsa:2048 -nodes -keyout tudominio.key -out tudominio.csr

Cómo verificar la expiración del certificado SSL

Una vez instalado el certificado, es crítico verificar que la configuración sea correcta y que el período de validez sea el esperado. Puedes verificar manualmente la fecha de expiración del certificado SSL y examinar los detalles en vivo del certificado mediante la línea de comandos (CLI) con este comando:

openssl s_client -connect tudominio.com:443 -servername tudominio.com | openssl x509 -noout -dates

Este comando se conecta al servidor, recupera el certificado activo y filtra la salida para mostrar las fechas notBefore (inicio) y notAfter (expiración).

Errores comunes en la implementación

Aun con un certificado válido, tu sitio puede mostrar “No Seguro” debido a:

  • Problemas con la cadena intermedia: Si no instalas el “CA Bundle”, el navegador no puede enlazar tu certificado con la Autoridad de Certificación raíz.
  • Incongruencia del nombre del host: Los Nombres Alternativos del Sujeto del certificado no coinciden con el nombre del host solicitado (por ejemplo, acceder a store.example.com con un certificado válido solo para example.com).
  • Contenido mixto: La página es HTTPS pero imágenes o scripts se cargan mediante HTTP inseguro.

Tipos de certificados SSL

Los certificados SSL se categorizan según dos factores principales: su nivel de validación y el número de dominios que aseguran. El nivel de validación refleja la profundidad de la verificación de antecedentes realizada por la Autoridad de Certificación (CA).

Por nivel de validación

En lugar de ver solo definiciones, usa este marco para ajustar el propósito de tu sitio al nivel de validación adecuado.

Si tu objetivo es…
Usa este nivel de validación
Profundidad de la verificación
Sólo velocidad y cifrado: Blogs personales, entornos de prueba o wikis internas.
Validación de dominio (DV)
Verificación automática de DNS/Correo electrónico. Emitido en minutos.
Identidad de marca: Sitios corporativos, SaaS B2B o páginas de generación de leads.
Validación de organización (OV)
Revisión humana del registro comercial y dirección física.
Confianza máxima: Comercio electrónico, banca o manejo de PII sensible.
Validación extendida (EV)
Auditoría legal y operativa rigurosa. Proporciona el nivel más alto de garantía.

Por dominios asegurados

  • SSL para dominio único: Asegura un nombre de dominio completo (FQDN) o subdominio (por ejemplo, example.com).
  • SSL multidominio (UCC/SAN): Asegura varios nombres de dominio distintos bajo un solo certificado (por ejemplo, com, example.org).
  • SSL comodín: (Véase abajo para una explicación detallada).

Certificados SSL comodín

Un certificado SSL comodín asegura un dominio principal y un número ilimitado de sus subdominios de primer nivel (por ejemplo, *.example.com) bajo un solo certificado. Esto reduce la carga administrativa de gestionar certificados individuales en entornos con gran volumen. Sin embargo, requieren una gobernanza estricta de seguridad; si la clave privada es comprometida, cada subdominio asociado queda vulnerable.

Certificados autofirmados vs. certificados firmados por CA

Un certificado autofirmado es exactamente lo que su nombre indica: un certificado SSL firmado por el mismo desarrollador que lo creó en lugar de una Autoridad de Certificación pública confiable e independiente. Los certificados autofirmados pueden usar los mismos algoritmos criptográficos que los firmados por CA, pero los navegadores no los confían por defecto y mostrarán advertencias a menos que el certificado sea explícitamente instalado como confiable. Debido a que no existe una “cadena de confianza” independiente, los navegadores muestran advertencias prominentes de seguridad y hacen que sea más difícil (pero no imposible) para los usuarios acceder a sitios con certificados autofirmados. Los certificados autofirmados deben usarse sólo en entornos de desarrollo internos y privados—nunca en producción.

Certificados SSL gratuitos vs. pagados

Sí. Gracias a iniciativas como Let’s Encrypt, obtener un certificado básico de Validación de Dominio (DV) es completamente gratuito. Estos certificados gratuitos usan el protocolo ACME (Automated Certificate Management Environment) para emitir y renovar certificados automáticamente mediante scripts.

Mientras que los certificados gratuitos (como los de Let’s Encrypt) ofrecen cifrado estándar, normalmente tienen un período de validez de 90 días. Esta vida útil más corta requiere renovaciones automáticas mediante el protocolo ACME. Si falla la automatización, el certificado expirará, resultando en advertencias de seguridad que impiden que la mayoría de los usuarios accedan al sitio sin pasar explícitamente por alto las protecciones del navegador.

¿Qué es el monitoreo de certificados SSL?

Si bien entender cómo funciona SSL es fundamental, asegurar que tus certificados permanezcan activos y válidos requiere supervisión continua. Al igual que el monitoreo DNS, el monitoreo de certificados SSL verifica automáticamente los puntos finales para la validez del certificado (cadena confiable y coincidencia de nombre del host), umbrales de expiración y problemas comunes de configuración TLS. El monitoreo revisa la validez del certificado, fechas de expiración y problemas comunes de configuración (por ejemplo, intermediarios faltantes) en un programa regular. Las alertas pueden notificar a tu equipo antes de la expiración para que puedas renovar o arreglar la cadena antes de que los navegadores empiecen a mostrar advertencias. Para prevenir lapsos de seguridad, muchas organizaciones utilizan las Mejores herramientas de monitoreo de certificados SSL para automatizar verificaciones desde múltiples ubicaciones y alertas en tiempo real.

Para más detalles, consulta: “¿Qué es el monitoreo de certificados SSL?

Estudio de caso: La trampa del “intermedio”

Un problema común es un sitio que carga en algunos navegadores de escritorio pero muestra una advertencia de certificado en navegadores móviles. Esto sucede porque los navegadores tienen diferentes capacidades para construir la cadena – algunos pueden obtener intermediarios faltantes usando extensiones AIA o tienen almacenes locales de certificados más completos, mientras que otros (particularmente navegadores móviles) requieren que el servidor entregue la cadena completa. Cuando los navegadores encuentran la cadena incompleta por primera vez, no pueden validar el certificado. Si tu servidor está mal configurado para enviar solo el certificado final y no la cadena intermedia, los usuarios móviles verán un aviso “Tu conexión no es privada”. El monitoreo continuo detecta este error de “cadena incompleta” inmediatamente, incluso si el sitio parece “bien” para tu equipo interno.

Preguntas frecuentes

¿El monitoreo es lo mismo que la gestión de certificados?

No. Aunque una estrategia robusta de gestión de certificados (usando herramientas como Let’s Encrypt o DigiCert) maneja la emisión técnica y renovación de certificados, el monitoreo es la capa independiente de verificación. El monitoreo asegura que esos procesos de gestión se ejecuten correctamente y que el sitio siga accesible para los usuarios.

Las verificaciones de expiración deberían ocurrir al menos diariamente. Para sitios críticos para el negocio, las comprobaciones de configuración y latido deberían ocurrir cada pocos minutos para detectar cambios repentinos.

Sí. Los subdominios utilizados para APIs, entornos de prueba o herramientas internas son puntos frecuentes de fallo y a menudo se pasan por alto durante las auditorías manuales.

El monitoreo CT rastrea registros públicos para identificar cada certificado emitido para tu dominio, ayudando a detectar “Shadow IT” o la emisión no autorizada de certificados.

Sí. El monitoreo automatizado proporciona el rastro de auditoría requerido por los marcos de seguridad para demostrar el mantenimiento de los estándares de cifrado.

Sí. Pueden desplegarse agentes de monitoreo privados para rastrear certificados en APIs internas y portales de empleados que no son accesibles para escáneres públicos.

Monitorea y valida certificados SSL sin esfuerzo.
Regístrate para una prueba gratuita hoy o programa una demostración para verlo en acción.