Certificados SSL/TLS: guía práctica

Todo lo que necesitas saber para cifrar las comunicaciones de tu sitio web correctamente

9 min

Los certificados SSL/TLS son la base del cifrado en la web. Sin ellos, cualquier dato que viaje entre el navegador del usuario y tu servidor —contraseñas, datos de pago, información personal— puede ser interceptado por terceros. HTTPS, que depende de estos certificados, es ya un estándar obligatorio.

Esta guía explica cómo funciona SSL/TLS, qué tipos de certificado existen, cómo obtener uno gratuito con Let’s Encrypt y qué hacer cuando algo falla en la configuración o la renovación.

¿Cómo funciona SSL/TLS?

SSL (Secure Sockets Layer) y su sucesor TLS (Transport Layer Security) son protocolos criptográficos que establecen un canal seguro entre dos partes. Cuando un usuario visita un sitio HTTPS, se produce un handshake: el servidor presenta su certificado, el navegador lo verifica contra una autoridad de certificación (CA) y ambos acuerdan una clave de sesión para cifrar la comunicación.

El certificado digital contiene la clave pública del servidor, la identidad del dominio y la firma de la CA que lo emitió. TLS 1.3, la versión actual, ha simplificado el handshake a un solo round-trip, mejorando rendimiento y seguridad simultáneamente.

Tipos de certificado: DV, OV y EV

No todos los certificados SSL/TLS son iguales. Se diferencian por el nivel de validación que la autoridad de certificación realiza antes de emitirlos, lo que afecta tanto al coste como a la confianza que transmiten.

  • Domain Validation (DV): valida solo que controlas el dominio. Es el más rápido y económico, ideal para blogs y sitios informativos. Let’s Encrypt emite DV gratuitos.
  • Organization Validation (OV): la CA verifica además la existencia legal de la organización. Aporta mayor confianza para sitios corporativos.
  • Extended Validation (EV): validación exhaustiva de la identidad empresarial. Antes mostraba barra verde en el navegador, hoy aporta valor en sectores regulados como banca o salud.

Let’s Encrypt y certificados gratuitos

Let’s Encrypt revolucionó el ecosistema SSL/TLS al ofrecer certificados DV gratuitos y automatizados. Fundada por la ISRG (Internet Security Research Group) y respaldada por Mozilla, Google y otros, emite más de 300 millones de certificados activos.

La herramienta Certbot automatiza la obtención y renovación de certificados. Se integra con Apache, Nginx y la mayoría de servidores web. Los certificados de Let’s Encrypt tienen una validez de 90 días, lo que obliga a automatizar la renovación —una práctica recomendada de seguridad.

Configuración correcta de SSL/TLS

Instalar un certificado es solo el primer paso. Una configuración incorrecta puede anular la protección que SSL/TLS debería ofrecer. Los errores más comunes incluyen usar versiones obsoletas del protocolo, cipher suites débiles o no aplicar HSTS.

  • Desactiva SSL 2.0, SSL 3.0 y TLS 1.0/1.1: solo TLS 1.2 y 1.3 son seguros
  • Configura cipher suites modernas: prioriza ECDHE con AES-GCM
  • Activa HSTS con max-age mínimo de un año e includeSubDomains
  • Implementa OCSP Stapling para validar el estado del certificado sin depender de la CA en tiempo real
  • Usa herramientas como SSL Labs Server Test para verificar tu configuración

Renovación y automatización

Un certificado expirado provoca errores de navegador que ahuyentan a los usuarios y rompen la confianza. La renovación debe estar completamente automatizada. Certbot y la mayoría de paneles de hosting (cPanel, Plesk) soportan renovación automática.

Configura alertas de monitorización que te avisen al menos 14 días antes de la expiración. Servicios como UptimeRobot, Datadog o incluso scripts cron simples pueden verificar la validez del certificado y notificarte ante cualquier anomalía.

Problemas comunes y cómo resolverlos

Los errores de SSL/TLS suelen tener causas específicas y soluciones claras. Diagnosticar correctamente ahorra horas de frustración y evita soluciones incorrectas como desactivar la verificación de certificados.

  • ERR_CERT_DATE_INVALID: certificado expirado, renueva inmediatamente
  • Mixed content: recursos HTTP en página HTTPS, actualiza todas las URLs a HTTPS
  • ERR_CERT_COMMON_NAME_INVALID: el dominio no coincide con el certificado, emite uno con el dominio correcto o usa un wildcard
  • Chain of trust incompleta: falta el certificado intermedio, configúralo junto al certificado principal

Puntos clave

  • TLS 1.3 es el estándar actual: desactiva versiones anteriores a TLS 1.2
  • Let’s Encrypt ofrece certificados DV gratuitos con renovación automatizable
  • La configuración correcta (HSTS, cipher suites, OCSP) es tan importante como el certificado en sí
  • Automatiza siempre la renovación y monitoriza la expiración con alertas
  • Diagnostica errores con SSL Labs Server Test antes de aplicar cambios

¿Tu certificado SSL está bien configurado?

Auditamos tu configuración TLS, detectamos vulnerabilidades y te ayudamos a implementar las mejores prácticas de cifrado.