Defaults.Exposed › Informes
Caducados, autofirmados, no válidos: el informe de errores de certificados (2026)
Publicado 2026-06-29
Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo sobre los 197 millones de dominios que presentan un certificado TLS. «Inválido» = el certificado no supera la validación (caducado, autofirmado, nombre de host incorrecto o cadena no confiable). Consulta cómo lo evaluamos.
Tener un certificado no es lo mismo que tener uno válido: el 8,57% de los certificados de la web no superan la validación. De los 197 millones de dominios que presentan un certificado TLS, 16.920.535 tienen uno en el que los navegadores no confían — y cada uno de ellos muestra a los visitantes una advertencia de seguridad a pantalla completa en lugar del sitio. En la era de los certificados gratuitos que se renuevan automáticamente, un certificado roto es casi siempre un error subsanable, no un problema de coste.
Qué falla realmente en estos certificados
Un certificado no supera la validación por un puñado de razones: caducado, autofirmado, emitido para un nombre de host distinto o procedente de una cadena no confiable. La categoría más identificable del censo es, con diferencia, autofirmado:
| Problema | Dominios |
|---|---|
| Certificado presente pero inválido (cualquier motivo) | 16.920.535 (8,57%) |
| — de los cuales autofirmados | 3.378.080 (20,0% de los inválidos) |
Un certificado autofirmado es uno que el propio dominio se emitió a sí mismo: cifra el tráfico pero no prueba nada, por lo que los navegadores lo rechazan. Es habitual en dispositivos, herramientas internas y entornos de pruebas que quedaron expuestos a internet por accidente. El resto de certificados inválidos están en su mayoría caducados o tienen un nombre de host que no coincide.
Por qué un certificado roto es peor que no tener HTTPS
Un sitio sin HTTPS recibe una discreta etiqueta de «No seguro». Un sitio con un certificado roto recibe un interstitial rojo a pantalla completa — «Tu conexión no es privada» — que la mayoría de los visitantes no van a saltarse con un clic. Es la señal de confianza más severa que muestra un navegador, y aparece antes de que se cargue tu contenido. Para un negocio, eso es una puerta cerrada en el momento del primer contacto.
También es evitable: como las CA gratuitas y la renovación automática emiten ahora la gran mayoría de los certificados, un certificado válido no cuesta nada y se renueva solo. El 8,57% con certificados rotos son casi todos lagunas de configuración, no de presupuesto.
Cómo corregir un error de certificado
- ¿Caducado? Automatiza la renovación (ACME / Let’s Encrypt) para que nunca vuelva a caducar. Corregir errores de certificado.
- ¿Autofirmado? Sustitúyelo por un certificado gratuito emitido por una CA: los certificados autofirmados siempre advertirán en los navegadores.
- ¿Nombre de host incorrecto? Vuelve a emitirlo cubriendo exactamente los nombres que sirves (incluido
www). - Verifica que la cadena esté completa y sea confiable, y luego confírmalo con una nueva comprobación.
Preguntas frecuentes
¿Por qué un certificado pasa a ser inválido? Lo más habitual es que haya caducado, sea autofirmado, se emitiera para un nombre de host distinto o proceda de una cadena no confiable. A fecha de 2026-06-29, el 8,57% de los certificados no superan la validación por una de estas razones.
¿Qué es un certificado autofirmado? Uno que el servidor se emitió a sí mismo en lugar de obtenerlo de una CA de confianza. Cifra pero no prueba ninguna identidad, por lo que los navegadores lo rechazan. 3.378.080 dominios presentan uno.
¿Es peor un certificado roto que no tener HTTPS? Sí: un certificado roto desencadena una advertencia del navegador a pantalla completa que bloquea el sitio, mientras que el HTTP simple recibe una etiqueta en línea más suave de «No seguro».
¿Cuánto cuesta corregirlo? Nada. Los certificados válidos son gratuitos (Let’s Encrypt y otros) y se renuevan automáticamente. Es una corrección de configuración.
Comprueba que tu certificado es válido
Un certificado que los navegadores rechazan te está costando visitantes ahora mismo. Comprueba el tuyo gratis y de forma privada.
Comprueba tu dominio → · Corregir errores de certificado → · ¿Quién emite los certificados de la web? → · ¿Por qué mi sitio dice «No seguro»? → · Solo datos agregados. Datos almacenados y procesados en la UE.