Defaults.Exposed › Soluciones › Salud del certificado TLS

Cómo arreglar Salud del certificado TLS

Tu certificado SSL/TLS es la tarjeta de identidad digital que demuestra que un visitante está hablando de verdad con tu web —y no con un impostor— y hace funcionar el candado del navegador. Esta comprobación examina si ese certificado es válido y de confianza, no está a punto de caducar, y está construido con criptografía fuerte y moderna.

En resumen, para tu negocio: Un certificado roto o caducado sustituye tu web por un aviso rojo a pantalla completa de «Tu conexión no es privada» en todos los navegadores. La mayoría de los visitantes se van al instante y no vuelven: las ventas online se detienen, los registros se detienen, y la conexión que debía ser privada puede ser interceptada en silencio.

Lo que esto te puede costar

Tu certificado caduca en silencio durante un fin de semana; para el lunes cada visitante choca con un aviso de seguridad a página completa, tu pago y tus formularios de contacto están muertos, y pierdes ventas por cada hora que tardas en darte cuenta y renovar.
Un cliente pagando por la wifi de una cafetería u hotel recibe un aviso de que tu certificado no coincide con tu dominio; supone que tu web es falsa o está pirateada, abandona la compra y les cuenta a otros que «pintaba dudoso».
El equipo de informática de un cliente mayor hace un escaneo de seguridad previo al contrato, ve un certificado autofirmado o no fiable, y te marca como un riesgo: el acuerdo se atasca por algo que cuesta cero arreglar.
Tu certificado usa un método de firma obsoleto o una clave débil; los navegadores modernos empiezan a mostrar avisos sobre él, y una auditoría de seguridad te baja la nota por usar criptografía que lleva años fuera de la lista recomendada.
Aceptas pagos con tarjeta y tu proveedor de pagos te reaudita; una clave débil o un certificado caducado incumple las reglas de seguridad de pagos y tu pago online queda congelado hasta que se corrija.

Por qué importa. El certificado es la pieza más visible de la seguridad de tu web: cuando está sano es invisible, y cuando se rompe se lleva por delante toda tu web con un aviso aterrador que empuja a los clientes directo a los competidores. La caducidad del certificado es la causa número uno de caídas inesperadas de webs, y es totalmente prevenible. Conseguir un certificado válido es gratis, y mantenerlo sano es sobre todo cuestión de dejar que se renueve automáticamente.

Qué es esto, en palabras sencillas

Cuando alguien visita tu web, tienen que pasar dos cosas para que se sienta seguro escribiendo una contraseña o un número de tarjeta. Primero, la conexión tiene que estar cifrada para que los extraños no puedan leerla. Segundo —y esta es la parte que la gente olvida—, el navegador del visitante tiene que estar seguro de que es de verdad tu web la que está al otro lado, y no un impostor que ha montado una falsificación convincente. Lo que hace ambos trabajos es tu certificado TLS (a menudo llamado «certificado SSL»).

Piénsalo como una tarjeta de identidad a prueba de manipulaciones para tu dominio. Una autoridad reconocida la emite, lleva estampado el nombre de tu dominio y una fecha de caducidad, y porta la clave criptográfica que codifica la conexión. Cuando todo cuadra, el navegador muestra el candado y tu web carga con normalidad. Cuando algo va mal con la tarjeta de identidad, el navegador hace lo contrario de tranquilizar a tu visitante: lanza un aviso a pantalla completa que dice, en efecto, «esta web puede no ser segura».

Esta comprobación examina la salud de esa tarjeta de identidad a lo largo de cuatro cosas que la rompen cada una por su cuenta:

¿Es válido y de confianza? — emitido por una autoridad reconocida, coincidiendo con tu dominio exacto, no autofirmado, y no caducado.
¿Está a punto de caducar? — porque un certificado que vence tira abajo toda tu web.
¿Está firmado con un método fuerte? — los algoritmos de firma antiguos pueden falsificarse.
¿Es su clave lo bastante fuerte? — una clave débil puede, en principio, romperse.

La buena noticia por adelantado: conseguir un certificado sano es gratis, y mantenerlo sano es sobre todo dejar que se renueve solo automáticamente para que ningún humano tenga que recordarlo.

Lo que esto te puede costar

La caída del fin de semana. Un certificado llega en silencio a su fecha de caducidad a última hora de un viernes. La renovación que debía ejecutarse no lo hizo (un servidor se mudó, un script se rompió, nadie lo notó). Para el sábado por la mañana, cada visitante —y cada rastreador de Google— ve un aviso rojo a página completa en lugar de tu portada. Tu tienda está cerrada y ni lo sabes. El arreglo técnico lleva minutos; el fin de semana de ventas perdido y los clientes que decidieron que «cerraste el negocio» no vuelven.
El carrito abandonado. Un cliente compra desde su móvil en la wifi de un hotel. Tu certificado no coincide del todo con el dominio que escribió (pongamos que cubre shop.tunegocio.com pero no el tunegocio.com pelado que usó). El navegador le avisa de que la web «puede estar suplantando» a la tuya. Para un comprador no técnico eso se lee como estafa: cierra la pestaña, y tú nunca sabes que la venta existió.
El contrato atascado. El equipo de seguridad de un cliente potencial mayor hace un escaneo rutinario antes de firmar. Vuelve mostrando un certificado autofirmado o no fiable en uno de tus subdominios. Aunque todo lo demás esté bien, esa única bandera roja convierte una aprobación rápida en un ir y venir que retrasa el acuerdo, por un problema que cuesta cero arreglar.
El aviso a cámara lenta. Tu certificado es técnicamente válido pero está firmado con SHA-1, un método antiguo que los navegadores llevan tiempo retirando. Una actualización de navegador después, una parte de tus visitantes empieza a ver avisos que no puedes reproducir en tu propia máquina actualizada. Llegan tiques de soporte diciendo que la web «se ve rota» y no consigues averiguar por qué.
El suspenso de cumplimiento. Aceptas pagos con tarjeta. Durante una reauditoría, las comprobaciones de tu proveedor señalan una clave débil o un certificado vencido. Las reglas de seguridad de las tarjetas requieren cifrado fuerte y actual, así que tus pagos online quedan suspendidos hasta que reemitas, congelando los ingresos en el peor momento posible.

Qué es en realidad (las cuatro partes)

Un certificado puede estar insano de cuatro formas distintas, y esta página cubre todas. Cada una es una comprobación aparte bajo el capó, pero para ti todas son «¿está bien mi certificado?».

1. Válido y de confianza

Esta es la grande, y la única parte de la salud del certificado que es una comprobación crítica, de máximo peso. Un certificado es «válido y de confianza» solo cuando todas estas cosas son ciertas:

Fue emitido por una autoridad de certificación reconocida en la que los navegadores ya confían (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon, etc.).
Coincide con el dominio exacto que usa el visitante, incluidos subdominios. Un certificado para www.tunegocio.com que no cubra también tunegocio.com dará aviso en el dominio pelado.
No está autofirmado, es decir, no es uno que te emitiste a ti mismo, que cifra pero no demuestra nada sobre quién eres.
Está actualmente dentro de su ventana de fechas: no caducado, y no (raro, pero pasa) fechado para empezar en el futuro.
Su cadena de confianza está intacta: la autoridad que lo firmó es a su vez de confianza, hasta arriba del todo.

Si cualquiera de estas falla, los navegadores muestran la temida página «Tu conexión no es privada», y esta comprobación suspende con dureza. Lo bueno se ve así: un certificado de una autoridad reconocida, que cubre cada dominio y subdominio que de verdad usas, cómodamente dentro de sus fechas.

2. No a punto de caducar

Cada certificado tiene una fecha de fin estricta. Los gratuitos suelen durar 90 días; los de pago a menudo un año. Pasada la fecha, la confianza se evapora al instante: no hay periodo de gracia. Esta comprobación mide cuántos días quedan y cómo interactúa eso con quién lo emitió:

Si ya está caducado, o caduca en menos de 7 días, se trata como crítico: una señal de que la renovación ha fallado.
Si caduca en 30 días y no está autogestionado, es un aviso de renovar ya.
Si es de un proveedor de renovación automática (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL y similares) con al menos una semana por delante, pasa, porque se espera que se renueve solo antes del plazo.
Mucho margen (más de 90 días, o autogestionado) es un aprobado limpio.

Lo bueno se ve así: un certificado autogestionado que se renueva solo sin que nadie lo toque. La forma más fiable de no tener nunca una caída por caducidad es hacer que una máquina, no una persona, sea responsable de la renovación.

3. Algoritmo de firma fuerte

Cada certificado se «firma» usando un algoritmo criptográfico que permite a los navegadores detectar manipulaciones. Los algoritmos antiguos —MD5 y SHA-1— han demostrado ser falsificables, lo que significa que un atacante podría en principio fabricar un certificado fraudulento que parezca legítimamente tuyo. Esta comprobación pasa cuando el certificado usa una firma fuerte y moderna: SHA-256 o más fuerte (SHA-384, SHA-512), ECDSA moderno, o Ed25519/Ed448. MD5 y SHA-1 suspenden. Lo bueno se ve así: SHA-256 o mejor, que es lo predeterminado en todo certificado gratuito y moderno, así que rara vez es un problema en cualquier cosa emitida en años recientes.

4. Clave fuerte

El certificado porta una clave criptográfica que hace la codificación de verdad. Si esa clave es demasiado corta, la potencia de cálculo moderna puede —con suficientes recursos— romperla, permitiendo a un atacante suplantar tu web o descifrar el tráfico. Los mínimos aceptados son RSA de 2048 bits o curva elíptica (EC) de 256 bits. Esta comprobación pasa con esos tamaños o por encima y suspende por debajo. Lo bueno se ve así: RSA de 2048 bits (o 4096 bits), o una clave EC de 256 bits como P-256, de nuevo, lo predeterminado en los certificados gratuitos modernos.

Una nota sobre las tres últimas: válido-y-de-confianza es la crítica que dispara la página de aviso. La fuerza de la firma y de la clave tienen que ver con blindarse a futuro y con las auditorías: un certificado gratuito reciente casi siempre las pasa automáticamente, pero son las cosas que una revisión de seguridad comprobará, así que vale la pena ponerlas bien.

Cómo solucionarlo (gratis, ~15 minutos)

Pasa esta sección a quien lleve tu web o tu hosting: la solución es gratis. Un certificado válido, fuerte y de renovación automática no cuesta nada vía Let’s Encrypt o cualquier host moderno. Solo cobramos por vigilar que se mantenga sano con el tiempo, no por arreglarlo. Si no tienes informático, las notas por plataforma de abajo llevarán a la mayoría de los dueños hasta el final.

Paso 1 — Consigue (o reemplaza) el certificado por uno gratuito y de confianza. Este único paso arregla la validez, la firma y la fuerza de la clave de golpe, porque los certificados gratuitos modernos usan SHA-256 y claves fuertes por defecto.

Cloudflare: en SSL/TLS → Overview, pon el modo en Full (Strict). Cloudflare emite y renueva solo un certificado de borde de confianza por ti; asegúrate de que tu servidor de origen también tiene un certificado válido para que «Strict» funcione.
Hosting de Google Workspace / Microsoft 365 o cualquier host con cPanel: busca Estado SSL/TLS y ejecuta AutoSSL. Provisiona y renueva certificados gratuitos automáticamente.
Constructores de webs (Squarespace, Wix, Shopify, hosts modernos de WordPress): el SSL suele estar activado por defecto; confirma que está habilitado en tus ajustes de dominio/seguridad, y que cubre tanto tunegocio.com como www.tunegocio.com.
Tu propio servidor Linux (Nginx/Apache): instala Let’s Encrypt con Certbot — sudo certbot --nginx -d tunegocio.com -d www.tunegocio.com (o --apache). Para una clave EC moderna, añade --key-type ecdsa. Lista todos los nombres de host que sirves con -d para que el certificado coincida con todos.

Paso 2 — Haz la renovación automática para que no vuelva a caducar nunca. Este es el paso que evita el escenario de la caída del fin de semana.

En un servidor con Let’s Encrypt, confirma que el temporizador de renovación está activo y pruébalo: sudo certbot renew --dry-run. Certbot normalmente instala un temporizador automático; si no, añade un cron diario: 0 3 * * * certbot renew --quiet.
En Cloudflare, cPanel AutoSSL y hosts gestionados o de constructores de webs, la renovación se gestiona por ti: no hay nada que programar.

Paso 3 — Asegúrate de que cubre los nombres correctos. La causa más común de «válido pero con aviso» es una falta de coincidencia de nombre. El certificado debe cubrir todos los nombres de host que los clientes usan de verdad: el dominio pelado, www, y cualquier subdominio como shop. o app.. Al generar un certificado, incluye cada uno (un comodín como *.tunegocio.com cubre todos los subdominios de una vez).

Paso 4 — Si solo se señala la firma o la fuerza de la clave, simplemente reemite. No necesitas comprar nada: genera un certificado nuevo (Paso 1) y el nuevo usará SHA-256 y una clave fuerte automáticamente. En tu propio servidor puedes fijar una clave moderna explícitamente, por ejemplo openssl ecparam -genkey -name prime256v1 -out server.key para EC, o openssl genrsa -out server.key 4096 para RSA, y luego reemitir.

Paso 5 — Verifica, luego vuelve a comprobar aquí. Confirma las fechas, el emisor y la clave con un comando rápido — echo | openssl s_client -servername tunegocio.com -connect tunegocio.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — y luego vuelve a ejecutar esta comprobación.

Errores habituales

Tratar «instalamos el SSL una vez» como hecho. Los certificados caducan con el reloj. Sin renovación automática, la pregunta no es si vence sino cuándo, normalmente en el momento menos conveniente.
Cubrir www pero no el dominio pelado (o viceversa). Ambos deben estar en el certificado, o uno de ellos lanza un aviso de falta de coincidencia de nombre. La misma trampa pilla los nuevos subdominios añadidos más tarde.
Dejar un certificado autofirmado en un subdominio «de pruebas» que en realidad es público. Cifra, así que da sensación de seguridad, pero los navegadores (y los escáneres de seguridad) lo tratan como no fiable, y es una bandera roja clásica de auditoría.
Suponer que de pago significa más seguro. Un certificado gratuito de Let’s Encrypt es exactamente igual de fiable y cifrado que uno caro. Pagar más no hace un candado más fuerte.
Renovar el certificado pero olvidar recargar el servidor. Un certificado nuevo en el disco no hace nada hasta que el servidor web se recarga para tomarlo: una causa sorprendentemente común de «lo renové pero sigue mostrando caducado».
Renovación automática que falló en silencio. Un trabajo de renovación puede romperse (un archivo movido, un cambio de DNS, un puerto bloqueado) y seguir «teniendo éxito» en silencio. Vigilar la fecha de caducidad —no solo el trabajo de renovación— es lo que de verdad lo detecta antes de que muerda.

Preguntas frecuentes

No soy técnico, ¿es esto algo que pueda resolver yo mismo?

No necesitas entender la criptografía. Un certificado válido es gratis (vía Let's Encrypt y la mayoría de los hosts modernos), y en el hosting gestionado suele ser automático. Pasa la sección «Cómo solucionarlo» de más abajo a quien lleve tu web o tu hosting: para la gran mayoría de las empresas es un trabajo rápido y gratis, no una compra.

Mi web muestra un candado, ¿no significa eso que mi certificado está bien?

El candado solo significa que existe una conexión segura ahora mismo. No te dice que el certificado esté a punto de caducar, que esté construido sobre una clave fuerte, ni que vaya a seguir siendo de confianza para los navegadores de mañana. Esta comprobación mira más allá del candado, a las cuatro cosas que de verdad lo mantienen encendido: ¿es el certificado válido y de confianza, va a caducar pronto, está firmado con un algoritmo fuerte, y es su clave lo bastante fuerte?

¿Tengo que pagar por un certificado SSL?

No. Los certificados gratuitos de Let's Encrypt (y los integrados en Cloudflare, cPanel AutoSSL y la mayoría del hosting moderno) son de confianza para todos los navegadores y exactamente igual de seguros que los de pago. Los certificados de pago compran sobre todo contratos de soporte, garantías o insignias de validación extendida: nada de lo cual afecta a si tu web está cifrada o es de confianza. Nunca cobramos por arreglar esto; solo cobramos por vigilar que se mantenga sano.

¿Cómo puede «caducar» un certificado, y por qué eso tira mi web abajo?

Cada certificado tiene una fecha de fin fija (a menudo 90 días para los gratuitos). Pasada esa fecha, los navegadores se niegan a confiar en él y muestran un aviso a página completa en lugar de tu web. No es un declive gradual: funciona a la perfección hasta el plazo, y luego se rompe del todo. Por eso importa tanto la renovación automática: elimina al humano que de otro modo se olvidaría.

¿Qué es un certificado «autofirmado» y por qué suspende?

Un certificado autofirmado es uno que te emitiste a ti mismo en lugar de obtenerlo de una autoridad reconocida. Cifra la conexión, pero nada da fe de que de verdad eres tú, así que los navegadores lo tratan como no fiable y avisan a los visitantes, exactamente igual que harían con el certificado falso de un atacante. Para una web pública siempre quieres uno de una autoridad de confianza, que es gratis.

¿Qué significan en realidad «clave débil» y «algoritmo de firma débil» para mi negocio?

Ambos son formas en que un certificado puede ser técnicamente válido hoy pero criptográficamente frágil. Una clave débil (por debajo de RSA de 2048 bits o EC de 256 bits) puede en principio romperse, permitiendo a un atacante suplantar tu web. Una firma débil (SHA-1 o MD5) puede falsificarse para crear un certificado falso convincente. Los certificados gratuitos modernos usan claves y firmas fuertes por defecto, así que la solución casi siempre es solo reemitir, sin coste.