Login Probar gratis
Guía de certificados SSL/HTTPS: qué son y por qué importan

Guía de certificados SSL/HTTPS: qué son y por qué importan

por MataSpam Guías de Seguridad

Un certificado SSL/TLS es lo que convierte una web normal en una web segura HTTPS, ese candado del navegador que aparece junto a la URL y que confirma que la conexión entre tu ordenador y el servidor está cifrada. Sin SSL, cualquier dato que envías (contraseñas, tarjetas, formularios) viaja en texto plano, listo para que cualquier curioso en la misma red Wi-Fi lo intercepte. El protocolo TLS (sucesor técnico de SSL, aunque seguimos llamándolo SSL por costumbre) cifra esa comunicación con criptografía asimétrica. Y desde 2018, Google penaliza en el ranking las webs sin HTTPS y Chrome las marca como "No seguras". Vamos, que si tu web sigue en HTTP, no es que vayas tarde: es que estás en otro siglo.

Qué es exactamente un certificado SSL y cómo funciona

Un certificado SSL es un archivo digital emitido por una Autoridad de Certificación (CA) que vincula una identidad (dominio, empresa) con una clave pública criptográfica. Cuando entras en una web con HTTPS, ocurre el llamado "handshake TLS": el navegador pide el certificado, verifica que lo ha firmado una CA de confianza (DigiCert, Let's Encrypt, Sectigo, GlobalSign…), y establece una clave de sesión cifrada.

La criptografía detrás usa pares de claves: una pública que cualquiera puede ver, y una privada que solo conoce el servidor. El navegador cifra los datos con la pública, y solo la privada puede descifrarlos. Si alguien intercepta el tráfico, ve ruido binario.

El estándar actual es TLS 1.3, publicado en 2018 por la IETF (RFC 8446). Versiones anteriores como SSL 3.0, TLS 1.0 y TLS 1.1 están oficialmente deprecadas por vulnerabilidades conocidas (POODLE, BEAST). Si tu servidor todavía las acepta, tienes un problema.

Tipos de certificados SSL: cuál necesitas según tu caso

No todos los certificados son iguales. La diferencia no está en el cifrado (todos protegen igual la conexión) sino en el nivel de validación de identidad que hace la CA antes de emitirlos.

TipoValidaciónTiempo emisiónUso típico
DV (Domain Validation)Solo dominioMinutosBlogs, webs personales, proyectos
OV (Organization Validation)Dominio + empresa1-3 díasWebs corporativas, pymes
EV (Extended Validation)Verificación legal completa1-2 semanasBanca, e-commerce de alto volumen
WildcardVariable (DV/OV)VariableCubre subdominios *.ejemplo.com
SAN/MultidominioVariableVariableMúltiples dominios en un certificado

Para la mayoría de webs, un DV gratuito de Let's Encrypt es más que suficiente. Let's Encrypt, lanzado en 2016 por la Internet Security Research Group (ISRG) con respaldo de Mozilla, EFF y Cisco, ha emitido miles de millones de certificados gratuitos. Los EV, aquellos que mostraban la barra verde con el nombre de la empresa, han perdido protagonismo: desde 2019 Chrome y Firefox ya no muestran ese indicador especial, así que pagar cientos de euros por un EV tiene poco sentido salvo en contextos muy específicos.

Cómo verificar el candado del navegador (y qué significa cuando falla)

El candado del navegador no es decorativo. Haz clic encima en Chrome, Firefox o Edge y te muestra información del certificado: a nombre de quién está emitido, qué CA lo firmó, fechas de validez y algoritmo de cifrado. Comprobaciones útiles:

  • Coincidencia de dominio: el certificado debe coincidir exactamente con la URL. Un certificado de www.banco.com no vale para banco.com si no incluye el SAN correcto.
  • Fecha de caducidad: desde septiembre de 2020 los certificados públicos no pueden durar más de 397 días. Apple, Google y Mozilla lo impusieron unilateralmente. Y el CA/Browser Forum ya ha aprobado reducirlo progresivamente hasta 47 días para 2029.
  • Cadena de confianza: el certificado debe estar firmado por una CA raíz preinstalada en el sistema operativo o navegador.
  • Algoritmo: SHA-256 mínimo. SHA-1 está roto desde 2017 (colisión SHAttered demostrada por Google y CWI Amsterdam).

Errores comunes que ves en pantalla:

  • NET::ERR_CERT_DATE_INVALID: certificado caducado. Renovación olvidada, problema clásico.
  • NET::ERR_CERT_AUTHORITY_INVALID: certificado autofirmado o de CA no reconocida. En entornos corporativos puede ser legítimo; en una web pública, sospecha.
  • NET::ERR_CERT_COMMON_NAME_INVALID: el dominio no coincide con el certificado.
  • SSL_ERROR_NO_CYPHER_OVERLAP: cliente y servidor no comparten cifrados compatibles. Servidor obsoleto o navegador muy antiguo.

Si trabajas con WordPress y tienes problemas mixtos (HTTPS con recursos HTTP que rompen el candado), te interesa nuestra guía básica de seguridad WordPress para configurar correctamente las URLs y forzar HTTPS en todo el sitio.

Cómo instalar y renovar un certificado SSL paso a paso

Para la mayoría de hostings compartidos, instalar SSL es un clic: cPanel, Plesk y similares integran Let's Encrypt con renovación automática cada 90 días. Si tienes servidor propio (VPS, dedicado), el proceso típico con Certbot en un Ubuntu/Debian es:

  1. Instalar Certbot: sudo apt install certbot python3-certbot-nginx
  2. Generar certificado: sudo certbot --nginx -d tudominio.com -d www.tudominio.com
  3. Verificar renovación automática: sudo certbot renew --dry-run
  4. Configurar redirección HTTP→HTTPS en nginx/Apache
  5. Habilitar HSTS con la cabecera Strict-Transport-Security

Herramientas para auditar tu configuración SSL una vez instalado:

  • SSL Labs (Qualys): ssllabs.com/ssltest — el estándar de facto. Te da una nota de A+ a F y desglosa todo (cifrados soportados, vulnerabilidades, configuración HSTS).
  • Mozilla Observatory: observatory.mozilla.org — análisis más amplio incluyendo cabeceras de seguridad.
  • testssl.sh: script open source que ejecutas localmente para auditorías profundas.
  • Hardenize: hardenize.com — visión global de la postura de seguridad del dominio.

Para proyectos más complejos que requieren arquitectura específica de seguridad, conviene plantearse un desarrollo WordPress profesional donde el SSL, HSTS, CSP y demás cabeceras vengan configurados desde el primer día, no como parche posterior.

Vulnerabilidades históricas y por qué importan las actualizaciones

La historia de SSL/TLS está llena de cicatrices. Repasarlas no es nostalgia: cada vulnerabilidad explica por qué los estándares actuales son como son.

  • Heartbleed (CVE-2014-0160): fallo en OpenSSL que permitía leer memoria del servidor remotamente. Afectó aproximadamente a medio millón de servidores web. Filtraron claves privadas, contraseñas, cookies de sesión.
  • POODLE (CVE-2014-3566): ataque sobre SSL 3.0 que mató definitivamente esa versión.
  • FREAK (CVE-2015-0204): aprovechaba cifrados "export-grade" obsoletos heredados de los años 90.
  • Logjam (CVE-2015-4000): similar a FREAK, atacando el intercambio de claves Diffie-Hellman débil.
  • DROWN (CVE-2016-0800): explotaba SSLv2 en servidores que aún lo soportaban por compatibilidad.

Lección: mantén actualizado el software del servidor (OpenSSL, nginx, Apache) y desactiva versiones antiguas del protocolo. La configuración recomendada actual: solo TLS 1.2 y TLS 1.3, cifrados modernos (AEAD como AES-GCM o ChaCha20-Poly1305), Perfect Forward Secrecy obligatorio.

Y un detalle a menudo olvidado: la cabecera HSTS (Strict-Transport-Security) le dice al navegador "para este dominio, siempre HTTPS, nunca HTTP, no aceptes downgrade". Sin HSTS, un atacante en la red puede interceptar la primera conexión HTTP antes de la redirección. Con HSTS y preloading en hstspreload.org, esa ventana se cierra.

El RGPD (Reglamento UE 2016/679) no menciona SSL por su nombre, pero su artículo 32 exige "medidas técnicas y organizativas apropiadas" para garantizar la seguridad del tratamiento de datos personales, incluyendo "el cifrado de los datos personales". Cualquier formulario que recoja un email, un nombre o cualquier dato identificable sobre HTTP es, técnicamente, una infracción del RGPD.

La AEPD (Agencia Española de Protección de Datos) ha sancionado en múltiples ocasiones por falta de cifrado en transmisión. Y la directiva ePrivacy, junto con el marco español de la LSSI-CE, refuerza esta obligación para servicios de la sociedad de la información. Si tienes web profesional y manejas datos de clientes, sin HTTPS no es que tengas un problema técnico: tienes un problema legal. Para conocer mejor el marco aplicable, te recomendamos nuestra explicación sobre tus derechos RGPD como ciudadano europeo.

Preguntas frecuentes

¿SSL y TLS son lo mismo?

Técnicamente no. SSL fue el protocolo original (versiones 1.0, 2.0 y 3.0) desarrollado por Netscape en los 90. TLS es su sucesor desde 1999, y todas las versiones de SSL están deprecadas. Por inercia seguimos diciendo "SSL", pero lo que se usa hoy es TLS 1.2 y TLS 1.3.

¿Vale la pena pagar por un certificado SSL o uso Let's Encrypt gratis?

Para la mayoría de casos, Let's Encrypt es perfecto y ofrece el mismo nivel de cifrado que cualquier certificado de pago. Solo tiene sentido pagar si necesitas validación OV/EV con verificación corporativa, soporte técnico dedicado, garantías económicas del emisor o certificados especiales (firma de código, S/MIME).

¿Cuánto dura un certificado SSL?

Desde septiembre de 2020, máximo 397 días (unos 13 meses) para certificados públicos emitidos por CAs reconocidas. Let's Encrypt usa 90 días por diseño, forzando renovación automática frecuente. El CA/Browser Forum ha aprobado reducir progresivamente la duración máxima hasta 47 días para 2029.

¿Una web con HTTPS es 100% segura?

No. HTTPS garantiza que la comunicación entre tu navegador y el servidor está cifrada, pero no que la web en sí sea legítima. Los phishers usan certificados SSL gratuitos en sus webs fraudulentas precisamente para mostrar el candado. El candado dice "nadie está espiando esta conversación", no "puedes confiar en quien hay al otro lado".

¿Cómo sé si mi certificado SSL está bien configurado?

Audita tu dominio en ssllabs.com/ssltest. Si obtienes una nota A o A+, vas bien. Notas B o inferiores indican configuración mejorable: versiones antiguas de TLS habilitadas, cifrados débiles, falta de HSTS o problemas con la cadena de certificados. La auditoría es gratuita y tarda menos de dos minutos.

El siguiente paso

Abre ahora mismo ssllabs.com/ssltest en una pestaña nueva, introduce tu dominio y mira qué nota saca tu configuración SSL actual. Si es B o inferior, tienes deberes esta semana: actualizar protocolos a TLS 1.2/1.3 únicamente, activar HSTS y revisar la cadena de certificados.

ssl https certificado ssl tls web segura https candado navegador
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Seguridad para tu smart home: cómo proteger cada dispositivo IoT de tu hogar
Guías de Seguridad

Seguridad para tu smart home: cómo proteger cada dispositivo IoT de tu hogar

Cómo proteger tu cuenta de Instagram paso a paso
Guías de Seguridad

Cómo proteger tu cuenta de Instagram paso a paso

Qué hacer tras un ciberataque: guía de respuesta para usuarios
Guías de Seguridad

Qué hacer tras un ciberataque: guía de respuesta para usuarios

← Volver al blog