¿Qué es un Certificado SSL?
Un certificado SSL (Certificado de Capa de Sockets Seguros) es un certificado digital que autentica la identidad de un sitio web y establece una conexión cifrada entre un servidor web y navegador. Aunque SSL ha sido superado por TLS (Seguridad de Capa de Transporte), el término "certificado SSL" sigue siendo ampliamente utilizado. Estos certificados son esenciales para sitios web HTTPS, mostrando el icono de candado que señala seguridad a los visitantes.
Cómo Funcionan los Certificados SSL
El Proceso de Protocolo de Enlace
1. Navegador solicita conexión segura
2. Servidor envía certificado SSL + clave pública
3. Navegador verifica certificado con CA
4. Navegador crea clave de sesión, cifra con clave pública
5. Servidor descifra con clave privada
6. Sesión cifrada establecida
Tipos de Certificados
Por Nivel de Validación
| Tipo | Validación | Tiempo | Nivel de Confianza | Caso de Uso |
|---|---|---|---|---|
| DV (Dominio) | Solo propiedad del dominio | Minutos | Básico | Blogs, sitios pequeños |
| OV (Organización) | Verificación de negocio | 1-3 días | Medio | Sitios comerciales |
| EV (Extendido) | Verificación extensa | 1-2 semanas | Más alto | Bancos, e-commerce |
Por Cobertura
| Tipo | Cubre | Ejemplo |
|---|---|---|
| Dominio único | Un dominio | ejemplo.com |
| Comodín | Dominio + todos los subdominios | *.ejemplo.com |
| Multi-dominio (SAN) | Múltiples dominios específicos | ejemplo.com, ejemplo.org |
Autoridades de Certificación (CAs)
Entidades confiables que emiten certificados:
- Comercial: DigiCert, Sectigo, GlobalSign
- Gratuito: Let's Encrypt, ZeroSSL
- Proveedores en la nube: AWS Certificate Manager, Cloudflare
Obtener un Certificado SSL
Opciones Gratuitas (Let's Encrypt)
# Usando Certbot
sudo certbot --nginx -d ejemplo.com -d www.ejemplo.com
# Renovación automática
sudo certbot renew --dry-run
Proceso de Compra Comercial
1. Generar CSR (Solicitud de Firma de Certificado)
2. Enviar a Autoridad de Certificación
3. Completar validación (DV/OV/EV)
4. Descargar e instalar certificado
Configuración DNS (Registros CAA)
Especificar qué CAs pueden emitir certificados:
ejemplo.com. CAA 0 issue "letsencrypt.org"
ejemplo.com. CAA 0 issuewild "letsencrypt.org"
Componentes del Certificado
| Componente | Propósito |
|---|---|
| Clave pública | Cifra datos enviados al servidor |
| Clave privada | Descifra datos (¡mantener en secreto!) |
| Cadena de certificados | Enlaces a CA raíz confiada |
| Período de validez | Fecha de vencimiento (típicamente 90 días - 1 año) |
Mejores Prácticas
1. Usar TLS 1.2+: Deshabilitar protocolos antiguos
2. Automatizar renovación: Prevenir interrupciones por vencimiento
3. Asegurar clave privada: Nunca compartir o exponer
4. Usar cifrados fuertes: Configurar suites de cifrado seguras
5. Implementar HSTS: Forzar conexiones HTTPS
6. Monitorear vencimiento: Configurar alertas antes del vencimiento
Problemas Comunes
- Desajuste de certificado: El dominio no coincide con certificado
- Certificado vencido: Período de validez excedido
- Cadena incompleta: Faltan certificados intermedios
- Contenido mixto: Recursos HTTP en página HTTPS
Los certificados SSL son fundamentales para la seguridad web, permitiendo comunicaciones cifradas que protegen datos sensibles durante la transmisión.