Explicación detallada de los certificados SSL: tipos, principio de funcionamiento y guía de instalación y configuración.

2 minutos de lectura
2026-03-11
2,822
Gano comisiones cuando compras a través de los enlaces de abajo, sin coste adicional para ti.

¿Qué es un certificado SSL?

El certificado SSL, también conocido como certificado TLS, es un certificado digital utilizado para realizar la autenticación y el cifrado de datos en las comunicaciones por internet. Segue los protocolos SSL (Secure Sockets Layer) y su sucesor TLS (Transport Layer Security), y constituye la base para establecer conexiones seguras mediante HTTPS. Cuando un usuario accede a un sitio web que cuenta con un certificado SSL, la barra de direcciones del navegador muestra un icono de candado y el prefijo “https://”, lo que indica que la transmisión de datos entre el cliente y el servidor está cifrada y verificada.

El papel principal de los certificados SSL se manifiesta en dos aspectos: el cifrado y la autenticación. La función de cifrado garantiza que la información confidencial que se transmite entre el cliente (por ejemplo, un navegador) y el servidor (como credenciales de inicio de sesión, números de tarjeta de crédito o datos personales) no sea escuchada ni modificada por terceros. Incluso si los datos son interceptados durante el transcurso de la comunicación, los atacantes no podrán descifrar su contenido. La función de autenticación, por su parte, demuestra a los visitantes la identidad real del propietario del sitio web, asegurando que están accediendo a la página oficial que se pretende, y no a un sitio web falso (phishing). Esto se logra mediante el respaldo de una tercera parte confiable: la autoridad emisora de certificados (CA).

Un certificado SSL estándar contiene varias informaciones importantes, entre las que se incluyen el dominio del titular del certificado (o el nombre de la organización), la entidad emisora del certificado (CA, por sus siglas en inglés), la fecha de validez del mismo y un componente de gran importancia: la clave pública. La clave privada, que se asocia a la clave pública, se guarda en secreto en el servidor web y se utiliza para desencriptar la información que ha sido cifrada con la clave pública, lo que constituye la base del cifrado asimétrico.

Lecturas recomendadas Guía completa sobre certificados SSL: tipos, procedimientos para solicitar su implementación y resolución de problemas

Los principales tipos de certificados SSL.

Dependiendo del nivel de verificación y del alcance de su cobertura, los certificados SSL se dividen principalmente en los siguientes tipos, a fin de satisfacer las necesidades de seguridad y confianza en diferentes escenarios.

Certificado SSL de Bluehost.
Certificado SSL de Bluehost.
Los certificados SSL de BlueHost ofrecen opciones de renovación de 1 a 2 años, son compatibles con los algoritmos RSA o ECC, tienen una longitud de clave de hasta 4096 bits y brindan una cobertura de hasta 1,75 millones de dólares estadounidenses.
Certificado SSL de hosting.com
Certificado SSL de hosting.com
Certificados SSL DV, OV y EV económicos, con cifrado de hasta 256 bits, cobertura de garantía de 5 a 1 millón de USD y soporte técnico las 24 horas del día, los 7 días de la semana.

Certificado de validación de nombre de dominio.

Los certificados de verificación de dominio son el tipo de certificado con el proceso de obtención más sencillo, el más rápido y el de menor costo. La entidad emisora del certificado solo verifica el derecho de control del solicitante sobre un dominio específico, generalmente mediante el envío de un correo electrónico de verificación a la dirección de correo registrada para ese dominio o solicitando la configuración de registros DNS específicos. Estos certificados solo acreditan la propiedad del dominio y no contienen ninguna información sobre la empresa u organización.

Los certificados DV son muy adecuados para sitios web personales, blogs, entornos de prueba o servicios internos que no requieren la exhibición de la identidad de la organización. Su principal ventaja es la rapidez en su emisión, que generalmente se completa en cuestión de minutos. Sin embargo, debido a la falta de verificación de la entidad organizativa, el nivel de confianza que proporcionan es relativamente bajo en situaciones que requieren un alto nivel de confianza comercial, como las páginas de transacciones de comercio electrónico.

Certificado de validación de organización

Los certificados de verificación organizativa ofrecen un nivel de confianza superior a los certificados DV. Además de verificar la propiedad del dominio, la autoridad certificadora (CA) realiza una revisión manual de la empresa u organización que solicita el certificado para comprobar la veracidad y validez de su información de registro legal (como el nombre de la empresa, su ubicación, etc.). Esta información verificada se muestra en los detalles del certificado.

Los certificados OV son la opción ideal para sitios web comerciales, portales empresariales y plataformas que necesitan establecer una relación de confianza oficial con los usuarios. Cuando un usuario hace clic en el icono de candado en la barra de direcciones del navegador para ver el certificado, puede ver el nombre de la empresa de manera clara, lo que ayuda a aumentar su confianza y reduce el riesgo de ataques de phishing. El proceso de revisión de estos certificados suele llevar varios días laborales.

Lecturas recomendadas Descripción detallada del certificado SSL: desde su funcionamiento hasta su implementación, una guía esencial para garantizar la seguridad de los sitios web

Certificado de validación extendida

Los certificados de verificación extendida (Extended Validation, EV) son el tipo de certificado SSL con los requisitos de verificación más estrictos y el nivel de confianza más alto en la actualidad. Su emisión sigue pautas globales y uniformes; las autoridades de certificación (CA) realizan las investigaciones de antecedentes más exhaustivas sobre las organizaciones que los solicitan, incluyendo su existencia legal, física y operativa. La característica más distintiva es que, en los sitios web que utilizan certificados EV, el nombre de la empresa se muestra en verde directamente en la barra de direcciones de la mayoría de los navegadores principales.

Los certificados EV (Extended Validation) suelen ser utilizados por entidades financieras, grandes plataformas de comercio electrónico, organismos gubernamentales y cualquier sitio web que maneje transacciones y datos de alta sensibilidad. Ofrecen al usuario el nivel más alto de garantía de identidad y constituyen una herramienta efectiva para establecer la autoridad de la marca y generar una sensación de seguridad en los usuarios. Además, su proceso de solicitud es el más complejo y lleva el mayor tiempo.

Certificados con caracteres comodín y certificados para múltiples dominios

Además del nivel de verificación, existen también certificados funcionales que se diferencian por la cantidad de dominios que cubren. Los certificados con patrones de coincidencia (wildcards) pueden proteger un dominio principal y todos sus subdominios de nivel superior; por ejemplo, un certificado para “*.example.com” puede ser utilizado simultáneamente en “www.example.com”, “mail.example.com”, “shop.example.com”, etc. Esto ofrece una gran conveniencia en términos de gestión y costos para las organizaciones que poseen múltiples subdominios.

Certificado SSL de UltaHost.
Los certificados DV, EV y OV admiten una cobertura máxima de $1,750,000 USD, admiten un número ilimitado de subdominios, son compatibles con aplicaciones de iOS y Android, y ofrecen descuentos a partir de 20% por $15,95 USD al mes, además de una garantía de reembolso de 30 días.

Un certificado de múltiples dominios, también conocido como certificado SAN (Subject Alternative Name), permite proteger varios dominios completamente diferentes en un solo certificado, como “example.com”, “example.net” y “anotherexample.org”. Es muy útil para proporcionar una gestión de seguridad unificada para varias marcas o servicios que pertenecen a la misma organización.

¿Cómo funciona el protocolo SSL/TLS?

El protocolo SSL/TLS proporciona seguridad para los protocolos de aplicación de capa superior (como HTTP) al establecer una capa de seguridad sobre la capa de transporte. Su funcionamiento no se limita a un simple proceso de cifrado, sino que implica un complejo proceso de negociación conocido como “handshake”, que se divide principalmente en las siguientes etapas:

Protocolo de apretón de manos y intercambio de claves

Cuando un cliente (como un navegador) intenta conectarse a un servidor HTTPS, se inicia el proceso de handshake SSL/TLS. En primer lugar, el cliente envía un mensaje “ClientHello” al servidor, que contiene la versión de TLS que soporta, una lista de conjuntos de cifrado (ciphersuites) disponibles y un número aleatorio.

Lecturas recomendadas Análisis completo de los certificados SSL: Cómo funcionan, cómo elegir el tipo adecuado y guía para su instalación y despliegue

El servidor responde con un mensaje “ServerHello”, selecciona la versión de TLS y el conjunto de cifras (cryptosuite) que son compatibles con ambas partes, y envía su propio número aleatorio. A continuación, el servidor envía su certificado SSL (que contiene la clave pública) al cliente. Si el servidor requiere la autenticación del cliente (lo cual es menos común), también solicitará el certificado del cliente en esta etapa.

A continuación, se entra en la etapa clave del intercambio de claves. El cliente verifica la validez del certificado del servidor (si fue emitido por una autoridad de certificación (CA) confiable, si el nombre de dominio coincide y si aún está dentro de su período de vigencia). Tras la verificación, el cliente genera una clave primaria preliminar y la encripta utilizando la clave pública del certificado del servidor, para luego enviarla al servidor. El servidor desencripta el mensaje con su propia clave privada y así obtiene la clave primaria preliminar. En este punto, tanto el cliente como el servidor poseen dos números aleatorios idénticos (Client Random y Server Random), así como la clave primaria preliminar; ambos utilizarán el mismo algoritmo para generar la clave de sesión simétrica que se utilizará en las comunicaciones futuras. El uso de la encriptación asimétrica para transmitir la clave simétrica combina la seguridad de la encriptación asimétrica con la eficiencia de la encriptación simétrica.

Protocolo de comunicación y registro encriptado

Tras completar el apretón de manos, ambas partes pasan a la fase de comunicación cifrada. El cliente envía un mensaje “ChangeCipherSpec” para informar al servidor de que los mensajes futuros serán cifrados utilizando la clave de sesión y el conjunto de cifras acordados. A continuación, envía un mensaje “Finished” que contiene el resumen de todos los mensajes intercambiados durante el proceso de handshake, lo cual permite al servidor verificar si dicho proceso ha sido alterado.

El servidor también envía los mensajes “ChangeCipherSpec” y “Finished”. Una vez que ambas partes verifican que los mensajes “Finished” son correctos, el proceso de intercambio de claves (handshake) finaliza oficialmente.

A partir de ese momento, los datos de la capa de aplicaciones (como las solicitudes y respuestas HTTP) son procesados por el protocolo de registro TLS. Este protocolo divide los datos en segmentos más fáciles de gestionar, los comprime (algo que actualmente se utiliza con poca frecuencia), calcula un código de autenticación de mensaje para garantizar su integridad y, finalmente, los encripta utilizando una clave de sesión simétrica antes de transmitirlos al destinatario. Una vez recibidos, el destinatario realiza los procesos de desencriptación, verificación y descompresión para recuperar los datos originales, que luego son entregados a la aplicación superior.

¿Cómo obtener e instalar un certificado SSL y configurarlo?

Desplegar un certificado SSL para un sitio web es un proceso sistemático que implica varias etapas, desde la generación de la pareja de claves hasta la configuración final en el servidor. Es necesario seguir estos pasos de manera ordenada.

Proceso de solicitud y emisión de certificados.

El primer paso es generar una clave privada y una solicitud de firma del certificado en tu servidor. La clave privada es un archivo que debe mantenerse en estricto secreto. La solicitud de firma del certificado (CSR, por sus siglas en inglés) contiene tu clave pública, así como el nombre de dominio para el cual solicitarás el certificado y la información de tu organización, entre otros datos. Puedes generar fácilmente estos dos archivos utilizando herramientas como OpenSSL.

El segundo paso es enviar el archivo CSR (Certificate Signing Request) a la entidad emisora de certificados que hayas elegido y completar el proceso de verificación correspondiente según el tipo de certificado que hayas solicitado. Para los certificados DV, esto generalmente implica verificación por correo electrónico o a través del sistema DNS; para los certificados OV/EV, la entidad emisora (CA) iniciará un proceso de revisión manual.

Tras el éxito de la verificación, la autoridad de certificación (CA) emitirá el archivo del certificado SSL (generalmente en formato .crt o .pem), así como cualquier archivo adicional que contenga la cadena de certificados intermedios. Es necesario descargar estos archivos al servidor.

Instalar y configurar en el servidor web

El proceso de instalación varía en función del software del servidor. A continuación, se proporciona una descripción breve utilizando como ejemplos los populares Nginx y Apache.

Para el servidor Nginx, es necesario subir los archivos del certificado y la clave privada descargados a una carpeta específica del servidor (por ejemplo, `/etc/nginx/certs/` o `/etc/nginx/private/`)./etc/nginx/ssl/Luego, edite el archivo de configuración del sitio web para que escuche en el puerto 443.serverEn el bloque, especifique la ruta del certificado y de la clave privada:

server {
    listen 443 ssl;
    server_name yourdomain.com;
    ssl_certificate /etc/nginx/ssl/yourdomain.crt;
    ssl_certificate_key /etc/nginx/ssl/yourdomain.key;
    # 其他配置...
}

Al mismo tiempo, es necesario configurar la integración de la cadena de certificados de nivel intermedio en el archivo de certificado, ya sea de forma directa o a través de un proceso específico.ssl_trusted_certificateLas instrucciones deben especificarse por separado.

Para el servidor Apache, el proceso es similar. Necesitas habilitar ciertas opciones o configuraciones.ssl_moduleLuego, en la configuración del servidor virtual (generalmente en…)<VirtualHost *:443>(Párrafo) UsoSSLCertificateFileLa instrucción se dirige a un archivo de certificado y lo utiliza.SSLCertificateKeyFileSe refiere a un archivo que contiene la clave privada; se utiliza para acceder a los datos protegidos por esa clave.SSLCertificateChainFileSe refiere a un archivo que contiene la cadena de certificados de nivel intermedio.

Una vez que la configuración esté completa, reinicie el servidor web para que los cambios surtan efecto. A continuación, debería utilizar herramientas de verificación SSL en línea (como SSL Labs’ SSL Test) para comprobar que el certificado se ha instalado correctamente y que la configuración es segura.

Renovación de certificados y gestión automatizada

Los certificados SSL tienen una fecha de validez (actualmente de hasta 13 meses); una vez expirados, los navegadores emiten advertencias graves. Por lo tanto, la renovación de los certificados es de suma importancia.

现代最佳实践是使用自动化工具进行证书管理,例如Certbot,它支持Let‘s Encrypt等提供免费DV证书的CA。Certbot可以自动完成证书申请、验证、安装、Web服务器配置重载以及到期自动续期的全部流程。通过设置定时任务,可以实现证书的全生命周期自动化管理,彻底消除因证书过期导致的服务中断风险。

resúmenes

Los certificados SSL son la piedra angular para construir una internet segura y confiable. Protegen la privacidad y la integridad de los datos durante su transmisión mediante tecnologías de encriptación avanzadas, y ayudan a los usuarios a identificar la autenticidad de los sitios web a través de mecanismos de autenticación rigurosos. Desde los certificados de verificación de dominio básicos hasta los certificados de verificación extendida que ofrecen el nivel más alto de confianza, pasando por los certificados con comodines y para múltiples dominios, la variedad de tipos disponibles satisfacen las necesidades de diferentes escenarios de aplicación. Comprender el funcionamiento del proceso de handshake SSL/TLS y de la comunicación encriptada nos ayuda a apreciar mejor sus mecanismos de seguridad. Además, dominar todo el proceso, desde la solicitud y verificación hasta la instalación y configuración en el servidor, así como implementar una gestión automatizada de la renovación, es una habilidad esencial para todos los administradores de sitios web y desarrolladores. Desplegar el certificado SSL correcto no es solo un paso técnico necesario, sino también una promesa solemne de proteger la seguridad y la confianza de los usuarios.

FAQ Preguntas más frecuentes

¿Cuál es la diferencia entre los certificados SSL y los certificados TLS?

SSL y TLS son diferentes versiones del mismo protocolo de seguridad. SSL fue un protocolo de seguridad desarrollado inicialmente por la empresa Netscape (SSL 1.0, 2.0, 3.0). Debido a que se descubrieron vulnerabilidades de seguridad en SSL 3.0, se creó TLS como su sucesor y se estableció como estándar. Las versiones TLS 1.0, 1.1, 1.2 y 1.3 se lanzaron sucesivamente, mejorando progresivamente su nivel de seguridad. Actualmente, SSL 3.0 y todas las versiones anteriores han sido completamente descontinuadas, y el protocolo TLS es el que se utiliza ampliamente en internet. No obstante, por costumbre histórica, el término “certificado SSL” se sigue utilizando para referirse a los certificados digitales que implementan los protocolos SSL/TLS; en realidad, estos certificados corresponden a tecnología TLS.

¿Cuál es la diferencia entre los certificados SSL gratuitos y los de pago?

免费证书(如Let‘s Encrypt签发)通常是域名验证型证书,能提供与付费DV证书相同的加密强度。主要区别在于服务和支持层面。付费证书提供更广的兼容性保证(尤其是对老旧设备)、商业保险赔付(如因证书问题导致损失可获得赔偿)、更专业的客户技术支持以及更灵活的证书类型选择(如OV、EV、通配符等)。付费证书的验证信息通常也更易被某些企业防火墙或内部系统信任。对于大多数个人网站和中小型项目,免费DV证书是完全足够且推荐使用的。

¿Está el sitio web completamente seguro después de instalar el certificado SSL?

No es así. El certificado SSL garantiza principalmente la seguridad durante el proceso de transmisión de datos, es decir, el cifrado de los datos en movimiento. No protege la seguridad del propio servidor web (como evitar intrusiones de hackers), no previene las vulnerabilidades en la capa de aplicaciones del sitio web (como inyecciones SQL o ataques de tipo XSS), ni asegura la seguridad de los datos “estáticos” almacenados en el servidor. Un sitio web seguro requiere medidas de seguridad multidimensionales, que incluyen el uso de contraseñas fuertes, la actualización periódica de servidores y aplicaciones, la implementación de firewalls y un código de programación seguro, entre otras. SSL/TLS es un componente esencial para una estrategia de seguridad integral, pero no lo es todo.

¿Por qué a veces los navegadores indican que el certificado SSL no es seguro o no es válido?

Los avisos en los navegadores de que el certificado no es seguro suelen ser causados por las siguientes razones: Primero, el certificado ha excedido su fecha de validez. Segundo, el dominio para el que se emitió el certificado no coincide con el dominio del sitio web que se está visitando. Tercero, la autoridad emisora del certificado (CA) no está incluida en la lista de certificados raíz de confianza del sistema operativo o del navegador (este es un problema común con los certificados autofirmados). Cuarto, la configuración SSL/TLS del servidor no es segura, ya que se utiliza una versión obsoleta y poco segura del protocolo (como SSL 2.0/3.0) o conjuntos de cifrado débiles. Quinto, al acceder a algunos sitios web internos, es posible que se utilice un certificado emitido por una CA interna de la empresa, y el certificado raíz de dicha CA no haya sido importado en tu dispositivo. Es necesario tratar estos avisos con precaución, especialmente cuando se realizan operaciones sensibles.