¿Qué es un certificado SSL? Desde lo básico hasta lo avanzado, un análisis completo de su funcionamiento y una guía de implementación.

2 minutos de lectura
2026-03-11
2,923
Gano comisiones cuando compras a través de los enlaces de abajo, sin coste adicional para ti.

En el mundo actual de Internet, ¿ha notado ese pequeño icono en forma de candado en la barra de direcciones del navegador? Eso es precisamente el signo de que un certificado SSL está protegiendo la comunicación en segundo plano. Un certificado SSL es un documento digital que establece un canal cifrado y verificado de identidad entre el cliente (por ejemplo, el navegador) y el servidor (por ejemplo, el sitio web), asegurando así la confidencialidad y la integridad de los datos durante su transmisión. Su función principal se puede resumir en tres puntos: cifrar los datos que se transmiten, verificar la identidad del servidor y proporcionar una verificación de la integridad de los mismos.

En resumen, cuando visita un sitio web que cuenta con un certificado SSL válido (cuyo nombre de dominio comienza con “https://”), se establece una conexión cifrada y segura entre su navegador y el servidor del sitio web a través de un proceso llamado “conexión de apertura” (handshake). A partir de entonces, cualquier información personal que ingrese, así como contraseñas o números de tarjeta de crédito, se encripta, lo que impide que puedan ser leídas fácilmente, incluso si son interceptadas. Además, el certificado actúa como la “identificación digital” del sitio web, emitido por una tercera parte confiable (la autoridad emisora de certificados, o CA, por sus siglas en inglés), lo que demuestra que está accediendo a un sitio web auténtico y no a una página falsa.

El principio básico de funcionamiento de los certificados SSL.

Para comprender cómo funcionan los certificados SSL, es necesario analizar en profundidad las dos tecnologías clave que subyacen a su funcionamiento: la combinación de encriptación asimétrica y encriptación simétrica, así como el proceso de verificación de la cadena de confianza del propio certificado.

Lecturas recomendadas Análisis completo de los certificados SSL: diferencias entre tipos, proceso de solicitud e instrucciones de instalación y despliegue.

Proceso de intercambio de claves entre el cifrado asimétrico y el cifrado simétrico

El proceso de handshake del protocolo SSL/TLS (SSL es su versión inicial; actualmente se utiliza predominantemente su sucesor, TLS) combina de manera ingeniosa dos métodos de encriptación. La encriptación asimétrica (como RSA y ECC) utiliza una pareja de claves: una clave pública y una clave privada. La clave pública puede ser compartida públicamente y se utiliza para encriptar los datos, mientras que la clave privada se guarda en secreto en el servidor y se utiliza para desencriptarlos. La encriptación simétrica (como AES), por otro lado, utiliza la misma clave tanto para encriptar como para desencriptar los datos, lo que permite una mayor velocidad de procesamiento.

Certificado SSL de Bluehost.
Certificado SSL de Bluehost.
Los certificados SSL de BlueHost ofrecen opciones de renovación de 1 a 2 años, son compatibles con los algoritmos RSA o ECC, tienen una longitud de clave de hasta 4096 bits y brindan una cobertura de hasta 1,75 millones de dólares estadounidenses.
Certificado SSL de hosting.com
Certificado SSL de hosting.com
Certificados SSL DV, OV y EV económicos, con cifrado de hasta 256 bits, cobertura de garantía de 5 a 1 millón de USD y soporte técnico las 24 horas del día, los 7 días de la semana.

Al inicio del proceso de intercambio de saludos, su navegador envía un “saludo del cliente” al servidor. El servidor responde con un “saludo del servidor”, junto con su certificado SSL, que contiene su clave pública. Una vez que el navegador verifica que el certificado es válido, genera una clave de sesión aleatoria (utilizada para el cifrado simétrico) y la encripta utilizando la clave pública del servidor, para luego enviarla al mismo. El servidor desencripta esta clave de sesión con su propia clave privada, obteniendo así un secreto de comunicación que solo ellas conocen. A partir de este momento, toda la comunicación futura se realizará mediante este mismo secreto de sesión, lo que permite un cifrado y desencriptado rápidos y seguros.

Cadena de certificados y ancla de confianza

¿Por qué los navegadores confían en los certificados que envían los servidores? Esto se debe a un sistema de confianza llamado “Infraestructura de Claves Públicas” (PKI, por sus siglas en inglés). Las entidades emisoras de certificados (Certification Authorities, o CA) son el elemento central de este sistema. Estas entidades poseen sus propios certificados raíz, cuyas claves públicas están preinstaladas en tu sistema operativo y en tu navegador, funcionando como “anclas de confianza”.

Los certificados de servidor generalmente no son emitidos directamente por la autoridad certificadora raíz (CA raíz), sino por autoridades certificadoras intermedias. Esto da lugar a una “cadena de confianza” que se compone de: certificado de servidor -> certificado de la CA intermedia -> certificado de la CA raíz. Cuando un navegador recibe el certificado del servidor, verifica la firma de cada nivel de esta cadena hacia arriba, hasta encontrar el certificado raíz que esté incorporado en el mismo y en el que confíe. Solo cuando toda la cadena es completa y fiable, el navegador confirmará que la identidad del servidor es válida.

Los principales tipos de certificados SSL y cómo elegirlos.

Según el nivel de verificación y las funciones que ofrecen, los certificados SSL se dividen principalmente en tres categorías, adecuadas para diferentes escenarios comerciales y necesidades de seguridad.

Lecturas recomendadas Explicación detallada de los certificados SSL: tipos, principio de funcionamiento y guía de instalación y configuración.

Certificado de validación de nombre de dominio.

El certificado DV es el de nivel de verificación más bajo y el que se emite más rápidamente (generalmente entre unos minutos y unas horas). El proveedor de certificados (CA) solo verifica la propiedad del dominio por parte del solicitante (por ejemplo, enviando un correo de verificación a la dirección de correo registrada para ese dominio). Ofrece funciones de encriptación básicas y es adecuado para blogs personales, entornos de prueba o sitios web pequeños que no necesitan mostrar la identidad de la empresa. El navegador muestra un icono en forma de candado, pero el nombre de la empresa no se muestra en los detalles del certificado.

Certificado de validación de organización

Los certificados OV ofrecen un nivel de verificación más avanzado. El emisor de certificados (CA) no solo verifica la propiedad del dominio, sino que también comprueba la existencia real y legal de la empresa que solicita el certificado (por ejemplo, mediante la consulta de información de registro comercial). Esto permite que los certificados OV demuestren de manera efectiva la autenticidad de la entidad que está detrás del sitio web, reduciendo el riesgo de sitios web falsos. Son ideales para sitios web corporativos oficiales, plataformas de comercio electrónico y otros sitios que necesitan generar confianza en los usuarios. En los detalles del certificado, los usuarios pueden ver el nombre de la empresa que ha sido verificado.

Certificado de validación extendida

Los certificados EV (Extended Validation) son los que ofrecen el nivel de verificación más estricto y el mayor nivel de seguridad. Las autoridades de certificación (CA) realizan una verificación de identidad de las empresas de manera exhaustiva y presencial, incluyendo una revisión integral de su situación legal, física y operativa. En los sitios web que cuentan con un certificado EV, en la barra de direcciones de la mayoría de los navegadores principales no solo se muestra un icono de candado, sino también el nombre de la empresa en color verde, lo que proporciona al usuario una indicación visual clara de su credibilidad. Los sitios web que requieren un alto nivel de confianza, como aquellos relacionados con servicios financieros, pagos o grandes comercios electrónicos, suelen utilizar certificados EV.

Certificado SSL de UltaHost.
Los certificados DV, EV y OV admiten una cobertura máxima de $1,750,000 USD, admiten un número ilimitado de subdominios, son compatibles con aplicaciones de iOS y Android, y ofrecen descuentos a partir de 20% por $15,95 USD al mes, además de una garantía de reembolso de 30 días.

Además, según la cantidad de dominios que se desean proteger, se dispone de diferentes tipos de certificados: certificados para un solo dominio, certificados para múltiples dominios y certificados con caracteres comodín (que protegen un dominio y todos sus subdominios de nivel superior, por ejemplo, *.example.com).

¿Cómo obtener y desplegar un certificado SSL?

El proceso de implementación de un certificado SSL generalmente incluye los siguientes pasos: generar un par de claves, enviar una solicitud de firma del certificado, verificar el dominio o la organización que lo solicita, instalar el certificado y configurar el servidor.

Proceso de solicitud de certificado

首先,您需要在您的服务器上生成一个私钥和对应的证书签名请求文件。CSR文件中包含了您的公钥和相关的识别信息(如域名、公司名等)。然后,向您选择的CA(可以是付费的全球CA如DigiCert、Sectigo,也可以是免费的如Let's Encrypt)提交CSR。CA根据您申请的证书类型(DV/OV/EV)对您进行相应的验证。

Lecturas recomendadas Guía completa sobre certificados SSL: tipos, procedimientos para solicitar su implementación y resolución de problemas

Tras el éxito de la verificación, la autoridad certificadora (CA) emitirá un archivo de certificado SSL (generalmente un archivo con extensión .crt o .pem) y lo enviará de vuelta a usted. Este archivo es, en esencia, el resultado de la firma digital realizada por la CA con su clave privada sobre la información de su solicitud de certificado (CSR), que contiene su clave pública. De esta manera, se establece una relación entre su clave pública y sus datos de identidad.

Instalación y configuración del servidor.

Tras obtener el archivo del certificado, debe instalarlo junto con el archivo de la clave privada que generó anteriormente en el software del servidor web (como Nginx, Apache o IIS). El proceso de configuración implica especificar la ruta de los certificados y las claves privadas, y forzar el redirección del tráfico HTTP a HTTPS para garantizar que toda la comunicación se encripte.

Para Nginx en servidores Linux, la configuración generalmente implica modificar el bloque `server`, especificar que escuche en el puerto 443 y establecer otras opciones relevantes.ssl_certificateYssl_certificate_keyLas instrucciones se refieren a sus archivos de certificado y clave privada. Una vez que haya completado la configuración, reinicie el servidor para que los cambios surtan efecto. Puede utilizar herramientas en línea (como SSL Labs’ SSL Server Test) para verificar si el certificado está instalado correctamente y si la configuración es segura.

Mantenimiento y buenas prácticas

La implementación de un certificado SSL no es algo que se hace una vez y ya está; el mantenimiento continuo y el cumplimiento de las prácticas de seguridad son de vital importancia.

Vigencia del certificado y renovación

所有SSL证书都有固定的有效期,通常为13个月(自2020年起,行业标准将最长有效期缩短至13个月)。您必须在证书过期前续订并替换旧证书。证书过期会导致网站显示安全警告,严重影响用户体验和网站信誉。建议设置自动续订提醒,或使用支持自动续订的工具(如Certbot,用于Let's Encrypt证书)。

Habilitar la seguridad de transporte estricta de HTTP.

HSTS (HTTP Strict Transport Security) es un mecanismo de política de seguridad muy importante. Cuando un sitio web activa HSTS, el navegador se asegura de que las comunicaciones con ese sitio se realicen mediante un protocolo de transporte seguro (HTTPS) durante un período de tiempo especificado.Strict-Transport-SecurityLa configuración de los encabezados de respuesta obliga a acceder al sitio web únicamente a través de HTTPS, incluso si el usuario lo introduce manualmente.http://Esto puede prevenir efectivamente ataques de intermediarios, como el desmontaje de los certificados SSL, y mejorar la seguridad. Puede agregar los cabezales HTTP correspondientes en la configuración del servidor para habilitar HSTS.

Utilizar protocolos de seguridad y conjuntos de cifrado.

Asegúrese de que su servidor solo soporte versiones seguras del protocolo TLS (como TLS 1.2 y TLS 1.3) y desactive las versiones antiguas e inseguras (como SSL 2.0/3.0 y TLS 1.0/1.1). Además, configure cuidadosamente los conjuntos de cifrado, dando prioridad a algoritmos de intercambio de claves que proporcionen confidencialidad hacia adelante (Forward Secrecy, PFS), como ECDHE, y a algoritmos de cifrado fuertes, como AES-GCM. Actualice periódicamente el software y las bibliotecas del servidor para corregir cualquier vulnerabilidad de seguridad que se descubra.

resúmenes

Los certificados SSL son la piedra angular para construir una internet segura y confiable, ya que protegen cada intercambio de datos entre los usuarios y los sitios web mediante encriptación y autenticación. Desde los certificados DV (Domain Validation), que ofrecen un nivel básico de seguridad, hasta los certificados EV (Extended Validation), que proporcionan el nivel más alto de garantía de identidad, existen diferentes tipos de certificados que satisfacen diversas necesidades de seguridad. Comprender su funcionamiento —desde la colaboración en el proceso de encriptación durante el “handshake” hasta la verificación de la cadena de confianza basada en PKI (Public Key Infrastructure)— es esencial para una implementación y gestión eficaces.

Una estrategia SSL exitosa no solo implica realizar la solicitud e instalación correctas, sino también un mantenimiento continuo: es necesario seguir de cerca la vigencia de los certificados, activar cabezales de seguridad como HSTS, y configurar protocolos y conjuntos de cifrado robustos. En 2026 y en años posteriores, a medida que las amenazas a la seguridad cibernética sigan evolucionando, seguir estas buenas prácticas asegurará que su sitio web ofrezca siempre un refugio seguro y fiable para los visitantes.

FAQ Preguntas más frecuentes

¿Cuál es la diferencia entre los certificados SSL gratuitos y los de pago?

免费证书(如Let's Encrypt颁发的)通常是DV证书,提供与付费DV证书相同的加密强度。主要区别在于服务支持、有效期(通常是90天,需要频繁自动续订)和保险赔偿。付费证书提供更高级的验证(OV/EV)、更长的可选有效期管理、技术支持和价值不等的保修金,用于在证书问题导致经济损失时提供赔偿。

¿El despliegue de un certificado SSL afectará la velocidad del sitio web?

El proceso inicial de handshake de TLS al establecer una conexión HTTPS sí implica un cierto costo adicional, debido a las necesidades de cálculos de encriptación asimétrica. No obstante, el hardware moderno y las optimizaciones en los protocolos (como TLS 1.3 y la recuperación de sesiones) han reducido significativamente este impacto. TLS 1.3 simplifica en gran medida el proceso de handshake, que generalmente requiere solo una ida y vuelta de datos. Además, al activar HTTPS se pueden utilizar protocolos nuevos como HTTP/2, lo que suele mejorar significativamente la velocidad de carga de las páginas, compensando así por completo, e incluso superando, la demora causada por el handshake.

¿Los certificados con caracteres comodín pueden proteger cualquier subdominio?

Los certificados con caracteres comodín pueden proteger un dominio específico y todos sus subdominios del mismo nivel. Por ejemplo, un certificado diseñado para proteger el dominio “example.com” también protegerá automáticamente los subdominios como “sub.example.com” y “subsub.example.com”. *.example.com El certificado puede proporcionar protección. blog.example.comshop.example.commail.example.comPero no puede proteger subdominios de múltiples niveles, por ejemplo… dev.www.example.comEsto requiere un enfoque separado. *.www.example.com Un certificado, o un certificado que contiene ese dominio específico. Al utilizar un certificado con caracteres comunes (wildcards), la gestión de la seguridad de la clave privada es de particular importancia, ya que cualquier subdominio que utilice dicho certificado se verá afectado en caso de que esta clave se revele.

¿Por qué, aun después de instalar el certificado SSL, el navegador sigue indicando que la conexión no es segura?

Esto puede ser causado por varios motivos: el más común es que la página web contenga recursos HTTP mezclados, como imágenes, scripts y hojas de estilo, que se cargan a través de un protocolo HTTP inseguro. En este caso, el navegador considerará que toda la página es insegura. Además, la expiración del certificado, la incompatibilidad entre el certificado y el dominio que se está visitando, que el certificado haya sido emitido por una autoridad de certificación (CA) no confiable por parte del navegador, o errores en la configuración del servidor que impidan proporcionar la cadena de certificados completa, también pueden generar advertencias de seguridad. Es necesario verificar la información de error específica en la consola del navegador para identificar el problema.