SSL Check: Verificacion Completa del Certificado SSL/TLS de Tu Sitio

HTTPS y certificados SSL: por que son fundamentales

HTTPS ya no es opcional: desde 2018 Chrome marca como "No seguro" todos los sitios HTTP, Google penaliza los sitios sin HTTPS en el ranking, y las APIs modernas requieren conexiones seguras. En la base de HTTPS esta el certificado SSL/TLS, un documento digital que vincula la identidad de un dominio a una clave criptografica publica. Cuando un navegador se conecta a un sitio HTTPS, verifica el certificado para asegurarse de comunicarse con el servidor legitimo y no con un impostor (man-in-the-middle).

Un certificado SSL mal configurado causa errores en el navegador que ahuyentan a los visitantes, compromete el SEO y puede exponer los datos de los usuarios. Los problemas mas comunes incluyen: certificado expirado, cadena de certificacion incompleta, hostname no coincidente, protocolos TLS obsoletos y cipher suites debiles. Nuestro SSL Check verifica todos estos aspectos en segundos, proporcionando un grado general y recomendaciones especificas para cada problema encontrado.

Que verifica el SSL Check

$ ssl-check --target esempio.com

[Grade]     A+
[Subject]   esempio.com
[Issuer]    Let's Encrypt Authority X3
[Protocol]  TLS 1.3
[Cipher]    TLS_AES_256_GCM_SHA384
[Key Size]  2048 bit RSA
[Valid]     2026-01-15 → 2026-04-15
[Days Left] 41 days
[Chain]     3 certificati (leaf → intermediate → root)
[SAN]       esempio.com, www.esempio.com, api.esempio.com

El grado va de A+ (configuracion optima) a F (problemas criticos). Un grado A requiere: TLS 1.2+ con ciphers seguros, certificado valido con cadena completa, clave de al menos 2048 bits, y HSTS activo. Para obtener A+ se necesita tambien HSTS preload. Grado B indica ciphers aceptables pero no optimos. C o inferior significa TLS 1.0/1.1 activo o ciphers debiles — a corregir urgentemente. Verifica tambien los headers de seguridad HTTP con Security Headers para un cuadro completo.

La cadena de certificacion

Un certificado SSL no funciona solo: es parte de una cadena de confianza. El certificado de tu sitio (leaf) esta firmado por una CA intermedia, que a su vez esta firmada por una root CA presente en el trust store del navegador. Si la cadena esta incompleta (falta un certificado intermedio), algunos navegadores muestran errores mientras que otros no (porque descargan automaticamente los intermedios faltantes). Para una verificacion exhaustiva de la cadena, usa Certificate Chain que visualiza cada eslabon e identifica problemas.

Para verificar quien esta autorizado a emitir certificados para tu dominio, configura los registros CAA y verificalos con CAA Record Lookup. Los registros CAA son el mecanismo DNS que limita cuales Certificate Authorities pueden emitir certificados, anadiendo una capa de proteccion contra la emision no autorizada.

Renovacion y automatizacion

Los certificados Let's Encrypt duran 90 dias, los comerciales tipicamente 1 ano. La renovacion tardia es la causa mas comun de errores SSL en produccion. La solucion es la automatizacion: certbot y otros clientes ACME renuevan automaticamente los certificados Let's Encrypt. Para certificados comerciales, configura recordatorios al menos 30 dias antes del vencimiento. Monitorea la expiracion de tus certificados regularmente con el SSL Check — un certificado que expira sin aviso es un incidente prevenible.

Al renovar un certificado, verifica que el nuevo certificado cubra todos los SANs (Subject Alternative Names) necesarios. Un error frecuente es renovar el certificado para ejemplo.com olvidando www.ejemplo.com o api.ejemplo.com. Despues de la renovacion, prueba inmediatamente con el SSL Check para confirmar que el nuevo certificado se sirve correctamente, la cadena esta completa y el grado se mantiene.