Cuando solicitas un certificado SSL/TLS, la Autoridad Certificadora no simplemente te lo entrega. Necesitan prueba de que realmente controlas el dominio que estás asegurando. Aquí es donde entra en juego la Domain Control Validation (DCV). Es el proceso de verificación que confirma la propiedad del dominio antes de que se emita cualquier certificado.

Esto no es simplemente un trámite burocrático. DCV previene que atacantes obtengan certificados válidos para dominios que no poseen, lo que socavaría completamente el modelo de confianza que mantiene seguro a HTTPS. El CA/Browser Forum, el organismo de la industria que establece los requisitos de línea base para la emisión de certificados, obliga a métodos específicos de DCV que todas las Autoridades Certificadoras deben seguir.
En esta guía, desglosaremos qué es DCV, exploraremos los diferentes métodos de validación disponibles, y te ayudaremos a elegir el enfoque correcto para tu infraestructura.
Tabla de Contenidos
- ¿Qué es Domain Control Validation (DCV)?
- Métodos de Validación Basados en Correo Electrónico
- Métodos de DCV Basados en DNS
- Métodos de Validación Basados en Archivos HTTP/HTTPS
- Escenarios de Validación Especiales
- Elegir el Método DCV Correcto para tus Necesidades
- Problemas Comunes de DCV y Soluciones Rápidas
¡Ahorra un 10% en Certificados SSL al hacer tu pedido en SSL Dragon hoy mismo!
Emisión rápida, encriptación fuerte, 99,99% de confianza del navegador, soporte dedicado y garantía de devolución del dinero en 25 días. Código del cupón: AHORRA10
¿Qué es DCV (Domain Control Validation)?
Domain Control Validation (DCV) es el proceso que utilizan las Autoridades Certificadoras para verificar la propiedad del dominio antes de emitir un certificado SSL/TLS. Confirma el control requeriendo que el solicitante responda vía correo electrónico, cargue un archivo en el dominio, o configure registros DNS para demostrar autoridad sobre el dominio.
El proceso funciona así: la CA genera un desafío único (generalmente una cadena alfanumérica aleatoria), y demuestras control respondiendo a través de la infraestructura de tu dominio. Esto podría ser a través de registros DNS, tu servidor web, o direcciones de correo administrativas. Una vez validado, la CA sabe que está emitiendo el certificado al propietario legítimo del dominio, no a alguien que intenta suplantar tu sitio.
Estándares de la Industria y Cumplimiento
Los requisitos de línea base del CA/Browser Forum definen exactamente cómo debe realizarse DCV. Estas no son sugerencias, son reglas estrictas que las CAs deben seguir o arriesgan perder su estado de confianza en los navegadores.
Los estándares actuales incluyen:
- La validación debe usar uno de los métodos DCV aprobados (cubiertos a continuación)
- Multi-Perspective Issuance Corroboration (MPIC) requiere validación desde múltiples perspectivas de red para prevenir ataques localizados
- La validación es reutilizable durante 397 días para certificados Organization Validated (OV) y Extended Validation (EV)
- Los certificados Domain Validated (DV) no pueden reutilizar validación, debes validar cada vez que renueves
Aquí hay algo importante: estos requisitos se están endureciendo. La industria está reduciendo los máximos períodos de validación y duración de certificados.
El CA/Browser Forum ha definido un cronograma claro para la duración de los certificados: ahora están limitados a 200 días a partir del 15 de marzo de 2026, con reducciones adicionales a 100 días a partir del 15 de marzo de 2027, y 47 días a partir del 15 de marzo de 2029.
Este endurecimiento también afecta los ciclos de validación, haciendo que la revalidación frecuente y la automatización de certificados SSL sean cada vez más necesarias.

Métodos de Validación Basados en Correo Electrónico
1. Verificación de Correo Electrónico Construida
La validación por correo electrónico es el método DCV más común porque es simple y no requiere cambios técnicos en tu infraestructura. La CA envía un correo electrónico que contiene un enlace de validación o código a direcciones específicas de tu dominio.
La CA intentará estas direcciones de correo electrónico genéricas:
No necesitas tener todas configuradas, solo una dirección funcional de la lista. La CA verifica los registros MX de tu dominio para confirmar que el correo puede entregarse, luego envía la solicitud de validación.
Cuando el correo llega, harás clic en un enlace de verificación o copiarás un código de vuelta a la plataforma de solicitud de certificados. El proceso generalmente toma solo unos minutos si tu correo está correctamente configurado.
Este método funciona bien si:
- Tienes una infraestructura de correo establecida para tu dominio
- Solicitas certificados ocasionalmente, no a escala
- Deseas el proceso de validación más simple sin cambios en DNS o servidor web
¿La desventaja? No puedes automatizarlo fácilmente, y si tu correo se cae o las direcciones no se supervisan, tu validación fallará.
2. Correo Electrónico a Contacto TXT de DNS
Esta variación combina correo electrónico con DNS. En lugar de usar direcciones genéricas, publicas una dirección de correo electrónico específica en un registro TXT de DNS en _validation-contactemail.tudominio.com. La CA lee este registro y envía la validación a esa dirección.
¿Por qué usar este enfoque?
- Reutilización: Una vez configurado, permanece válido durante todo el período de validación
- Control centralizado: Decides exactamente qué correo recibe solicitudes de validación
- Amigable para equipos: Apúntalo a una lista de distribución, no a la bandeja personal de alguien
Aquí está la configuración práctica:
_validation-contactemail.tudominio.com. IN TXT "mailto:[email protected]"
Solo crea este registro TXT de DNS con tu correo de contacto preferido, y la CA lo usará automáticamente. Esto es particularmente útil para organizaciones que manejan múltiples certificados. Puedes estandarizar la validación en todos los dominios a través de una bandeja de entrada monitoreada.
Métodos de DCV Basados en DNS
1. Validación de Registro DNS TXT
La validación de registros DNS TXT es popular por su flexibilidad y potencial de automatización. Cuando solicitas un certificado, la CA proporciona un nombre de host específico y un token de validación que agregas como registro TXT al DNS de tu dominio.
El proceso básico:
- La CA proporciona un nombre de host (típicamente _dvsauth.tudominio.com) y un token durante la solicitud del certificado
- Creas el registro TXT con ese token como valor
- La CA consulta tu DNS para confirmar que el registro existe
- Una vez verificado, emiten el certificado
El registro típicamente se ve así:
_dvsauth.tudominio.com. IN TXT "ab1c2d3e4f5g6h7i8j9k0l1m2n3o4p5q"
La validación DNS TXT es ideal para:
- Automatización – Las APIs de DNS hacen esto scriptable a través de clientes ACME o herramientas personalizadas
- Entornos sin servidores web – solo necesitas acceso a DNS
- Certificados comodín – cubriremos este requisito en la sección Escenarios Especiales
Una cosa a vigilar: el tiempo de propagación de DNS. Si tus servidores de nombres tienen valores TTL altos o propagación lenta, la validación podría tomar más tiempo. Lo mejor es establecer valores TTL más bajos antes de agregar registros de validación.
2. Método de Registro CNAME de DNS
La validación CNAME usa un tipo de registro diferente pero logra el mismo objetivo. En lugar de almacenar el token de validación directamente, creas un CNAME que apunta a un objetivo de validación controlado por la CA.
Configuración de ejemplo:
_dnsauth.tudominio.com. IN CNAME token-aleatorio.dcv.digicert.com.
La diferencia clave: el CNAME apunta a un registro que controla la CA, lo que significa que pueden actualizar el objetivo de validación sin que cambies DNS. Algunas CAs también permiten esto para prevalidación de dominios, estableces el CNAME una vez, y pueden validar cuando solicites certificados.
La validación CNAME funciona bien cuando:
- Tu proveedor de DNS hace que los CNAMEs sean más fáciles de administrar que los registros TXT
- Deseas capacidad de prevalidación de dominio para certificados OV/EV
- Estás trabajando con CAs que soportan flujos de validación basados en CNAME
No todas las CAs ofrecen validación CNAME, así que verifica con tu proveedor. Pero cuando está disponible, es una opción sólida para equipos que prefieren este tipo de registro DNS.
¡Ahorra un 10% en Certificados SSL al hacer tu pedido en SSL Dragon hoy mismo!
Emisión rápida, encriptación fuerte, 99,99% de confianza del navegador, soporte dedicado y garantía de devolución del dinero en 25 días. Código del cupón: AHORRA10
Métodos de Validación Basados en Archivos HTTP/HTTPS
1. Demostración Práctica HTTP
La validación basada en archivos requiere que coloque un archivo específico en tu servidor web en una ruta designada. La CA accede entonces a este archivo vía HTTP o HTTPS para confirmar que controlas el servidor que aloja el dominio.
La ruta estándar es: http://tudominio.com/.well-known/pki-validation/fileauth.txt
La CA proporciona tanto el nombre de archivo exacto como el contenido. Creas este archivo en tu servidor, te aseguras de que sea accesible, y la CA valida recuperándolo.
Puntos críticos de implementación:
- El archivo debe ser accesible en puerto 80 (HTTP) o puerto 443 (HTTPS)
- El directorio .well-known es una ubicación estándar definida en RFC 8615
- Esto es requerido para validación de direcciones IP. Si estás obteniendo un certificado para una dirección IPv4 o IPv6, la validación HTTP es típicamente tu única opción
La validación basada en archivos es directa si tienes acceso directo al servidor web. Es menos ideal si usas servicios de hosting con acceso al sistema de archivos restringido o CDNs que podrían almacenar en caché o interferir con solicitudes de validación.
Consejos para solucionar problemas:
- Asegúrate de que los redireccionamientos no interfieran. La CA debe llegar a la URL de validación exacta
- Verifica que los firewalls permitan acceso HTTP/HTTPS
- Desactiva el almacenamiento en caché para el directorio de validación
- Verifica que los permisos de archivo permitan acceso de lectura público
2. Integración de Desafío ACME
El protocolo ACME (Automated Certificate Management Environment) utiliza desafíos HTTP-01 y DNS-01 para DCV automatizado. Si estás usando Let’s Encrypt u otra CA compatible con ACME, tu cliente ACME maneja todo el proceso de validación automáticamente.
Desafío HTTP-01: Coloca un archivo de validación en /.well-known/acme-challenge/ (similar a la validación HTTP estándar)
Desafío DNS-01: Crea un registro TXT en _acme-challenge.tudominio.com
Tu cliente (como Certbot, acme.sh, o herramientas integradas en plataformas como cPanel) maneja la validación y la renovación de certificados sin intervención manual. ACME se ha convertido en el estándar para gestión automática de certificados, particularmente para organizaciones que manejan inventarios de certificados grandes.
Escenarios de Validación Especiales
1. Validación de Certificado Multi-Dominio y SAN
Si estás solicitando un certificado multi-dominio (también llamado certificados SAN o UCC), debes validar cada dominio por separado. Una única verificación de DCV no cubre todos los dominios en el certificado.
Ejemplo: Un certificado para example.com, www.example.com, y shop.example.com requiere tres validaciones separadas, aunque sean dominios relacionados.
¿La buena noticia? Puedes mezclar métodos de validación. Usa validación por correo electrónico para un dominio y validación DNS para otro si eso coincide con tu infraestructura. La plataforma de la CA rastreará el estado de validación para cada dominio y solo emitirá el certificado una vez que todos los dominios estén verificados.
2. Validación de Dominio Comodín
Los certificados comodín (cubriendo *.example.com) requieren métodos de validación basados en DNS. La mayoría de CAs no aceptarán validación por correo electrónico o HTTP para comodines debido a consideraciones de seguridad.
¿Por qué validación DNS para comodines?
Los certificados comodín aseguran subdominios ilimitados. La validación basada en archivos solo podría demostrar control de un subdominio a la vez, y la validación por correo electrónico no demuestra control sobre todos los subdominios posibles. La validación DNS demuestra que controlas toda la infraestructura DNS del dominio, lo cual es apropiado para un certificado que protege todos los subdominios.
Si necesitas un certificado comodín, planea usar validación DNS TXT o CNAME. Estas son típicamente tus únicas opciones.
3. Consideraciones de Validación de Subdominio
Puedes validar a nivel de subdominio o nivel de dominio padre, dependiendo del método de validación. Para validación HTTP, el archivo debe ser accesible en el subdominio específico que estás validando. Para validación DNS, creas registros en el nivel de subdominio apropiado.
Una distinción importante: Validar el dominio padre (example.com) no valida automáticamente los subdominios (blog.example.com) para la mayoría de métodos de validación. Cada subdominio necesita su propia validación a menos que uses un certificado comodín.
Elegir el Método DCV Correcto para tus Necesidades
Coincide el método con tu infraestructura:
Comparar Todos los Métodos DCV de un Vistazo
| Método de Validación | Tiempo para Completar | Capacidad de Automatización | Destreza Técnica | Soporte Comodín | Reutilización (OV/EV) | Mejor Para |
|---|---|---|---|---|---|---|
| Correo Electrónico (Genérico) | 5-30 minutos | ❌ Bajo | ⭐ Mínimo | ✅ Sí | ❌ No | Certificados únicos, despliegues pequeños |
| Correo Electrónico (DNS TXT) | 15-60 minutos | ❌ Bajo | ⭐⭐ Bajo-Moderado | ✅ Sí | ✅ Sí (397 días) | Equipos con múltiples certificados, correo establecido |
| Registro DNS TXT | 10-60 minutos | ✅ Alto | ⭐⭐⭐ Moderado | ✅ Sí | ✅ Sí (397 días) | Automatización, comodines, despliegues grandes |
| DNS CNAME | 15-60 minutos | ✅ Alto | ⭐⭐⭐ Moderado | ✅ Sí | ✅ Sí (397 días) | Prevalidación de dominio, tokens gestionados por CA |
| Archivo HTTP | 5-20 minutos | ⚠️ Medio | ⭐⭐ Bajo-Moderado | ❌ No | ❌ No | Acceso directo al servidor, direcciones IP |
| ACME (HTTP-01) | 2-10 minutos | ✅ Muy Alto | ⭐⭐⭐⭐ Moderado-Alto | ❌ No | N/A (renovación automática) | Automatización completa, Let’s Encrypt |
| ACME (DNS-01) | 2-10 minutos | ✅ Muy Alto | ⭐⭐⭐⭐ Moderado-Alto | ✅ Sí | N/A (renovación automática) | Automatización completa con comodines |
Selección de Método por Escenario
Usa validación por correo electrónico si:
- Tienes solicitudes de certificados simples y únicas
- Las direcciones de correo genéricas de administrador están monitoreadas
- No necesitas automatización
Usa validación DNS TXT/CNAME si:
- Necesitas certificados comodín
- Estás manejando múltiples certificados
- No tienes acceso al servidor web
- Deseas capacidades de automatización
Usa validación de archivo HTTP si:
- Tienes acceso directo al servidor web
- Estás validando direcciones IP
- Los cambios de DNS son difíciles en tu organización

Problemas Comunes de DCV y Soluciones Rápidas
Los fallos de validación suceden. Aquí están los errores más frecuentes que encontrarás y cómo resolverlos rápidamente.
Validación de Archivo HTTP: «404 No Encontrado»
Error: «El sistema consultó un archivo temporal en http://example.com/.well-known/pki-validation/[nombrearchivo].txt, pero el servidor web respondió con el siguiente error: 404 (No Encontrado).»
Soluciones rápidas:
- Crea manualmente la estructura de directorios: /public_html/.well-known/pki-validation/
- Establece permisos: directorios a 755, archivos a 644
- Verifica reglas de .htaccess que podrían bloquear la ruta /.well-known/
- Si el dominio acaba de ser agregado, espera 24-48 horas para propagación
- Prueba accesibilidad: curl -v http://tudominio.com/.well-known/pki-validation/test.txt
Causa común: La ruta del archivo de validación no existe o no es accesible públicamente.
Validación HTTP: «Forbids DCV HTTP Redirections»
Error: «cPanel (powered by Sectigo) forbids DCV HTTP redirections.»
Soluciones rápidas:
- Desactiva temporalmente redireccionamientos a HTTPS durante la validación
- Excluye la ruta /.well-known/* de reglas de redirección
- Verifica .htaccess, reglas de página de Cloudflare, o configuración del servidor para redireccionamientos
- Si usas CDN, desactiva temporalmente o agrega excepción
Causa común: Tu sitio redirige HTTP a HTTPS o redirige a otro dominio, bloqueando el intento de validación de la CA.
Validación DNS: «No TXT Record That Matches»
Error: «La consulta DNS a ‘_dvsauth.example.com’ para el desafío DCV no devolvió ningún registro ‘TXT’ que coincida con el valor ‘[valor-esperado]’.»
Soluciones rápidas:
- Espera 1-24 horas para propagación de DNS (depende del TTL)
- Verifica el nombre de host exacto y valor: dig _dvsauth.example.com TXT +short
- Busca errores de copia/pegado en el token de validación
- Si usas DNS delegado (registros NS), agrega el registro TXT en el proveedor correcto
- Reduce TTL a 300 segundos (5 minutos) antes de agregar registros de validación
Causa común: DNS aún no se ha propagado, o el registro tiene errores tipográficos.
Validación DNS: Registros CAA Bloqueando Emisión
Error: «Certificate authority encountered a multiple perspective CAA check error.»
Soluciones rápidas:
- Verifica registros CAA existentes: dig example.com CAA
- Agrega tu CA a emisores permitidos: example.com. CAA 0 issue «digicert.com»
- Verifica que los registros CAA se resuelvan globalmente usando herramienta ping.pe
- Si no existen registros CAA, no necesitas agregar ninguno (la ausencia permite todas las CAs)
Causa común: Los registros CAA restringen qué CAs pueden emitir certificados para tu dominio.
Validación por Correo Electrónico: Correo Electrónico No Recibido
Soluciones rápidas:
- Primero verifica carpetas de spam/basura
- Verifica que estas direcciones existan y reciban correo: admin@, administrator@, webmaster@, hostmaster@, postmaster@
- Verifica registros MX: dig example.com MX
- Agrega a whitelist los dominios de envío de correo de la CA en tu filtro de spam
- Solicita reenvío de correo desde el panel de control de la CA
Causa común: El correo de validación fue capturado por filtros de spam o las direcciones de administrador no existen.
Específico de Plataforma: Fallos de cPanel AutoSSL
Error: «Local HTTP DCV error: An internal error occurred.»
Soluciones rápidas:
- Verifica WHM > Manage AutoSSL registros para detalles
- Espera 30 minutos e intenta de nuevo (a menudo se resuelve automáticamente)
- Cambia entre proveedores Sectigo y Let’s Encrypt
- Limpia cola de AutoSSL: WHM > Manage AutoSSL > Clear pending queue
Comandos de Diagnóstico Rápido
Antes de contactar soporte, ejecuta estas verificaciones:
# Verifica propagación de DNS
dig tudominio.com +short
dig _dvsauth.tudominio.com TXT +short
# Prueba accesibilidad de archivo HTTP
curl -v http://tudominio.com/.well-known/pki-validation/test.txt
# Verifica registros CAA y MX
dig tudominio.com CAA
dig tudominio.com MX
Simplifica tu Gestión de Certificados SSL con SSL Dragon
Acertar en la validación del control del dominio es crucial para un despliegue de certificados sin problemas. SSL Dragon ofrece certificados de Autoridades Certificadoras confiables con todos los métodos de validación que necesitas, ya sea que prefieras verificación basada en correo electrónico, DNS o HTTP.
Nuestro equipo te ayuda a navegar los requisitos de DCV para certificados Domain Validated, Organization Validated, y Extended Validation. Te guiaremos a través del método de validación que coincida con tu infraestructura y responderemos preguntas cuando surjan problemas de validación.
Deja de luchar con la validación de certificados. ¡Explora nuestras opciones de certificados SSL!
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10






