El verificador SSL anterior ejecuta un diagnóstico completo sobre cualquier certificado SSL/TLS de cara al público y devuelve un informe detallado que incluye la calificación de seguridad, la cadena de certificados, los conjuntos de cifrado, los análisis de vulnerabilidades y la compatibilidad con navegadores. Las secciones a continuación explican cómo interpretar cada parte del informe.
Cómo interpretar tu calificación de seguridad SSL
Cada análisis del verificador SSL produce una calificación en letras que va desde A+ hasta F, junto con una puntuación numérica sobre 100.
- Una calificación A o A+ significa que el certificado está correctamente instalado, utiliza criptografía moderna y el servidor tiene activadas las funciones de seguridad adecuadas.
- Los certificados con calificación B son funcionales, pero revelan margen de mejora en el endurecimiento de la seguridad.
- Las calificaciones C e inferiores suelen apuntar a una versión TLS obsoleta, una función de seguridad ausente o un certificado a punto de caducar.
La puntuación se pondera en cinco categorías:
- Certificado (validez y algoritmo)
- Confianza (Autoridad de Certificación reconocida e integridad de la cadena)
- Protocolo (versiones TLS admitidas, protocolos obsoletos desactivados)
- Funciones (HSTS, OCSP Stapling, Perfect Forward Secrecy, CAA)
- Validez (tiempo restante antes de la caducidad)
La mayoría de las caídas en la calificación provienen de la categoría Funciones. El certificado funciona, la cadena está bien, el protocolo es actual, pero HSTS no está configurado o no se ha publicado un registro CAA. Esos son ajustes del lado del servidor y del DNS, no problemas del certificado.
Cómo leer los detalles de tu certificado
El verificador SSL desglosa cada certificado de la cadena campo por campo.
Common Name — el dominio principal para el que se emite el certificado. Debe coincidir con la URL que se está verificando, o el navegador rechazará la conexión.
Issued By — el intermediario emisor más la Autoridad de Certificación principal. Nombres reconocidos como Sectigo, DigiCert, GeoTrust o Google Trust Services son de confianza automáticamente. Los emisores desconocidos o cualquier cosa «autofirmada» generará una advertencia.
Valid From / Valid To — la ventana de validez del certificado. Valid From importa más de lo que la gente espera: si el reloj del servidor está mal configurado o un certificado se instala antes de tiempo, los navegadores lo rechazan por no ser aún válido.
Signature Algorithm — los certificados modernos utilizan SHA-256, SHA-384 o ecdsa-with-SHA256. SHA-1 fue declarado obsoleto hace años y cualquier certificado que aún lo use debe ser reemitido.
Public Key — RSA de 2048 bits o superior es el estándar. ECC de 256 bits es la alternativa moderna y produce certificados más pequeños y rápidos.
SAN (Subject Alternative Name) — nombres de host adicionales que cubre el certificado. Los comodines como *.example.com cubren todos los subdominios de un solo nivel. Los certificados multidominios listan aquí cada nombre de host protegido. Para los certificados DV, OV o EV, la lista SAN define exactamente qué dominios validará el certificado.
Funciones de seguridad del certificado SSL explicadas
Más allá del propio certificado, el verificador SSL informa sobre un panel de seis funciones de seguridad.
OCSP Stapling — el servidor obtiene previamente su propio estado de revocación desde la CA y lo incluye en el handshake TLS en el puerto 443. «Not Supported» añade latencia a cada conexión. Normalmente es un cambio de configuración de una sola línea en Apache, Nginx o IIS.
Perfect Forward Secrecy (PFS) — cada sesión utiliza una clave única, de modo que un futuro compromiso de la clave privada no puede descifrar el tráfico pasado. «Not Supported» significa que las sesiones grabadas podrían descifrarse de forma retroactiva. Se activa dando preferencia a los conjuntos de cifrado ECDHE.
Certificate Transparency (CT) — los certificados emitidos se registran en logs públicos de CT, lo que permite a los propietarios de dominios detectar emisiones incorrectas. «Not Supported» en un certificado público es inusual.
HSTS (HTTP Strict Transport Security) — una cabecera de respuesta del servidor que indica a los navegadores que rechacen las conexiones HTTP sin cifrar. Sin HSTS, un atacante puede degradar la conexión de un visitante de HTTPS e interceptar el tráfico. Se añade una cabecera Strict-Transport-Security en la configuración del servidor web.
Estado de revocación del certificado — el verificador consulta OCSP y CRL para confirmar que el certificado no ha sido revocado. «Good» = activo. «Revoked» = los navegadores lo rechazarán, reemítelo de inmediato. «Unknown» en CRL es habitual y no es un problema si OCSP devuelve Good.
Registro DNS CAA — un registro DNS que lista qué Autoridades de Certificación pueden emitir certificados para el dominio. Sin él, cualquier CA podría técnicamente emitir un certificado. Añade un registro CAA en el proveedor DNS indicando tus CAs.
Resultados del análisis de vulnerabilidades TLS
Se analizan cinco vulnerabilidades TLS conocidas. La mayoría de los servidores las corrigieron hace años, por lo que el verificador SSL suele confirmar que todo está en orden.
Heartbleed (CVE-2014-0160) — un error de lectura de memoria en OpenSSL que exponía claves privadas. «Safe» significa que el servidor ejecuta una versión parcheada de OpenSSL.
POODLE (CVE-2014-3566) — un ataque de oráculo de relleno contra SSLv3. «Safe» significa que SSLv3 está desactivado.
BEAST (CVE-2011-3389) — un fallo en el encadenamiento de bloques de cifrado de TLS 1.0. «Safe» significa que TLS 1.0 está desactivado o que el servidor utiliza conjuntos de cifrado no vulnerables.
ROBOT (CVE-2017-13099) — Return Of Bleichenbacher’s Oracle Threat. Un fallo de relleno RSA que resurgió en muchas implementaciones de proveedores. «Safe» significa que el servidor no expone un intercambio de claves vulnerable.
Ticketbleed (CVE-2016-9244) — divulgación de memoria específica de F5 BIG-IP a través de tickets de sesión TLS. «Safe» significa que no hay ningún dispositivo F5 sin parchear.
Conjuntos de cifrado y compatibilidad de protocolos
El verificador SSL agrupa los conjuntos de cifrado admitidos en TLS 1.3, TLS 1.2 y Débiles.
- TLS 1.3 cuenta con una lista reducida de conjuntos diseñados para ser seguros por defecto.
- La calidad de los cifrados de TLS 1.2 varía, por eso cada conjunto se enumera individualmente.
- La columna Débiles señala los protocolos o cifrados obsoletos que deben desactivarse: SSLv3, TLS 1.0, TLS 1.1, RC4, 3DES y cualquier cifrado NULL o EXPORT.
Los nombres de los conjuntos de cifrado siguen una estructura predecible. En TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384:
- ECDHE es el intercambio de claves (que proporciona Perfect Forward Secrecy)
- ECDSA es el algoritmo de firma
- AES_256_GCM es el cifrado simétrico
- SHA384 es la función hash
Tanto AES de 128 bits como de 256 bits son seguros.
Validación de la cadena de certificados
El informe muestra la cadena de certificados completa en tres niveles:
- Certificado del servidor
- Certificado intermedio
- Certificado raíz
Cada nivel está firmado por el superior, y la cadena debe terminar en una raíz en la que el navegador ya confíe.
«Chain Complete» significa que los navegadores pueden recorrer la cadena desde el servidor hasta la raíz sin problemas.
«Incomplete» significa que uno o más intermediarios no están presentes en lo que envía el servidor, por lo que los navegadores no pueden vincular el certificado a una raíz de confianza y los visitantes ven una advertencia de seguridad.
Las cadenas incompletas son uno de los problemas de instalación SSL más comunes, y el verificador SSL los señala en la parte superior del informe. La solución casi siempre consiste en reinstalar usando el paquete de cadena completa que proporciona la CA. Las rutas específicas del servidor difieren: Apache utiliza una directiva de archivo de cadena, mientras que Nginx espera un fullchain.pem. IIS gestiona la reconstrucción de la cadena a través del asistente de importación de certificados.
Verificación de la caducidad del certificado SSL
El verificador SSL muestra la caducidad en dos lugares: el resumen superior muestra los días restantes y la fecha Valid To, y cada certificado de la cadena muestra su propia ventana de validez.
Según la Votación SC-081v3 del CA/Browser Forum, los periodos de validez de los certificados SSL/TLS públicos se están reduciendo de forma progresiva. A partir del 15 de marzo de 2026, la validez máxima pasó de 398 días a 200 días. Caerá a 100 días a partir del 15 de marzo de 2027, y a 47 días a partir del 15 de marzo de 2029.
Con un certificado de 200 días, las verificaciones mensuales más un recordatorio a los 30 días funcionan bien. Cuando lleguen los certificados de 47 días, la renovación manual será impracticable. La solución estándar es la automatización basada en ACME, que permite al servidor solicitar y renovar certificados sin intervención manual.
Compatibilidad con navegadores – cuándo importa
El verificador SSL prueba el certificado frente a 13 combinaciones de navegadores y dispositivos. Los navegadores modernos (Chrome 80+, Firefox 80+, Safari 14+, Edge 80+, Opera 70+, Safari en iOS 15+, Android 10+) siempre deberían mostrar Compatible con un certificado actual.
Las plataformas móviles más antiguas, como Android 5-7 e iOS 12, suelen mostrar compatibilidad parcial. Si eso importa depende del público objetivo. Los navegadores de escritorio heredados como Internet Explorer 10 y 11 casi siempre fallan con los certificados modernos porque no admiten TLS 1.2 de forma predeterminada. Una puntuación de 9/13 con todos los navegadores modernos en verde es normal en 2026.
Cuándo ejecutar una verificación SSL
Una sola verificación tras la instalación no es suficiente. Ejecuta el verificador SSL:
- Después de instalar un nuevo certificado
- 30 días antes de la caducidad en un ciclo de 200 días
- Después de cada renovación o reemisión
- Después de una migración de servidor o cambio de IP
- Después de cambiar de Autoridad de Certificación
- Después de pasar a una configuración de comodín o multidominio
- Después de activar HSTS, OCSP Stapling o cualquier cambio en la configuración TLS
Preguntas frecuentes
Mensualmente es una línea base razonable. Con certificados de 200 días como máximo ahora, establece un recordatorio fijo para ejecutar una verificación completa 30 días antes de la expiración. Ejecuta una verificación adicional después de las renovaciones, ya que los errores de cadena de certificados son el problema posterior a la renovación más común.
Copiar enlace
Apunta a una A o A+. Una B funciona en todos los navegadores, pero la brecha generalmente señala problemas solucionables. La mayoría de las caídas de calificación se remontan a dos elementos que el SSL checker marca en el panel de características de seguridad: un encabezado HSTS faltante o un registro CAA no configurado. Ninguno de los dos requiere tocar el certificado.
Copiar enlace
Tu servidor no está enviando todos los certificados intermedios que los navegadores necesitan. La solución rápida: Apache utiliza SSLCertificateChainFile o un bundle combinado, Nginx espera un archivo fullchain.pem, e IIS reconstruye la cadena a través del asistente de importación de certificados.
Copiar enlace
No, los verificadores públicos no pueden acceder a hosts internos detrás de firewalls. Desde una máquina en la misma red, ejecuta openssl s_client -connect host:443 -servername host para obtener una salida equivalente. La herramienta de línea de comandos OpenSSL viene incluida en la mayoría de distribuciones de Linux y está disponible para Windows.
Copiar enlace
Sí. Lee cualquier certificado que presente el servidor, de Sectigo, DigiCert, GeoTrust, RapidSSL, Thawte, GoGetSSL, Let’s Encrypt, Google Trust Services y otros. El catálogo de certificados SSL de SSL Dragon cubre seis de esas CAs lado a lado.
Copiar enlace
HSTS es un encabezado de respuesta del servidor, no parte del certificado. El certificado puede ser perfectamente válido mientras HSTS permanece sin configurar. Agrégalo en la configuración del servidor web: Apache usa Header always set Strict-Transport-Security, Nginx usa add_header Strict-Transport-Security.
Copiar enlace
