Errores SSL/TLS: ¿qué significan y cómo solucionarlos?
Los errores SSL/TLS son uno de los problemas técnicos más comunes a los que se enfrentan los propietarios de sitios web y administradores de servidores. El navegador muestra una advertencia de seguridad cuando el certificado SSL no es válido, ha caducado o está mal configurado. Este tipo de error ahuyenta eficazmente a los usuarios y puede afectar negativamente al posicionamiento del sitio en los resultados de búsqueda.
¿Quiere comprobar el certificado SSL de su sitio web?
Verificar certificado SSL¿Cómo funciona un certificado SSL/TLS?
Un certificado SSL/TLS es un documento digital que confirma la identidad del servidor y permite cifrar la conexión. Es emitido por autoridades de certificación (CA) de confianza. El navegador verifica el certificado en cada conexión HTTPS: comprueba si es válido, si no ha caducado y si procede de una CA de confianza.
Errores SSL/TLS más comunes
El certificado SSL tiene una fecha de vencimiento. Una vez transcurrida, el navegador muestra un error y bloquea el acceso al sitio. Los certificados de Let's Encrypt son válidos por 90 días; los comerciales suelen durar 1 año.
Renueve el certificado SSL. Para Let's Encrypt, configure la renovación automática mediante certbot (certbot renew --dry-run). Configure el seguimiento de la fecha de vencimiento: nuestro verificador SSL envía alertas.
El certificado ha sido emitido por una CA que el navegador no reconoce como fiable. Puede tratarse de un certificado autofirmado o de un certificado de una CA que no figura en el almacén de certificados de confianza del navegador.
- Certificado autofirmado: utilizado en entornos de desarrollo
- Faltan certificados intermedios
- Certificado de una CA que ha perdido la confianza (ej. Symantec en 2018)
En producción, utilice un certificado de una CA de confianza (Let's Encrypt, DigiCert, Sectigo). Compruebe si la cadena de certificados está completa: el servidor debe enviar el certificado principal + todos los certificados intermedios.
El certificado ha sido emitido para un dominio distinto al que intenta conectarse. El navegador compara el dominio del certificado (campo CN o SAN) con la dirección de la barra de direcciones.
- Certificado emitido para example.com pero el sitio funciona bajo www.example.com
- Falta la entrada para el subdominio en el campo SAN (Subject Alternative Names)
- Hay instalado en el servidor un certificado para otro dominio (error de configuración del vhost)
Al emitir un certificado, asegúrese de que incluya todas las variantes del dominio: example.com y www.example.com. Los certificados comodín (wildcard, .example.com) cubren todos los subdominios de un mismo nivel.
El navegador y el servidor no pueden acordar una versión común del protocolo TLS ni un conjunto de cifrados. También puede significar que el servidor está enviando datos HTTP en lugar de HTTPS.
- El servidor solo admite protocolos obsoletos TLS 1.0/1.1 (retirados en 2020)
- El puerto 443 devuelve tráfico HTTP en lugar de HTTPS
- Configuración incorrecta de nginx/Apache: falta la directiva ssl on
Configure el servidor para que admita TLS 1.2 y TLS 1.3. Compruebe la configuración del vhost: asegúrese de que el puerto 443 tenga el SSL activado. Utilice la herramienta SSL Labs para auditar la configuración.
El sitio está disponible a través de HTTPS, pero carga recursos (imágenes, scripts, estilos) a través de HTTP no cifrado. El navegador bloquea los recursos activos (JS, CSS) y muestra una advertencia para los pasivos (imágenes).
Cambie todas las referencias http:// por https:// o utilice el protocolo relativo //. En WordPress, utilice el plugin Really Simple SSL. Añada el encabezado Content-Security-Policy: upgrade-insecure-requests.
El servidor redirige infinitamente entre HTTP y HTTPS. Suele deberse a una configuración de redireccionamiento incorrecta cuando hay un equilibrador de carga o una CDN que finaliza el SSL detrás del servidor.
Compruebe la configuración de redireccionamiento en .htaccess o nginx. Si utiliza Cloudflare, configure el modo SSL en 'Full (strict)'. En WordPress, compruebe las opciones de URL en los ajustes.
Tipos de certificados SSL
Los certificados SSL varían según el nivel de verificación de la identidad del propietario y el alcance de la protección.
| Tipo | Verificación | Tiempo de emisión | Uso |
|---|---|---|---|
| DV | Validación de dominio (DV) | Minutos — horas | Blogs, sitios personales, tiendas pequeñas |
| OV | Validación de organización (OV) | 1-3 días | Sitios corporativos, portales B2B |
| EV | Validación extendida (EV) | 1-2 semanas | Bancos, instituciones financieras |
| Wildcard | Validación de subdominios | Minutos — horas | Múltiples subdominios de un dominio |
| Multi-SAN | Dominios múltiples (SAN) | Minutos — días | Múltiples dominios diferentes en un solo certificado |
Para la mayoría de los sitios web, un certificado DV de Let's Encrypt es suficiente y totalmente gratuito. Let's Encrypt emite certificados automáticamente y admite la renovación automática cada 90 días.