Comprobador de certificados SSL (caducidad y emisor)
Introduce un dominio para ver la fecha de caducidad, el emisor, el SAN y la huella digital de su certificado SSL/TLS. Los días restantes se muestran con colores para que nunca se te pase una renovación.
Consejos
- Comprueba la fecha de caducidad con margen suficiente. Renovar con 2-4 semanas de antelación te da un colchón por si surge algún problema durante la renovación.
- Los certificados gratuitos de Let's Encrypt y similares solo duran 90 días, así que conviene comprobar aquí de forma periódica que la renovación automática funciona realmente.
- El candado del navegador solo indica si un certificado es válido en este momento; nunca muestra cuántos días quedan, y precisamente ese es el hueco que cubre esta herramienta.
- El campo SAN (nombres alternativos del sujeto) puede incluir varios nombres de host además del dominio principal, como un subdominio www. Vale la pena comprobar que no aparezcan dominios inesperados.
- La huella digital identifica de forma única a un certificado. Comparar la huella antes y después de una renovación es una forma fiable de confirmar que el cambio se realizó correctamente.
Preguntas frecuentes
A propósito — Breve historia de los certificados SSL/TLS y las autoridades certificadoras
Las conexiones HTTPS que usamos a diario tienen su origen en SSL (Secure Sockets Layer), desarrollado por Netscape en 1994. La primera versión, SSL 2.0, tenía vulnerabilidades graves, y tras SSL 3.0 el protocolo se estandarizó como TLS (Transport Layer Security) 1.0 en 1999. El nombre cambió, pero el diseño básico —cifrar el tráfico mediante criptografía de clave pública basada en certificados— sigue vigente hoy en día.
Las autoridades certificadoras (CA) verifican que el solicitante controla realmente un dominio antes de emitir un certificado firmado. Antes, obtener un certificado costaba dinero y esfuerzo, pero esto cambió radicalmente en 2016, cuando la organización sin ánimo de lucro ISRG lanzó Let's Encrypt, una CA gratuita. Sus certificados solo son válidos durante 90 días, lo que en la práctica exige herramientas de renovación automática como certbot en cualquier despliegue real.
Un certificado caducado no se queda solo en un aviso alarmante del navegador: puede convertirse en una interrupción grave del servicio. Se han dado casos repetidos y muy conocidos de grandes servicios de API e incluso importantes entidades financieras que quedaron caídos durante horas por olvidar renovar un certificado, lo que demuestra que la monitorización continua es una necesidad operativa y no una tarea de una sola vez.