Comprobador de certificados SSL (caducidad y emisor)

Introduce un dominio para ver la fecha de caducidad, el emisor, el SAN y la huella digital de su certificado SSL/TLS. Los días restantes se muestran con colores para que nunca se te pase una renovación.

Consejos

  • Comprueba la fecha de caducidad con margen suficiente. Renovar con 2-4 semanas de antelación te da un colchón por si surge algún problema durante la renovación.
  • Los certificados gratuitos de Let's Encrypt y similares solo duran 90 días, así que conviene comprobar aquí de forma periódica que la renovación automática funciona realmente.
  • El candado del navegador solo indica si un certificado es válido en este momento; nunca muestra cuántos días quedan, y precisamente ese es el hueco que cubre esta herramienta.
  • El campo SAN (nombres alternativos del sujeto) puede incluir varios nombres de host además del dominio principal, como un subdominio www. Vale la pena comprobar que no aparezcan dominios inesperados.
  • La huella digital identifica de forma única a un certificado. Comparar la huella antes y después de una renovación es una forma fiable de confirmar que el cambio se realizó correctamente.

Preguntas frecuentes

Depende de la autoridad certificadora y del tipo de certificado. Los gratuitos como Let's Encrypt duran solo 90 días, mientras que los comerciales de pago tienen un límite de un año (398 días) según la política actual del CA/Browser Forum. El periodo máximo de validez lleva años reduciéndose en todo el sector.

Los navegadores muestran un aviso del tipo "La conexión no es privada" y la mayoría de los visitantes abandonan el sitio de inmediato. Las integraciones con APIs y el procesamiento de pagos también fallan con errores de conexión, por lo que renovar con antelación es fundamental.

Es un campo de extensión que permite que un único certificado cubra varios nombres de dominio o subdominios. Por ejemplo, un certificado que cubra example.com y www.example.com incluiría ambos en su campo SAN.

Un certificado autofirmado lo emite el propio propietario del sitio sin pasar por una autoridad certificadora externa, por lo que los navegadores no confían en él y muestran un aviso. Si el "emisor" que muestra esta herramienta es una autoridad certificadora real, el certificado ha sido verificado por un tercero reconocido.

Los certificados gratuitos de Let's Encrypt y similares usan la misma fortaleza de cifrado que los de pago. Las diferencias principales están en el nivel de validación de la propiedad del dominio (DV/OV/EV) y el soporte disponible; no hay una diferencia real en la seguridad del cifrado entre gratuitos y de pago.
ツールくん

A propósito — Breve historia de los certificados SSL/TLS y las autoridades certificadoras

Las conexiones HTTPS que usamos a diario tienen su origen en SSL (Secure Sockets Layer), desarrollado por Netscape en 1994. La primera versión, SSL 2.0, tenía vulnerabilidades graves, y tras SSL 3.0 el protocolo se estandarizó como TLS (Transport Layer Security) 1.0 en 1999. El nombre cambió, pero el diseño básico —cifrar el tráfico mediante criptografía de clave pública basada en certificados— sigue vigente hoy en día.

Las autoridades certificadoras (CA) verifican que el solicitante controla realmente un dominio antes de emitir un certificado firmado. Antes, obtener un certificado costaba dinero y esfuerzo, pero esto cambió radicalmente en 2016, cuando la organización sin ánimo de lucro ISRG lanzó Let's Encrypt, una CA gratuita. Sus certificados solo son válidos durante 90 días, lo que en la práctica exige herramientas de renovación automática como certbot en cualquier despliegue real.

Un certificado caducado no se queda solo en un aviso alarmante del navegador: puede convertirse en una interrupción grave del servicio. Se han dado casos repetidos y muy conocidos de grandes servicios de API e incluso importantes entidades financieras que quedaron caídos durante horas por olvidar renovar un certificado, lo que demuestra que la monitorización continua es una necesidad operativa y no una tarea de una sola vez.