Certificado SSL/TLS: Evita la expiración

Un certificado SSL/TLS expirado es uno de los problemas de seguridad más comunes — y más evitables. Cuando expira, los navegadores muestran una advertencia de seguridad que aleja al 85% de los visitantes. Google reduce tu posicionamiento SEO. Y si procesas pagos, pierdes la capacidad de hacerlo hasta que se renueve.

¿Qué es un certificado SSL/TLS?

Un certificado SSL/TLS es un archivo digital que:

1. Cifra las comunicaciones entre el servidor y el navegador (confidencialidad)
2. Autentica la identidad del sitio web (el visitante sabe que es legítimo)
3. Garantiza la integridad de los datos (no se pueden modificar en tránsito)

SSL (Secure Sockets Layer) es el nombre histórico. TLS (Transport Layer Security) es el sucesor moderno. En la práctica, cuando hablamos de "certificado SSL", nos referimos a TLS.

Tipos de certificados

| Tipo | Validación | Uso recomendado | Coste | |------|-----------|-----------------|-------| | DV (Domain Validation) | Solo dominio | Blogs, webs informativas, PYMES | Gratuito (Let's Encrypt) | | OV (Organization Validation) | Dominio + organización | Empresas, e-commerce | 50-200€/año | | EV (Extended Validation) | Verificación exhaustiva | Banca, fintech, gobierno | 200-1000€/año | | Wildcard | *.dominio.es | Múltiples subdominios | Variable | | Multi-dominio (SAN) | Varios dominios | Empresa con varios sitios | Variable |

Para la mayoría de PYMES españolas, un certificado DV de Let's Encrypt es suficiente y completamente gratuito.

¿Por qué expiran los certificados?

Los certificados tienen una fecha de expiración por diseño:

• Seguridad: fuerza la renovación periódica de claves criptográficas
• Verificación: obliga a revalidar la propiedad del dominio
• Evolución: permite migrar a algoritmos más seguros

Duración estándar:

• Let's Encrypt: 90 días (renovación automática)
• Comerciales: 1 año (antes eran 2-3 años, reducido por Apple/Google)

Consecuencias de la expiración

Para los usuarios

• Advertencia en el navegador: "Su conexión no es privada" / "NET::ERR_CERT_DATE_INVALID"
• 85% de los visitantes abandonan al ver esta advertencia
• Imposibilidad de completar transacciones (pagos, formularios)

Para el SEO

• Google penaliza los sitios sin HTTPS válido
• Pérdida de posicionamiento que puede tardar semanas en recuperarse
• Google Search Console muestra alertas de seguridad

Para el negocio

• Pérdida de ingresos directa durante la caída
• Daño reputacional (los clientes perciben falta de profesionalidad)
• Incumplimiento normativo: NIS2 y RGPD exigen cifrado en tránsito

Configurar renovación automática

Let's Encrypt con Certbot

# Instalar Certbot
sudo apt install certbot python3-certbot-nginx  # Para Nginx
sudo apt install certbot python3-certbot-apache  # Para Apache

# Obtener certificado
sudo certbot --nginx -d tusitio.es -d www.tusitio.es

# Verificar renovación automática
sudo certbot renew --dry-run

# Certbot instala automáticamente un cron/timer para renovar
sudo systemctl status certbot.timer

Hosting compartido

La mayoría de hostings españoles (SiteGround, Arsys, Ionos, Dinahosting) ofrecen SSL gratuito:

1. Panel de control → Certificados SSL / Seguridad
2. Activar Let's Encrypt o SSL gratuito
3. Verificar que la renovación automática está habilitada

Cloudflare

Si usas Cloudflare como proxy:

1. Cloudflare proporciona un certificado edge gratuito (se renueva solo)
2. Configura SSL/TLS en modo "Full (Strict)"
3. Genera un Origin Certificate para tu servidor de origen

Configuración TLS segura

Versiones

# Nginx — Solo TLS 1.2 y 1.3
ssl_protocols TLSv1.2 TLSv1.3;

# Apache — Solo TLS 1.2 y 1.3
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

Cipher suites recomendados

# Nginx
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers on;

OCSP Stapling

# Nginx — Mejora rendimiento y privacidad
ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 8.8.8.8 valid=300s;

Monitorización de certificados

Herramientas gratuitas

• WarDek: escaneo completo que incluye validación de certificados
• SSL Labs (Qualys): test detallado de configuración SSL/TLS
• Certificate Transparency Logs: monitorizar certificados emitidos para tu dominio
• crt.sh: búsqueda de certificados en logs de transparencia

Alertas

Configura alertas para recibir notificación al menos 30 días antes de la expiración:

• UptimeRobot: monitorización SSL gratuita con alertas
• Better Uptime: notificaciones por email, Slack o SMS
• Certbot: envía emails de aviso antes de la expiración

Errores comunes

No incluir www en el certificado. Si tu sitio es accesible por tusitio.es y www.tusitio.es, el certificado debe cubrir ambos.

Cadena de certificados incompleta. Si falta el certificado intermedio, algunos navegadores y dispositivos mostrarán error aunque el certificado principal sea válido.

Mixed content. Tener HTTPS pero cargar recursos (imágenes, scripts) por HTTP. El navegador los bloquea o muestra advertencia.

No verificar la renovación automática. Configurar Certbot una vez y olvidarse. Verifica periódicamente que el timer funciona: sudo certbot renew --dry-run.

Cumplimiento normativo

Los certificados SSL/TLS no son solo una buena práctica — son una obligación legal en múltiples marcos regulatorios. La directiva NIS2 exige cifrado de datos en tránsito como parte de las medidas del Artículo 21. El RGPD (artículo 32) requiere medidas técnicas adecuadas para proteger datos personales, y el cifrado TLS es la medida más básica y universal. En España, el Esquema Nacional de Seguridad (ENS) establece el cifrado como requisito obligatorio para sistemas que manejan información clasificada. Un certificado expirado no solo es un problema técnico: puede constituir un incumplimiento normativo sancionable.

Escanea tu sitio web gratis con WarDek — OWASP, NIS2, RGPD, AI Act en un solo escaneo.