WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

Con cuanta antelacion deben activarse las alertas de expiracion de certificado?

Para PYME, 30 dias es un minimo razonable para alertas principales, con una alerta adicional mas cercana si no se resuelve. La clave es dejar suficiente tiempo para escalamiento humano si la automatizacion falla.

Let's Encrypt es suficiente para empresas en produccion?

Generalmente si. La calidad operativa de la renovacion, la gestion de la cadena y la verificacion importa mas que el prestigio de marketing del emisor del certificado para la mayoria de las aplicaciones web.

Los CDN eliminan el riesgo de expiracion de certificados?

No. Reducen la carga operativa, pero aun necesita un inventario de nombres de host, visibilidad de renovacion y validacion de que las configuraciones CDN y de origen permanecen alineadas.

Que debo verificar despues de una renovacion?

Verifique fechas de expiracion en vivo, validez de la cadena, redirecciones HTTP a HTTPS, confianza del navegador, recorridos autenticados clave y cualquier endpoint de API o callback que dependa de HTTPS.

Guia de expiracion de certificados TLS — Runbook de monitoreo y renovacion

Por que la expiracion de certificados es un riesgo de nivel directivo

Los certificados TLS son faciles de ignorar porque a menudo funcionan silenciosamente durante meses. Cuando expiran, el resultado es una perdida de confianza inmediata: advertencias del navegador, APIs fallidas, inicios de sesion bloqueados, flujos de pago interrumpidos y tickets de soporte de usuarios que creen que el sitio ha sido comprometido.

Para las PYME, la expiracion del certificado generalmente no es un problema de criptografia. Es un problema de propiedad. Nadie sabe que dominios existen, quien gestiona el DNS, que equipo posee el CDN o el balanceador de carga, si la renovacion esta automatizada o como verificar un despliegue exitoso despues de la emision.

Por eso la mentalidad correcta es operativa en lugar de puramente tecnica. La salud de los certificados pertenece a sus verificaciones recurrentes de fiabilidad del sitio web, junto con redirecciones, encabezados, cookies, activos expuestos y disponibilidad. Un certificado valido no es suficiente si se sirve la cadena incorrecta, un cache edge obsoleto permanece activo o un subdominio olvidado aun presenta un certificado antiguo.

Linea base de monitoreo que todo equipo deberia tener

Comience con un inventario completo de nombres de host publicos: dominio raiz, www, subdominios de producto, portales de clientes, APIs, paginas de estado y cualquier endpoint heredado aun accesible desde documentacion antigua o marcadores de usuarios. Los certificados derivan porque los equipos solo monitorean el dominio principal mientras las superficies perifericas se olvidan.

Su linea base deberia incluir verificaciones de horizonte de expiracion, visibilidad del emisor, cobertura SAN, validacion de redirecciones y correccion de la cadena. Si usa infraestructura gestionada, verifique que capa realmente termina TLS: CDN, proxy inverso, ingress, servidor de aplicaciones o una mezcla. La propiedad es imposible si la arquitectura no esta clara.

Alertar antes de la expiracion con margen suficiente para intervencion humana, no solo cuando quedan siete dias.
Rastrear cada nombre de host de produccion, no solo el dominio de marketing.
Verificar las redirecciones HTTP a HTTPS despues de cada renovacion o cambio de infraestructura.
Confirmar que la cadena completa de certificados se sirve correctamente en todos los entornos y regiones.
Documentar quien es responsable de la renovacion, cambios DNS, despliegue CDN y validacion post-renovacion.

Un runbook de renovacion practico

Un buen runbook de renovacion es corto, aburrido y facil de ejecutar bajo presion. Identifica la fuente del certificado, el mecanismo de automatizacion, el camino manual de respaldo, los endpoints de validacion y los pasos de rollback o escalamiento si la emision falla.

Si usa renovacion automatica, pruebe el camino completo antes de necesitarlo. Los equipos a menudo asumen que la automatizacion funciona porque funciono una vez hace meses, solo para descubrir que los permisos DNS cambiaron, los desafios ACME estan bloqueados por un firewall o un balanceador de carga aun sirve el bundle anterior.

Despues de la renovacion, valide desde fuera de su red. Verifique las fechas del certificado en vivo, el emisor y la cadena desde internet publico, no solo desde un dashboard interno. Si usa un CDN, verifique tambien la propagacion en edge. Muchos incidentes son causados por infraestructura parcialmente renovada donde una region o un proxy quedo obsoleto.

Que verificar despues de una renovacion

La validacion post-renovacion debe confirmar la experiencia del usuario, no solo la emision tecnica. Navegue por el sitio principal, las superficies autenticadas y los endpoints de API. Confirme que no hay advertencias de confianza, regresiones de contenido mixto ni callbacks rotos a servicios de terceros que fijan expectativas de certificado demasiado agresivamente.

Este es tambien el momento adecuado para inspeccionar controles adyacentes. Una ventana de renovacion de certificado es a menudo cuando los equipos notan HSTS faltante, cifrados debiles, redirecciones inconsistentes o inventario de dominios obsoleto. Si ya ejecuta escaneos regulares de WarDek, el evento de renovacion se convierte en un punto de control dentro de un proceso de fiabilidad mas amplio en lugar de un panico aislado.

El mejor patron es vincular el monitoreo de certificados a escaneos de seguridad programados y revisiones de propiedad. Cuando el inventario de dominios cambia, el inventario TLS debe cambiar tambien. Cuando un subdominio se decomisiona, su certificado y monitoreo deben ser retirados deliberadamente en lugar de dejarse abandonados.

Patrones de fallo a eliminar

El fallo clasico es un subdominio olvidado que nadie posee hasta que los usuarios lo encuentran. El segundo es la dependencia excesiva de un solo ingeniero o un solo portal de proveedor. El tercero es asumir que la automatizacion de certificados equivale a higiene HTTPS completa, lo cual es falso si las redirecciones, encabezados o configuraciones edge son inconsistentes.

Evite almacenar las operaciones de certificados como conocimiento tribal. Mantenga un runbook compartido, un mapa de propiedad y una checklist de validacion. Si un dominio de produccion existe, alguien deberia saber por que existe, como se renueva y como el equipo confirma el exito.