Cómo comprobar los certificados de SSL y mantenerse seguro

A principios de 2025, Internet sigue ampliando su alcance, con aproximadamente5560 millones de usuarios. Este crecimiento está impulsado por los avances tecnológicos, como la conectividad 5G, la proliferación de dispositivos móviles y la creciente disponibilidad de contenidos online diversos.

Internet impregna ya la vida cotidiana y ofrece servicios que van desde la simple transmisión de contenidos y vídeos hasta complejos espacios de trabajo y soluciones financieras. Las empresas de todo el mundo están experimentando importantes transformaciones digitales que hacen que los datos sean más accesibles en línea que nunca.

Sin embargo, la sensibilidad y confidencialidad de estos datos siguen siendo primordiales. La información personal y financiera debe protegerse con prácticas de seguridad sólidas. Aquí es donde los protocolos Transport Layer SecurityTLS) y Secure Sockets LayerSSL) desempeñan un papel crucial a la hora de proteger y cifrar la comunicación a través de Internet.

TLS el estándar del sector para proteger sitios web, API y servicios en línea, ya que los principales organismos de normalización han eliminado gradualmente SSL a sus vulnerabilidades. A medida que las amenazas evolucionan, TLS adaptándose con avances como la criptografía poscuántica, mientras que SSL obsoleto. Lamejor práctica actual es TLS .3, unpaso intermedio hacia TLS cuánticos seguros.

Puede comprobar fácilmente si su conexión es segura verificando el certificado TLS emitido por el sitio web al que está accediendo. Como buena práctica, sólo interactúe con sitios que tengan un certificado TLS válido, ya que la ausencia de uno puede indicar un sitio menos fiable o poco seguro.

Entonces,¿cómo se comprueba el HTTPS? Comprobar si un sitio está protegido con TLS sencillo. Todos los sitios que utilizan el sistema TLS tendrán el especificador del protocolo HTTPS en su dirección web. Mientras que HTTP significa Protocolo de Transferencia de Hipertexto, la S añade la parte de seguridad proporcionada por TSL. Por lo tanto, comprueba estas dos cosas para saber si un sitio está TLS .

El nombre del sitio debe empezar por HTTPS, por ejemplo, https://www.yoursitename.com.

Puede obtener información detallada sobre la seguridad del sitio haciendo clic en el icono de información del sitio/bloqueo en la barra de direcciones de su navegador.

Ahora, para una explicación en profundidad y una comprensión más profunda de la TSL, cómo funciona y por qué es esencial, sigamos leyendo.

¿Qué es un certificado TLS ?

Un certificado TLS es un certificado digital que verifica la autenticidad de un sitio web y permite la comunicación cifrada entre el navegador del usuario y el servidor. TLS son las siglas de Transport Layer Security, el sucesor moderno de SSL (Secure Sockets Layer), y es el protocolo criptográfico estándar del sector para proteger los datos en tránsito. TLS 1.3, la última versión, ofrece mayor seguridad, menor latencia y algoritmos de cifrado más potentes que las versiones anteriores.

Un certificado TLS sirve como clave pública del sitio web y es emitido por una Autoridad de Certificación (CA) de confianza. Cuando un usuario se conecta a un sitio web, su navegador comprueba la validez del certificado para asegurarse de que el sitio es legítimo y no un impostor. La clave privada, custodiada de forma segura por el servidor, funciona junto con la clave pública para establecer una sesión cifrada.

TLS 1.3 elimina los algoritmos criptográficos obsoletos, mejora la confidencialidad y agiliza el proceso de intercambio de información, lo que agiliza las conexiones seguras y las hace más resistentes a los ataques. Los navegadores y servidores web modernos aplican el cifrado TLS , de modo que los datos intercambiados permanecen confidenciales y protegidos de escuchas, ataques de intermediario y accesos no autorizados.

¿Cómo funcionan los certificados de SSL ?

Un certificado SSL actúa como una credencial digital emitida por una CA de confianza, que indica que el sitio web es legítimo y seguro. Permite la comunicación cifrada entre el navegador y el servidor, protegiendo los datos confidenciales -como contraseñas, información personal y datos de pago- de la interceptación y la manipulación.

Comunicación TLS tradicional

Cuando visita un sitio web, su navegador envía una solicitud al servidor web. El servidor procesa esta petición y devuelve la respuesta adecuada. Aunque esta interacción pueda parecer sencilla, es vulnerable a los ataques de intermediario (MITM) si no se protege adecuadamente. Un actor malintencionado podría interceptar los datos en tránsito y extraer información confidencial.

Por ejemplo, si se conecta a su portal de banca en línea y alguien intercepta ese tráfico, sus credenciales podrían quedar expuestas, lo que podría dar lugar a un robo de identidad o una pérdida financiera.

TLS lo evita cifrando los datos. Incluso si un atacante intercepta el tráfico, el contenido cifrado aparecerá como un galimatías ininteligible a menos que posea la clave de descifrado correcta.

SSL utiliza un cifrado asimétrico durante la conexión inicial que implica un par de claves pública-privada:

• El servidor tiene la clave privada.
• El cliente (navegador) recibe la clave pública, que utiliza para cifrar los datos.
• Sólo el servidor puede descifrar los datos utilizando su clave privada.

Este proceso se conoce como el apretón de manos TLS , que incluye:

• Acuerdo e intercambio de claves (establecimiento de claves de sesión para el cifrado simétrico)
• Cifrado de datos (mediante claves de sesión)
• Autenticación del servidor (verificación de la identidad del servidor y de la integridad de los datos)

El futuro del cifrado: Prepararse para la era poscuántica

Aunque los protocolos TLS actuales son seguros frente a los ordenadores clásicos, no están diseñados para resistir los ataques de los ordenadores cuánticos. Un ordenador cuántico suficientemente potente podría descifrar los algoritmos de cifrado tradicionales, especialmente los utilizados en el intercambio de claves durante el TLS .

Esto ha suscitado una creciente preocupación por los ataques "cosechar ahora, descifrar después" (HNDL), en los que los adversarios graban el tráfico cifrado hoy con la intención de descifrarlo en el futuro, una vez que se disponga de capacidades cuánticas, dejando los datos actuales vulnerables a la tecnología invasora.

Para defenderse de esta amenaza, la industria está realizando una transición hacia la criptografía post-cuántica (PQC). En futuras versiones de TLS, el proceso de intercambio de claves sustituirá algoritmos tradicionales como RSA por mecanismos de encapsulación de claves (KEM). Los KEM son primitivas criptográficas diseñadas para ser resistentes a la cuántica como parte de los nuevos estándares en desarrollo por organizaciones como el NIST y el IETF.

La migración a certificados e infraestructuras compatibles con PQC es fundamental para la confidencialidad de los datos a largo plazo. A medida que se finalizan los algoritmos de seguridad cuántica y se integran en protocolos como TLS 1.3 y posteriores, las organizaciones deben ser proactivas en la actualización de sus sistemas para incluir PQC junto con algoritmos clásicos en un modelo híbrido, que ofrezca tanto protección inmediata como resiliencia futura.

Varios tipos de certificados SSL

Los certificados SSL pueden clasificarse en función de dos criterios principales: el número de dominios que protegen y el nivel de validación realizado por la CA.

En función del ámbito

• Certificado de dominio único: protege un nombre de dominio completo (FQDN), comowww.example.com. No cubre subdominios ni otros dominios.
• Certificado comodín: protege un único dominio y todos sus subdominios. Por ejemplo, un certificado comodín para*.example.comcubreblog.example.com,mail.example.com, etc.
• Certificado multidominio (certificado SAN): admite varios dominios no relacionados mediante un único certificado. Por ejemplo, un único certificado SAN puede protegerexample.com,example.net yanotherdomain.org.

Según el nivel de validación

Aunque todos los certificados TLS proporcionan el mismo nivel de cifrado, el proceso de validación realizado por la CA difiere e influye directamente en el nivel de confianza y la información mostrada en el certificado.

• Certificado validado por dominio (DV): la CA verifica que el solicitante sea propietario o controle el dominio. Este es el tipo de validación más básico y rápido, y suele emitirse en cuestión de minutos. No se verifican ni se muestran los datos de la organización, por lo que los certificados DV son más adecuados para sitios personales o internos que para sitios web comerciales o empresariales orientados al público.
• Certificado de organización validada (OV): la CA verifica el dominio y la existencia legal de la organización. Los detalles de la organización se incluyen en el certificado, lo que ofrece más credibilidad que el DV. Los certificados OV se recomiendan para sitios web comerciales y aplicaciones que recopilan datos de los usuarios.
• Certificado de validación extendida (EV): es el nivel más alto de validación de certificados. La CA lleva a cabo una revisión en profundidad de la organización, incluida la verificación de su existencia legal, física y operativa. La solicitud debe ser iniciada por la propia organización. Los certificados EV se rigen por las directrices EV del CA/Browser Forum (CABF), establecidas en 2007. Los navegadores suelen mostrar indicadores visuales mejorados (como el nombre de la organización) cuando se utilizan certificados EV, lo que indica un mayor nivel de confianza para los usuarios.

Si conoce tanto el ámbito del dominio como el nivel de validación, podrá elegir el certificado adecuado que se ajuste a la finalidad de su sitio web, su perfil de riesgo y los requisitos de confianza de los usuarios. Los niveles de validación más altos indican una mayor credibilidad, lo que puede ser fundamental para las empresas que manejan datos confidenciales o transacciones financieras.

¿Cuál es la diferencia entre SSL y TLS?

Transport Layer securityTLS) es el estándar moderno para proteger las transferencias de datos por Internet. Aunque a menudo se menciona junto a SSL, TLS no es solo una versión más reciente, sino un protocolo más seguro, eficiente y mantenido activamente que ha sustituido por completo a SSL en la práctica.

Desarrollado originalmente por Netscape en 1994, SSL sentó las bases de la comunicación web cifrada. Sin embargo, debido a graves vulnerabilidades y limitaciones, SSL ha quedado obsoleto. La última versión, SSL 3.0, se retiró oficialmente, y en 1999 se introdujo TLS como su sucesor. Desde entonces, TLS ha pasado por múltiples mejoras, con la última versiónTLS 1.3) lanzada en 2018.

Aunque los términos SSL y TLS se siguen utilizando indistintamente en conversaciones informales y nombres de productos, TLS es el protocolo que se utiliza actualmente.

Principales diferencias entre SSL y TLS

Aunque el objetivo de ambos protocolos es proporcionar una comunicación segura y autenticada, TLS mejora a SSL en varios aspectos importantes:

• Conjuntos de cifrado:TLS algoritmos de cifrado más potentes y modernos, como AES y ChaCha20, lo que mejora la seguridad y el rendimiento.
• Mensajes de alerta:TLS mensajes de error más detallados y específicos, lo que mejora la resolución de problemas y la claridad con respecto a las alertas genéricas SSL
• Protocolo de registro:TLS HMAC (código de autenticación de mensajes basado en hash) para la integridad de los datos, que es más seguro que el formato MAC básico utilizado por SSL.
• Proceso de establecimiento de conexión:TLS el mecanismo de establecimiento de conexión para mejorar la velocidad y la seguridad. A diferencia de SSL, TLS los hash sobre los propios mensajes de establecimiento de conexión, lo que proporciona una mejor autenticación.
• Autenticación de mensajes:TLS en la autenticación basada en hash utilizando HMAC, mientras que SSL técnicas menos robustas que implican datos clave.

Por qué TLS es importante hoy

Todos los navegadores, API y servicios de Internet modernos utilizan TLS, no SSL. Los principales organismos de normalización y proveedores de navegadores han eliminado por completo el uso de SSL debido a sus vulnerabilidades.

Si está implementando una comunicación segura, ya sea para un sitio web, un servidor de correo electrónico o un servicio en la nube, siempre debe utilizar TLS. Seguir haciendo referencia a SSL es en gran medida una cuestión de nomenclatura heredada, no una práctica recomendada.

A medida que Internet evolucione para hacer frente a nuevas amenazas, incluida la computación cuántica, TLS seguirá adaptándose, incorporando criptografía post-cuántica y mecanismos de handshake más eficientes. Como ya se ha dicho, los principales organismos de normalización y proveedores de navegadores han eliminado por completo SSL, convirtiéndolo en un protocolo del pasado.

¿Cómo comprobar los certificados de SSL ?

Todos los navegadores modernos facilitan la comprobación rápida de si un sitio está protegido o no mediante el cifrado SSL . La forma más fácil de saber si un sitio está encriptado en SSL o no es comprobar su URL. La URL del sitio debe empezar por HTTPS. 

Para obtener más detalles sobre las credenciales de seguridad del sitio, puede hacer clic en el icono del candado situado junto a la barra de direcciones y obtener más información sobre los detalles del certificado SSL del sitio. 

Entonces,¿dónde se pueden encontrar SSL en el servidor? Para ver SSL detallada SSL en navegadores populares como Chrome y Firefox, puede seguir los siguientes pasos: 

• Haga clic en el icono del candado de la barra de direcciones del navegador. Por ejemplo, así es como se ve para keyfactor.com

• Haga clic en la ventana emergente del certificado y compruebe los detalles del certificado, como la fecha de caducidad y la duración válida.

• En el caso de los certificados de validación ampliada, podrá ver más información, como los datos de identificación de la organización. En el caso de otros tipos de certificados, sólo podrá ver los datos de la autoridad de certificación en la parte inferior de la ventana emergente.
• Para obtener información más detallada sobre el certificado SSL , como la jerarquía de certificados, haga clic en las pestañas correspondientes, como "Detalles"..

¿Cómo saber si tiene un certificado SSL ?

Si es propietario de un sitio y desea comprobar su certificado SSL , la forma más sencilla es buscar en su panel de control cualquier certificado aprobado emitido por una CA. Si tiene varios certificados SSL instalados para su sitio, puede localizarlos utilizando cualquiera de los dos métodos siguientes.

Herramienta de administración de certificados de Windows

SSL o escáneresSSL , como el que ofrece Keyfactor, se utilizan para escanear toda la red y localizar todos los certificados instalados.

• También puede utilizar laherramienta Administrador de certificados de Windowssi utiliza el entorno Windows Server.
• Para ver los certificados almacenados en su dispositivo local, inicie la herramientaAdministrador de certificados.

Para ello, abra el Command , escribacertlm.msc ypulse INTRO.

• Puede ver todos los certificados almacenados en su ordenador en el panel izquierdo y ampliar el directorio para obtener información más detallada sobre un certificado.
• Para acceder a los certificados del usuario actual, inicie laherramienta Administrador de certificadosescribiendocertmgr.mscen una sesión Command .

Almacenes de certificados

Si no utiliza una herramienta, puede buscar y localizar manualmente los certificados instalados en los almacenes de certificados. Los almacenes de certificados son contenedores dentro del entorno del servidor que contienen todos sus certificados. En función del tipo de certificados almacenados, los almacenes de certificados pueden clasificarse como:

• Personal - Estos almacenes contienen certificados con claves privadas
• Autoridades de certificación raíz de confianza: aquí se almacenarán todos los certificados de terceros y de organizaciones de clientes.
• Autoridades de certificación intermedias - Incluyen los certificados emitidos a las CA subordinadas.

Si utiliza un servidor Windows, puede acceder al almacén de certificados siguiendo estos pasos:

• Abra laMMC (Consola de administración de Microsoft)escribiendoMMC en unasesiónCommand .
• Haga clic enArchivo y, a continuación, seleccioneAgregar o quitar complemento...
• Se le mostrará una lista de complementos. SeleccioneCertificadosen la lista y, a continuación, haga clic enAgregar >.

• SeleccioneCuenta de ordenador y haga clic enSiguiente >Finalizar. Si desea ver los certificados vinculados a su identidad, habría seleccionado «Mi cuenta de usuario» en su lugar.
• A continuación, haga clic enAceptar y se le redirigirá de nuevo a la página de complementos.

Para ver un certificado concreto en el complemento MMC, haga doble clic enCertificados (equipo local) enel panel izquierdo y, a continuación, expanda un almacén de certificados para ver los certificados, comoPersonal > Certificados. Los certificados disponibles del almacén de certificados seleccionado se mostrarán en el panel central de la ventana. 

Para ver el certificado, haga doble clic sobre él. Aparecerá una ventana de Certificado que mostrará las distintas propiedades del certificado seleccionado, como la duración de validez, la fecha de caducidad, la ruta y cualquier detalle de la clave privada asociada.

¿Es válido mi certificado SSL ?

Todos los certificados SSL tienen una vida útil finita con una fecha de caducidad establecida. Una vez alcanzada la fecha de caducidad, el certificado dejará de considerarse válido. 

Históricamente, la mayoría de SSL tienen una vigencia que oscila entre uno y tres años. Hoy en día, la vigencia máxima permitida es de 397 días. Sin embargo, el CA/Browser Forum, una agrupación voluntaria de emisores de certificados y proveedores de software de navegadores de Internet software otras aplicaciones que utilizan certificados (consumidores de certificados), ha aprobado oficialmente una votación paramodificar los requisitos TLS con el fin de reducir la vigencia máxima a solo 47 días, lo que refleja el cambio generalizado del sector hacia una mayor agilidad en la gestión de certificados como elemento fundamental de las operaciones diarias de PKI. 

En la mayoría de los casos, un certificado se sustituye cuando se acerca su fecha de caducidad. Pero ciertas condiciones, como la vulnerabilidad Heartbleed, la caducidad de SHA-1, las fusiones de empresas o los cambios en la política de seguridad, pueden exigir que los certificados se vuelvan a emitir antes. A medida que la vida útil de los certificados siga reduciéndose, las organizaciones tendrán que adoptar enfoques más automatizados y ágiles para gestionar la PKI a escala y evitar interrupciones del servicio. 

¿Cómo verificar los certificados de SSL en Windows?

Paracomprobar si hay un SSL instalado, puede utilizar la herramienta Administrador de certificados y comprobar su período de validez. Otra opción alternativa es utilizar la utilidadsigcheck de Windows Sysinternalsparaverificar TLS . Descargue la utilidad y ejecútela con el command sigcheck -tv. Se mostrará una lista con todos los certificados raíz de confianza de Microsoft.

Certificado autofirmado

Antes de instalar un SSL , debe asegurarse de que dispone de certificados válidos emitidos por una CA. Para ello, tendrá que generar una CSR. CSR son las siglas deCertificate Signing Request(solicitud de firma de certificado), que es la forma de solicitar un SSL a una CA. 

Una CSR consiste en una clave pública y otros detalles necesarios para validar su identidad. Tendrá que facilitar información como el nombre distinguido (DN), el nombre común (CN) y el nombre de dominio completo (FQDN) del sitio web que necesita el certificado. 

Creación de una CSR mediante Open SSL (multiplataforma):

• Ejecute el siguiente command en su terminal

openssl req -out testsite.csr -new -newkey rsa:2048 -nodes -keyout testsite.key

• Es posible que se le pida una contraseña opcional, y puede proporcionar una contraseña para proteger su clave privada. Este command creará un CSR con el nombre testsite.csr y una clave privada de 2048 bits con el nombre testsite.key. 

Creación de una CSR mediante certreq en Windows:

Si utiliza un entorno Windows, puede generar una CSR utilizando la herramienta incorporada certreq: 

• Cree un archivo INF con el siguiente contenido

[Versión]

Firma="$Windows NT$"

[NewRequest]

Asunto = "CN=www.yourdomain.com, O=Su organización, L=Ciudad, S=Estado, C=País"

KeySpec = 1

Longitud de clave = 2048

Exportable = TRUE

MachineKeySet = TRUE

SMIME = FALSE

PrivateKeyArchive = FALSE

UsuarioProtegido = FALSE

UseExistingKeySet = FALSE

ProviderName = "Proveedor criptográfico Microsoft RSA SChannel"

TipoProveedor = 12

Tipo de solicitud = PKCS10

KeyUsage = 0xa0

[Extensiones]

2.5.29.17 = "{texto}"

_continue_ = "dns"

_continue_ = "dns.com"

• Ejecute el siguiente command en una sesión de símbolo del Command :

certreq -nuevo request.inf request.csr

Esto generará request.csr. Ahora puede enviar esta CSR para solicitar archivos de certificado firmados a una autoridad certificadora válida. Tras la validación necesaria del dominio y la empresa, la CA le proporcionará tres archivos: la clave privada, el archivo de certificado y el archivo de certificado intermedio, que se pueden utilizar para instalar SSL su servidor. Los archivos también se pueden consolidar en un único archivo PKCS#12.pfx, en el que se proporciona una contraseña para la instalación.

Certificado autofirmado Vs. Certificados firmados por CA

Aunque los certificados firmados por CA son la forma recomendada y fiable de implementar SSL, también puede utilizar certificados autofirmados si es necesario. Pero al hacerlo, aparecerán mensajes de advertencia en los navegadores, ya que no se considerará una fuente de confianza. 

Utilice certificados autofirmados cuando no maneje datos confidenciales o si su público objetivo es un grupo cerrado. Si gestionas un sitio de comercio electrónico o manejas un volumen de tráfico masivo, lo mejor son los certificados firmados por CA.

• Para crear un certificado autofirmado SSL , puede ejecutar el siguiente command en su entorno de servidor:

openssl x509 -signkey testsite.key -in testsite.csr -req -days 365 -out testsite.crt

• Este command genera un archivo de certificado llamado testsite.com.crt a partir de la entrada del archivo CSR. 

Configuración SSL

Configuración del certificado SSL en Linux

Si utiliza un entorno de servidor Linux, la instalación de un certificado SSL dependerá tanto del sistema operativo como del servidor que utilice.

Servidor web Apache

Después de obtener sus archivos de certificado de la Autoridad de Certificación (CA), usted debe tener:

• Un archivo de certificado (por ejemplo, ServerCertificate.crt)
• Un archivo de clave privada (por ejemplo, yoursite.key)
• Un archivo de cadena o paquete de certificados (por ejemplo, ChainBundle.crt)

La ubicación de sus archivos de configuración de Apache puede variar dependiendo de su distribución:

• Ubuntu/Debian: 

/etc/apache2/apache2.confossl.conf

• Red Hat/Alma Linux/CentOS

/etc/httpd/conf/httpd.confo/etc/httpd/conf.ssl.conf

You can include your certificate entries in the relevant <VirtualHost*:443> block:

<VirtualHost *:443>

    DocumentRoot /var/www/html

    Nombre del servidor testcertificates.com

    SSLEngine ON

    SSLCertificateFile /etc/apache/ssl.crt/ServerCertificate.crt

    SSLCertificateKeyFile /etc/apache/key.crt/yoursite.key

    SSLCertificateChainFile ssl.crt/ChainBundle.crt

</VirtualHost>

Para verificar la configuración:

sudo apachectl configtest

A continuación, reinicie Apache:

Ubuntu: sudo systemctl restart apache2

RHEL/Alma Linux: sudo systemctl restart httpd

Para el servidor web NGINX

Si utiliza NGINX (común en muchas distribuciones de Linux por razones de rendimiento), el proceso difiere ligeramente. NGINX requiere que el certificado y la cadena se combinen en un solo archivo:

• Combine su certificado y el paquete de CA:

cat CertificadoServidor.crt PaqueteCadena.crt > fullchain.pem

• Modifique el bloque de su servidor NGINX:

servidor {

    listen 443 ssl;

    nombre_servidor testcertificates.com;

    sslssl.pem;

    sslssl.key;

    root /var/www/html;

}

• Prueba la configuración:

sudo nginx -t

• Reinicie NGINX:

sudo systemctl restart nginx

Verificación

Una vez reiniciado el servidor, pruebe la instalación SSL visitando su sitio en varios navegadores y comprobando si aparece el icono del candado HTTPS. Si tiene problemas, vuelva a comprobar que los archivos del certificado coinciden con la clave privada y el dominio, y póngase en contacto con su CA si es necesario.

Configuración del certificado SSL en Windows

A continuación se indican los pasos para instalar certificados SSL en un Windows Server 2022 utilizando Microsoft IIS 10.

• Tenga a mano su certificado, clave privada y cadena de certificados o archivos agrupados. Puede obtenerlos de la CA de su dominio. Si es posible, obtenga todo esto en un único archivo PKCS#12.pfxpara facilitar la importación. Solo asegúrese de tener la contraseña correspondiente para la instalación. Si es necesario, puede utilizar OpenSSL para combinar los archivos en este formato con el siguiente command:

openssl pkcs12 -export -out combined.pfx -inkeyyoursite.key-inServerCertificate.crt-certfileChainBundle.crt

• Inicieel Administrador de IIShaciendo clic en el botónInicio, escribiendoiis yseleccionandoAdministrador de Internet Information Services (IIS). También puede pulsar latecla Windows + R, escribirinetmgry hacer clicen Aceptar. En el árboldel menú Conexionesdel panel izquierdo, haga doble clic en el nombre del servidor enPágina de inicio.
• En la página de inicio del nombre del servidor, en el panel central, en lasección IIS, haga doble clic enCertificados de servidor.

• En el menúAccionesdel panel derecho, haga clic enImportar….

• Busque y cargue su archivo.pfxde certificado. Introduzca la contraseña y cambie el Almacén de certificados dePersonalaAlojamiento web sitiene previsto cargar más de 30 certificados diferentes. Desmarque la casilla si no desea que el certificado se exporte del Almacén de certificados con la clave privada. Haga clic enAceptarpara guardar el SSL . Ahora debería estar disponible en laLista de certificados del servidor.
• Para vincular el certificado instalado a su sitio web, en el árbolde menús Conexiones, haga doble clicen Sitiosdebajo del nombre del servidor. En la página de iniciode Sitios, en el panel central, haga doble clic en el sitio al que desea vincular el SSL .
• En el panel derecho, en el menúAcciones, haga clic en Enlaces...y, a continuación, seleccione el botónAgregar...en laventana Enlaces del sitio.
• Define lo siguiente::
  • Tipo - HTTPS
  • Dirección IP - Todas sin asignar o seleccione una de las direcciones IP disponibles que se aplique correctamente al sitio.
  • Puerto como 443 (por defecto) o al puerto al que escucha su tráfico SSL
  • Certificados SSL : el nombre descriptivo del certificado SSL que se acaba de instalar.
•  Haga clic enVer pararevisar los detalles y, a continuación,en Aceptar parafinalizar la vinculación.

Pasos para renovar un certificado SSL

Como se mencionó anteriormente, cada SSL tiene una fecha de vencimiento, después de la cual los navegadores comenzarán a mostrar mensajes de advertencia cuando se acceda al sitio.Un SSL vencidoes una vulnerabilidad de seguridad que debe solucionarse a tiempo. Para evitar las complicaciones de seguridad y la posible baja puntuación de confianza de un SSL vencido, debe renovarlos a tiempo. 

El proceso es bastante similar al de obtener un nuevo certificado SSL . 

• Generar una CSR (solicitud de firma de certificado)
• Seleccione su certificado SSL e introduzca los datos necesarios, como el periodo de validez que necesita y otros detalles, y envíelo a la CA. 
• Obtendrá archivos de certificado renovados que podrá utilizar en su servidor. 
• Para renovar los certificados de SSL deberá realizar los mismos trámites que para obtener un nuevo certificado de SSL . Estos pueden ser la validación del dominio, la validación de la organización y otras verificaciones necesarias para el nivel de certificado que está solicitando a la CA.

Cómo crear un nuevo certificado autofirmado con el administrador de IIS en Windows y renovar un certificado de CA

• Inicie elAdministrador de IIShaciendo clic en el botónInicio, escribiendoiis yseleccionandoAdministrador de Internet Information Services (IIS). También puede pulsar latecla Windows + R, escribirinetmgry hacer clic enAceptar.
• En el árboldel menú Conexionesdel panel izquierdo, haga doble clic en el nombre del servidor enPágina de inicio.
• En la página de inicio del nombre del servidor, en el panel central, en lasección IIS, haga doble clic enCertificados de servidor.

En el menúAccionesdel panel derecho, haga clic enCrear certificado autofirmado...

• Defina un nombre descriptivo fácil de usar y cambie el almacén de certificados de«Personal»a«Alojamiento web» sitiene previsto cargar más de 30 certificados diferentes. Haga clic en«Aceptar».
• Estos pasos crean un certificado autofirmado que tiene una validez de un año y que se puede encontrar en lalistade certificados de servidor.En este punto, puede vincular el certificado a su sitio web tal y como se ha mencionado en los pasos anteriores.
• Como último paso, añada su certificado autofirmado a su archivo Autoridades de certificación raíz de confianza.
  • Abra laMMC (Consola de administración de Microsoft)escribiendoMMC enuna sesión Command .
  • Haga clic enArchivoy seleccione Agregar oquitar complemento...
  • Se le mostrará una lista de complementos. SeleccioneCertificadosen la lista y, a continuación, haga clic enAgregar >.
  • SeleccioneCuenta de ordenador y haga clic enSiguiente >Finalizar.
  • Haga clic enAceptar y volverá a la página de complementos.
  • Haga doble clic enCertificados (Equipo local)en el panel izquierdo. Haga doble clic y expanda el Almacén de certificados para ver el certificado autofirmado que acaba de crear enPersonal > Certificados. Copie el certificado autofirmado en lacarpeta Autoridades de certificación raíz de confianza > Certificados.

¿Cómo se eliminan los certificados digitales caducados?

Como ya se ha dicho, todos los certificados SSL tienen una fecha de caducidad, después de la cual se considerarán inválidos y los navegadores empezarán a lanzar advertencias de seguridad. Puede optar por renovar sus certificados SSL o eliminarlos y operar su sitio como un sitio HTTP normal sin la capa de seguridad añadida.

Estos son los pasos para eliminar un certificado digital caducado en sistemas Windows:

• Inicie la aplicación MMC yendo aInicio > Ejecutar > MMCy, a continuación, seleccione elcomplemento > Certificados.
• Seleccione el equipo local y expanda la carpetaCertificadosen eldirectorio Personal.
• Obtendrá una lista de certificados en el panel derecho. Haga clic con el botón derecho en el certificado que desea eliminar y seleccione eliminar.

En sistemas Linux Ubuntu, puede probar estos pasos o utilizar cualquier herramienta como el cPanel para gestionar los certificados de su servidor.

• Abra el terminal y ejecute el siguiente command

sudo dpkg-reconfigure ca-certificates

• Se le mostrará la lista de todos los certificados de la que puede deseleccionar las CA.
• Alternativamente, puede editar las listas de archivos CA almacenadas en el archivo /etc/ca-certificates.cong y ejecutar el siguiente command para actualizar los cambios

sudo update-ca-certificates

La ejecución de dpkg-reconfigure también restablecerá automáticamente los certificados.

¿Cómo desactivo SSL 2.0, SSL 3.0 y TLS 1.0?

Los protocolos TLS se mejoran continuamente para eliminar vulnerabilidades conocidas y reforzar la seguridad general. TLS 1.3, la versión más reciente y segura, no sólo elimina los algoritmos criptográficos obsoletos, sino que sienta las bases para integrar la criptografía poscuántica en un futuro próximo. Seguir utilizando versiones antiguas como SSL 2.0, SSL 3.0 o incluso TLS 1.0 y 1.1 plantea graves riesgos de seguridad, ya que estos protocolos ya no se consideran seguros frente a las amenazas modernas.

Para mantener un cifrado fuerte y la protección de datos a largo plazo, desactive todas las versiones SSL y TLS heredadas y adopte TLS 1.3 siempre que sea posible:

Desactivación de versiones anteriores de SSL en el servidor Apache

Cambie los ajustes de configuración de su servidor Apache. El archivo config puede estar presente en diferentes ubicaciones, como se indica a continuación. Localícelo:

• Ubuntu/Debian: /etc/apache2/apache2.conf
• En sistemas host virtuales debian/Ubuntu :/etc/apache2/sites-enabled/
• En el host virtual Red Hat/CentOS: /etc/httpd/sites-enabled/
• Sistemas CentOS/Redhat : /etc/httpd/conf/httpd.conf

Una vez localizado el archivo, busque la entrada "SSLProtocol" y cámbiela por

SSLProtocolo todos -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

• Reinicie el servidor apache
• service httpd restart o
• service apache2 restart

Del mismo modo, para los servidores Nginx o TOMCAT, modifique el archivo de configuración. Cambie la entrada ssl_protocols por la última versión de TLS y reinicie el servidor.

Para desactivar las versiones anteriores de SSL en Windows, puede utilizar una herramienta como la herramienta criptográfica de IIS para modificar las versiones de SSL a través de una aplicación GUI. Para hacer lo mismo manualmente, siga los siguientes pasos

Abre el editor del Registro enInicio > Ejecutar > regedit.

Busque la siguiente clave/carpeta del registro:

• Si aparece SSL .0 en la lista, haga clic con el botón derecho del ratón sobre él y seleccioneNuevo-> Clavey cree una nueva carpeta llamada Servidor.
• En la carpetaServidor, haga clic enEditar > Nuevo > DWORD(valor de 32 bits)
• Introduzca«Enabled»y pulse Intro. La columna de datos debería tener el valor 0; si no es así, haga clic con el botón derecho y establézcalo en cero.

Del mismo modo, repita los pasos para desactivar SSL3.0 y reinicie el ordenador para reflejar los cambios.

Ventajas de la automatización de certificados TLS

Automatizar la gestión de certificados TLS es esencial para mantener una presencia en línea segura y fiable. Aproveche la automatización para supervisar y actualizar eficazmente todos sus certificados digitales:

• Reduzca los errores manuales y los gastos de mano de obra, disminuyendo la probabilidad de errores y liberando valiosos recursos informáticos.
• Prevenga costosos contratiempos con los certificados TLS y evite las trampas del tiempo de inactividad.
• Adhiérase sin problemas a los últimos protocolos de seguridad y manténgase al día de las normas vigentes.

Un componente clave para lograr una automatización eficaz de los certificados es el protocoloACME (Automated Certificate Management Environment, entorno de gestión automatizada de certificados). ACME facilita la emisión, renovación y revocación automáticas de certificados al optimizar las interacciones entre su servidor web y las autoridades de certificación (CA). Desarrollado originalmente para Let’s Encrypt, ACME ahora es ampliamente compatible con diversas CA y proveedores de PKI. La implementación de ACME puede mejorar significativamente la capacidad de su organización para gestionar certificados de forma eficiente y segura.Consulte nuestra guía paso a paso para obtener más información sobre ACME aquí.

Como puede ver, es esencial comprobar un TLS , asegurarse de que está verificado y eliminarlo cuando haya caducado. Sin embargo, el proceso que esto implica es engorroso y requiere conocimientos técnicos. Ya no es así.Las soluciones de gestión y automatización de certificados Keyfactorestán aquí para ayudarle.

Póngase en contacto con nosotros para obtener más información y explorar las útiles funciones de Keyfactor.