Un certificado SSL es un archivo digital que permite establecer una conexión cifrada entre el navegador del usuario y el servidor web, garantizando que los datos transmitidos no puedan ser interceptados ni modificados por terceros. Los certificados SSL se clasifican de dos formas independientes: por el nivel de validación (qué verifica la autoridad certificadora antes de emitirlo) y por el número de dominios que cubre. Elegir el tipo correcto depende del tipo de proyecto, del nivel de confianza que quieres transmitir y del uso que vayas a hacer de subdominios.
¿Por qué necesitas un certificado SSL?
Los certificados SSL tienen implicaciones en tres áreas distintas que conviene entender por separado:
Seguridad y privacidad
Sin SSL, los datos que viajan entre el navegador del usuario y el servidor lo hacen en texto plano. Cualquier nodo intermedio de la red —un router comprometido, una red WiFi pública— puede leer o modificar esa información. Con SSL/TLS, la comunicación va cifrada: aunque se intercepte, no es legible sin la clave privada del servidor.
SEO y posicionamiento en Google
Google confirmó HTTPS como señal de ranking en 2014 y ha aumentado su peso de forma progresiva. En la práctica, la ausencia de certificado SSL no impide aparecer en Google, pero penaliza la posición relativa frente a webs equivalentes que sí lo tienen. Adicionalmente, Google Chrome y otros navegadores muestran avisos de "No seguro" en webs HTTP, lo que reduce la confianza del usuario y puede aumentar la tasa de rebote.
Requisito normativo y de pasarelas de pago
El estándar PCI-DSS, obligatorio para cualquier web que procese pagos con tarjeta, exige HTTPS con TLS 1.2 como mínimo. El RGPD europeo también exige que los datos personales viajen cifrados. Independientemente del tipo de certificado elegido, HTTPS no es opcional en webs con formularios, áreas de usuario o transacciones.
Clasificación por nivel de validación: DV, OV y EV
El nivel de validación determina qué verifica la Autoridad Certificadora (CA) antes de emitir el certificado. A mayor validación, mayor tiempo de emisión, mayor coste y mayor nivel de confianza demostrable.
|
Tipo |
Qué valida
la CA |
Tiempo de
emisión |
Para quién |
|
DV (Domain
Validation) |
Que controlas
el dominio. Nada más: no verifica quién eres ni que seas una empresa. |
Minutos a
pocas horas |
Blogs, webs
personales, proyectos web básicos, webs corporativas sencillas. |
|
OV
(Organization Validation) |
Que controlas
el dominio y que la organización indicada existe y está registrada
legalmente. |
1 a 5 días
laborables |
Webs
corporativas, intranets, plataformas profesionales, servicios B2B. |
|
EV (Extended
Validation) |
Validación
exhaustiva: dominio, empresa, datos registrales, persona autorizada, llamada
de verificación. |
1 a 3 semanas |
Banca online,
grandes tiendas online, instituciones con alta exigencia de confianza. |
DV — Validación de Dominio
El certificado DV es el tipo más común en internet. La Autoridad Certificadora solo verifica que la persona que solicita el certificado tiene control sobre el dominio, habitualmente mediante un archivo en el servidor o un registro DNS. No se comprueba la identidad del solicitante.
El certificado resultante permite HTTPS y muestra el icono de conexión segura en el navegador, pero si el visitante consulta los detalles del certificado, en el campo "Sujeto" solo verá el nombre del dominio —ningún dato de la empresa o persona propietaria.
|
💡
Cuándo es suficiente un DV: Para la mayoría de sitios web que no realizan transacciones
sensibles ni manejan datos personales de forma intensiva, un certificado DV
es perfectamente adecuado. También es el tipo que emite Let's Encrypt. |
OV — Validación de Organización
El certificado OV incluye, además de la validación del dominio, la verificación de la organización: razón social, número de registro mercantil, dirección y, en algunos casos, verificación telefónica. Esta información queda incluida en el certificado y es visible para cualquier usuario que consulte sus detalles.
La diferencia práctica respecto al DV es que un certificado OV permite al visitante verificar que la web pertenece a una empresa concreta y registrada, lo que aporta un nivel adicional de confianza en contextos B2B o profesionales.
EV — Validación Extendida
El certificado EV requiere el proceso de validación más exhaustivo: comprobación de la existencia legal de la empresa, verificación de la persona autorizada para solicitar el certificado, confirmación de la dirección física y, generalmente, una llamada de verificación. Puede tardar hasta varias semanas en emitirse.
Históricamente, los certificados EV mostraban el nombre de la empresa en la barra de direcciones del navegador. Los navegadores modernos (Chrome desde 2019, Firefox desde 2019) eliminaron esta visualización especial. El EV sigue siendo el nivel más alto de validación disponible, pero su ventaja visual ya no es la que era.
Clasificación por dominios cubiertos
Independientemente del nivel de validación, los certificados también se clasifican por cuántos dominios y subdominios cubren. Es importante elegir correctamente este parámetro porque afecta directamente al coste y a la flexibilidad del certificado.
Certificado de único dominio
Cubre exactamente un dominio. La mayoría de las autoridades certificadoras incluyen también la variante con www como alternativa, de modo que un certificado para ejemplo.com también cubre www.ejemplo.com.
No cubre ningún subdominio adicional (blog.ejemplo.com, tienda.ejemplo.com, etc.).
Certificado Wildcard
Cubre el dominio base y todos sus subdominios de primer nivel. Se representa con un asterisco en la posición del subdominio:
|
Ejemplo de
cobertura Wildcard para *.ejemplo.com: ejemplo.com · www.ejemplo.com · blog.ejemplo.com ·
tienda.ejemplo.com · api.ejemplo.com — cualquier *.ejemplo.com. |
Lo que no cubre un Wildcard son los subdominios de segundo nivel (multinivel): hola.blog.ejemplo.com no quedaría cubierto por *.ejemplo.com. Para cubrir ese subdominio sería necesario un certificado específico para *.blog.ejemplo.com o un certificado multidominio.
El Wildcard es especialmente útil cuando tienes o prevés tener múltiples subdominios, ya que un único certificado cubre todas las variaciones sin necesidad de gestionar varios por separado.
Certificado multidominio (SAN)
Los certificados multidominio, también llamados SAN (Subject Alternative Names), permiten incluir en un único certificado varios dominios completamente distintos y sus subdominios específicos.
|
Ejemplo de
cobertura multidominio: ejemplo.com
· mipagina.net · mail.mipagina.net · otroejemplo.es — dominios completamente
diferentes en un solo certificado. |
Habitualmente tienen un límite de dominios por certificado (típicamente 100 SANs como máximo). No permiten comodines en la mayoría de implementaciones, aunque algunos proveedores ofrecen certificados Wildcard + SAN que combinan ambas funcionalidades.
Matriz de combinaciones: validación × dominios
Los dos ejes de clasificación son independientes: cualquier nivel de validación puede combinarse con cualquier tipo de cobertura de dominios. En la práctica, no todas las combinaciones son habituales:
|
|
Único
dominio |
Wildcard /
Multidominio |
|
DV |
Muy común. El
más básico y económico. Incluye Let's Encrypt. |
Common. Let's
Encrypt emite Wildcard DV. Ideal para infraestructuras con múltiples
subdominios. |
|
OV |
Habitual en
webs corporativas y profesionales. |
Disponible,
aunque menos frecuente. Para organizaciones con muchos subdominios
verificados. |
|
EV |
El caso más
típico de EV. Generalmente de único dominio. |
Existen
multidominio EV, aunque son raros y muy costosos. |
Let's Encrypt y los certificados gratuitos
Let's Encrypt es una Autoridad Certificadora sin ánimo de lucro, respaldada por organizaciones como la Electronic Frontier Foundation, Mozilla y Google, que emite certificados DV de forma gratuita y completamente automatizada. Es el certificado más utilizado en internet y cubre actualmente más de 400 millones de sitios web activos.
¿En qué se diferencia Let's Encrypt de un certificado comercial?
|
Característica |
Let's
Encrypt |
|
Coste |
Gratuito |
|
Tipo de
validación |
Solo DV (no
emite OV ni EV) |
|
Duración del
certificado |
90 días
(renovación automática mediante el protocolo ACME) |
|
Garantía
económica |
No incluye
garantía de seguro por daños a terceros |
|
Soporte
técnico |
Solo
comunidad y documentación. No hay soporte directo. |
|
Wildcard |
Disponible
mediante el método de validación DNS-01 |
|
Compatibilidad |
Compatible
con todos los navegadores modernos y la gran mayoría de clientes |
La renovación automática cada 90 días es característica de diseño: promueve la automatización y reduce el riesgo de que un certificado caduque por olvido. Cuando Certbot (el cliente ACME más común) está bien configurado, la renovación ocurre sin intervención manual.
¿Cuándo es preferible un certificado comercial?
Let's Encrypt cubre las necesidades de la mayoría de proyectos web. Hay casos específicos donde un certificado comercial aporta ventajas concretas:
• Validación OV o EV: Let's Encrypt solo emite DV. Si necesitas que el certificado refleje la identidad verificada de tu organización, necesitas un certificado comercial OV o EV.
• Garantía de responsabilidad civil: Los certificados comerciales de pago incluyen un seguro que cubre daños a terceros en caso de emisión incorrecta por parte de la CA. Esta garantía puede ser relevante para entornos con alta exposición legal.
• Soporte técnico directo: Si necesitas asistencia para la configuración o tienes problemas con el certificado, los proveedores comerciales ofrecen soporte. Let's Encrypt no.
• Integraciones específicas: Aunque la compatibilidad de Let's Encrypt es muy amplia, algunos entornos legacy o appliances de red antiguos tienen limitaciones con certificados de esta CA. Conviene verificar la compatibilidad antes de implantar en infraestructuras heterogéneas.
La recomendación de sys4net es valorar cada proyecto por sus características concretas: para la mayoría de webs profesionales, un certificado DV comercial o Let's Encrypt correctamente configurado es suficiente. Para webs que realizan transacciones financieras, manejan datos sensibles o necesitan acreditar formalmente la identidad de la organización, un OV o EV aporta un nivel de garantía adicional.
Certificados SSL en sys4net
En sys4net gestionamos certificados SSL tanto de la entidad certificadora COMODO (Sectigo) como de Let's Encrypt, integrado en nuestros paneles de hosting con renovación automática.
|
Certificado |
Descripción |
|
Let's Encrypt
(incluido) |
Certificado
DV gratuito con renovación automática. Incluido en todos los planes de
hosting. Activación inmediata desde el panel Plesk. |
|
COMODO
Starter |
Certificado
DV comercial de único dominio. Incluye garantía de responsabilidad civil. IP
dedicada incluida. |
|
COMODO
Wildcard |
Certificado
DV Wildcard. Cubre el dominio y todos sus subdominios de primer nivel. IP
dedicada incluida. |
La instalación es gratuita en todos los casos e incluye IP dedicada en los certificados comerciales. Si tienes dudas sobre qué tipo de certificado se ajusta mejor a tu proyecto, podemos orientarte antes de la compra.
Preguntas frecuentes sobre certificados SSL
❓ ¿Qué es un certificado SSL?
Un certificado SSL es un archivo digital que permite establecer una conexión cifrada (HTTPS) entre el navegador del usuario y el servidor web. Garantiza que los datos transmitidos no puedan ser leídos ni modificados por terceros. También identifica al servidor: el navegador puede verificar que está hablando con el servidor correcto y no con un impostor.
❓ ¿Cuál es la diferencia entre DV, OV y EV?
La diferencia está en qué verifica la Autoridad Certificadora antes de emitir el certificado. DV solo verifica que controlas el dominio — es el más rápido y económico. OV verifica además la identidad de la organización: nombre legal, número de registro, país. EV aplica la validación más exhaustiva, incluyendo verificación de la persona autorizada y comprobaciones adicionales. A mayor nivel de validación, mayor coste y tiempo de emisión.
❓ ¿Qué es un certificado Wildcard?
Un certificado Wildcard cubre el dominio base y todos sus subdominios de un solo nivel. Un certificado para *.ejemplo.com cubre ejemplo.com, www.ejemplo.com, blog.ejemplo.com, tienda.ejemplo.com, etc. No cubre subdominios multinivel como hola.blog.ejemplo.com — para eso se necesitaría un certificado *.blog.ejemplo.com o uno multidominio.
❓ ¿Cuándo usar un certificado multidominio en lugar de Wildcard?
Un Wildcard cubre todos los subdominios de un dominio concreto. Un multidominio (SAN) cubre varios dominios completamente diferentes en un único certificado. Si tienes ejemplo.com, mipagina.net y otrodominio.es y necesitas HTTPS para todos, necesitas un multidominio — un Wildcard no puede cubrirlos porque son dominios distintos.
❓ ¿Es fiable Let's Encrypt?
Sí. Let's Encrypt es una CA reconocida y de confianza, respaldada por Mozilla, Google, Cisco y la Electronic Frontier Foundation. Los certificados que emite son técnicamente equivalentes a los DV comerciales en cuanto a nivel de cifrado. Las diferencias respecto a los certificados comerciales son: no emite OV ni EV, no incluye garantía de responsabilidad civil y el soporte es solo comunitario. Para la mayoría de webs profesionales, Let's Encrypt correctamente configurado es una opción completamente válida.
❓ ¿Un certificado SSL hace mi web más segura frente a hackeos?
Un certificado SSL protege los datos en tránsito entre el navegador del usuario y el servidor, pero no protege el servidor de ataques directos. Un certificado SSL no previene inyecciones SQL, vulnerabilidades en el código de la aplicación, accesos no autorizados al servidor ni ningún otro tipo de ataque que no implique la interceptación del tráfico de red. La seguridad de la web requiere medidas adicionales: actualizaciones, gestión correcta de contraseñas, configuración del servidor, etc.
❓ ¿Qué pasa si mi certificado SSL caduca?
Si el certificado caduca, el navegador del usuario mostrará un aviso de error de seguridad ("Tu conexión no es privada" en Chrome, "Advertencia: Riesgo potencial de seguridad" en Firefox) y bloqueará el acceso a la web por defecto. Esto genera una caída inmediata del tráfico. Los certificados Let's Encrypt duran 90 días y se renuevan automáticamente si el cliente ACME está configurado correctamente. Los certificados comerciales duran 1 año y deben renovarse manualmente o mediante automatización.
❓ ¿Necesito una IP dedicada para tener SSL?
No necesariamente. La extensión SNI (Server Name Indication) permite servir múltiples certificados SSL desde una misma IP, y es compatible con todos los navegadores modernos. Algunos escenarios específicos siguen requiriendo IP dedicada: sistemas operativos muy antiguos sin soporte SNI, ciertos appliances de red o configuraciones de balanceadores de carga heredados. En la práctica, la necesidad de IP dedicada para SSL es cada vez más excepcional.
|
📌 ¿Tienes
dudas sobre qué tipo de certificado SSL necesitas para tu proyecto? En
sys4net podemos orientarte. Consulta nuestros certificados disponibles en
sys4net.com. |
