¿Hablamos?

Certificado SSL/TLS: qué es, qué protege y qué tipo elegir

Un certificado SSL (técnicamente TLS desde hace años, aunque la industria sigue usando «SSL» por costumbre) es la pieza que hace que el navegador muestre el candado y que tu web sirva por https://. Sin él, los datos viajan en texto plano entre el navegador y el servidor.

Hoy no tener SSL es directamente un problema: Chrome marca el sitio como «No seguro», Google penaliza en SEO, las pasarelas de pago lo exigen y los gestores de contraseñas avisan al usuario. Esta guía explica los tipos disponibles y cómo decidir qué usar.

Qué protege un certificado SSL/TLS

  • Confidencialidad: cifra los datos en tránsito entre cliente y servidor. Nadie en el camino (Wi-Fi público, proveedor de internet, atacante en medio) puede leer el contenido.
  • Integridad: detecta si los datos han sido manipulados en tránsito.
  • Autenticidad: garantiza que el servidor al que te conectas es realmente el dueño del dominio (no un atacante haciéndose pasar por él).

Lo que NO protege: vulnerabilidades de la aplicación (SQLi, XSS), el servidor en sí, ni la base de datos. SSL/TLS es transporte; el resto sigue siendo responsabilidad tuya.

Tipos de certificado SSL

DV (Domain Validation) — el más común

Verifica solo que controlas el dominio (por DNS o por colocar un archivo de validación). Se emite en minutos. Let’s Encrypt y la mayoría de SSL «gratis» caen aquí. Es suficiente para el 95% de webs corporativas, ecommerce de tamaño pequeño-mediano y aplicaciones SaaS.

OV (Organization Validation) — verifica la organización

Además del dominio, valida que tu organización existe legalmente (Registro Mercantil, CIF). Lo emite una autoridad certificadora previo pago y trámite (días, no minutos). El navegador muestra el certificado normal (candado), pero al inspeccionarlo aparece la empresa.

Útil para webs corporativas que quieren transmitir formalidad ante usuarios técnicos que revisan el certificado.

EV (Extended Validation) — la barra verde clásica

Validación más estricta de la organización. Hace años mostraba la barra verde con el nombre de la empresa en el navegador. Los navegadores eliminaron esa barra hace tiempo: hoy un EV se ve igual que un DV. Sigue existiendo pero su valor visual es nulo y su coste mucho mayor.

Solo tiene sentido en casos muy específicos (banca, requisitos de cumplimiento).

Wildcard, multi-dominio (SAN)

  • Wildcard (*.dominio.com): protege todos los subdominios con un único certificado. Útil cuando hay muchos subdominios cambiantes.
  • SAN/Multi-dominio: protege varios dominios distintos en un solo certificado. Útil si gestionas varias marcas con la misma infraestructura.

Let’s Encrypt vs certificados comerciales

Let’s Encrypt es una autoridad certificadora gratuita que emite DV con certificados válidos por 90 días, renovables automáticamente (con certbot o el cliente que use tu hosting). Ventajas:

  • Gratis.
  • Renovación automática estándar.
  • Integrado en la mayoría de paneles de hosting (cPanel, Plesk, CyberPanel) y en plataformas cloud.
  • Aceptado por todos los navegadores modernos.

¿Cuándo pagar por un certificado comercial?

  • Necesitas OV/EV por requisito de cumplimiento.
  • Necesitas wildcard de larga duración con garantía contractual de la CA.
  • Tienes equipos legacy que no aceptan automatización Let’s Encrypt.
  • Quieres SLA y soporte de la autoridad emisora.

Para la mayoría de webs corporativas, Let’s Encrypt cubre el caso.

Qué pasa si no tienes SSL en 2026

  • Aviso del navegador: Chrome, Firefox y Safari muestran «No seguro» en la barra de direcciones. Impacto en conversión inmediato.
  • SEO penalizado: Google factoriza HTTPS desde 2014. Sin él pierdes posiciones.
  • Pasarelas de pago no aceptan: Stripe, Redsys, PayPal no procesan checkout sin HTTPS.
  • Cumplimiento RGPD: el tratamiento de datos personales sin transporte cifrado es un incumplimiento.
  • Pérdida de confianza: ningún usuario con un mínimo de criterio introduce datos en una web sin candado.

Buenas prácticas

  • TLS 1.2 mínimo, idealmente 1.3. TLS 1.0 y 1.1 están deprecated y los navegadores los rechazan.
  • HSTS habilitado (Strict-Transport-Security) para forzar HTTPS en visitas futuras.
  • Redirect 301 de HTTP a HTTPS en el servidor web (Nginx, Apache) o en el CDN.
  • Calificación SSL Labs mínimo A. Si tu config es B o inferior, hay cosas que ajustar (cifrados débiles habilitados, falta de OCSP stapling, etc.).
  • Renovación automatizada, sin excepciones. Un SSL caducado es una caída.

Preguntas frecuentes

¿Es seguro usar un certificado SSL gratuito como Let’s Encrypt?

Sí. Let’s Encrypt emite certificados DV con el mismo cifrado y el mismo nivel de confianza en el navegador que un comercial; lo aceptan todos los navegadores modernos. Cubre el caso del 95% de webs corporativas, ecommerce pequeño-mediano y SaaS. Solo necesitas pagar si requieres OV/EV por cumplimiento o un SLA contractual de la autoridad emisora.

¿Qué diferencia hay entre certificados DV, OV y EV?

DV valida solo que controlas el dominio y se emite en minutos. OV valida además que tu organización existe legalmente (CIF, Registro Mercantil). EV es la validación más estricta, pero los navegadores eliminaron hace años la barra verde, así que hoy se ve igual que un DV: su valor visual es nulo y solo tiene sentido en banca o por requisito de cumplimiento.

¿Necesito un certificado wildcard?

Solo si gestionas muchos subdominios cambiantes (app., api., panel., etc.) bajo un mismo dominio: un wildcard *.dominio.com los cubre todos con un certificado. Si lo que tienes son dominios distintos, lo que necesitas es un certificado multi-dominio (SAN). Para una web con uno o dos subdominios fijos no compensa.

¿Qué pasa si mi certificado SSL caduca o no lo tengo?

Un SSL caducado equivale a una caída: el navegador bloquea el acceso con una alerta de seguridad. Sin SSL en absoluto, Chrome marca el sitio como «No seguro», Google penaliza el SEO, las pasarelas de pago (Stripe, Redsys, PayPal) rechazan el checkout y el tratamiento de datos personales incumple el RGPD. Por eso la renovación debe estar automatizada, sin excepciones.

¿Te ayudamos con el SSL y la seguridad del servidor?

En Elimática configuramos certificados SSL/TLS, automatizamos renovaciones, securizamos servidores web y auditamos la postura de seguridad completa.

Servidores gestionados | Diagnóstico gratuito.