ToolActToolAct

Verificador de Certificado SSL

Verifica la validez del certificado SSL/TLS, fecha de vencimiento y cadena de certificados en línea

Ingresa un nombre de dominio y haz clic en "Verificar" para ver la información del certificado SSL

¿Qué es el Verificador de Certificado SSL?

El comprobador de certificados SSL revisa si el certificado TLS de un sitio web es válido, coincide con el dominio solicitado, tiene una cadena correcta y no está cerca de caducar. Esto importa porque HTTPS no es solo un candado en el navegador: afecta el transporte cifrado, la identidad del servidor, la confianza del usuario, SEO, pagos, integraciones API y clientes automatizados. La herramienta es útil en operaciones, despliegues, auditorías de seguridad y análisis de incidentes, ya que muestra fechas, emisor, nombres cubiertos, cadena de certificados y señales del protocolo. Los problemas habituales incluyen renovaciones olvidadas, intermediarios ausentes, subdominios no cubiertos o certificados instalados en el entorno equivocado.

Cómo usar

Cómo usar

  1. Introduce el nombre de dominio que quieres comprobar (por ejemplo, google.com)
  2. El puerto por defecto es 443. Cámbialo si tu configuración lo requiere
  3. Haz clic en el botón 'Verificar' o pulsa Enter para iniciar la comprobación
  4. Consulta la validez del certificado, la fecha de caducidad, la versión del protocolo TLS y otros datos
  5. Amplía la cadena de certificados para ver información detallada de cada uno: emisor, algoritmo de firma, SAN, etc.

Consejos sobre certificados

  • Comprueba el nombre de host exacto que visitan los usuarios, incluidos los subdominios, ya que un certificado puede ser válido para un nombre y no coincidir con otro.
  • Ejecuta comprobaciones tras cambios en DNS, CDN, balanceadores o renovaciones: la cadena de certificados puede variar entre entornos aunque el dominio sea el mismo.

Casos de uso

Comprobar el estado del certificado HTTPS desde el backendIntroduce un dominio y un puerto para ejecutar una verificación firmada del certificado SSL a través de la API de red. Solo se contacta con el host:puerto que has indicado, y no se accede a otros endpoints ni hosts ajenos durante la sonda. El resultado informa del éxito del handshake, el protocolo, la suite de cifrado, la validez general, el estado de vencimiento, los días restantes y la coincidencia de dominio.
Inspeccionar la cadena de certificadosCuando el handshake tiene éxito, expande cada certificado para ver el sujeto, emisor, número de serie, algoritmo de firma, fechas de validez, entradas SAN e insignias de autofirmado o vencido. Esto es útil para diagnosticar cadenas intermedias rotas, identificar qué CA emitió realmente el certificado hoja y detectar un certificado incorrecto desplegado por error.
Detectar problemas de renovación y nombre de host a tiempoEl banner de estado resalta certificados no válidos, vencidos, a punto de vencer y desajustes de dominio. Resulta útil antes de cambios de DNS, migraciones de CDN, modificaciones de balanceadores y comprobaciones rutinarias de renovación. Compara la cuenta atrás de vencimiento con la ventana de tu automatización de renovación (90 días para Let's Encrypt, 1 a 3 años para certificados comerciales) antes de que el navegador muestre la advertencia.
Verificar la cobertura SAN durante migraciones de subdominiosTras el handshake, la lista de SAN muestra cada nombre de host para el que el certificado es válido. Compárala con tu inventario de subdominios antes de cambiar el DNS a un nuevo host, ya que un certificado comodín puede no cubrir hosts de staging internos o subdominios regionales, y un SAN multidominio puede haber perdido una entrada durante la reemisión. Los navegadores modernos ignoran el campo CN legacy para la coincidencia de nombre de host y dependen únicamente de la extensión SAN, por lo que un certificado con CN correcto pero SAN ausente seguirá provocando un error de desajuste de dominio en Chrome, Firefox y Safari aunque verificadores antiguos puedan reportarlo como válido.
Validar la cadena intermedia tras una migración de CAAl cambiar de Autoridad Certificadora o mover a un nuevo origen, expande cada certificado de la cadena para inspeccionar el emisor, el algoritmo de firma (por ejemplo, SHA-1 frente a SHA-256) y las fechas de validez. Un paquete intermedio incompleto es una causa frecuente de fallos de handshake en Linux pero no en macOS, así que verifica el paquete desde la misma clase de cliente que usarán tus usuarios. La cadena debe estar ordenada hoja -> intermedio(s) -> raíz, y las raíces no necesitan enviarse por la red porque están integradas en el almacén de confianza del cliente; OCSP stapling, cuando está habilitado, adjunta un objeto de estado de revocación fresco al handshake TLS para que el cliente no tenga que llamar al respondedor OCSP de la CA por su cuenta.

Principio técnico

Los certificados SSL/TLS siguen el estándar X.509. Cada certificado contiene estos campos clave: Subject (el dominio u organización del titular), Issuer (la CA emisora), Validity (fechas de Not Before / Not After), Subject Public Key Info (clave pública y algoritmo), Signature Algorithm (como SHA256-RSA o ECDSA-SHA256) y extensiones X509v3 (de las cuales la más importante es la extensión Subject Alternative Name). Durante el handshake TLS, el servidor envía su cadena en orden: certificado hoja -> certificado(s) intermedio(s) -> certificado raíz (que está integrado en el navegador y no necesita enviarse). El cliente comienza desde la hoja, verifica en cada nivel que el Issuer coincida con el Subject del padre, usa la clave pública del padre para verificar la firma del hijo, comprueba la ventana de validez y finalmente rastrea hasta una raíz de confianza. Let's Encrypt emite certificados válidos por solo 90 días, diseñados para usarse con automatización como certbot; los certificados comerciales suelen durar de 1 a 3 años. SNI (Server Name Indication) permite que una sola IP aloje múltiples sitios HTTPS: el cliente envía primero la extensión SNI durante el handshake para indicar al servidor el nombre de host objetivo, y el servidor devuelve el certificado correspondiente. OCSP (Online Certificate Status Protocol) permite consultas en tiempo real sobre si un certificado ha sido revocado, evitando la necesidad de descargar voluminosas listas CRL.

  • Campos del certificado X.509: Subject (titular), Issuer, Validity, Public Key, Signature Algorithm y la extensión SAN
  • Validación de la cadena de certificados: comienza en la hoja, verifica la coincidencia Issuer -> Subject nivel por nivel, verifica la firma del hijo con la clave pública del padre y finalmente rastrea hasta una raíz de confianza
  • Los certificados de Let's Encrypt tienen una validez predeterminada de 90 días, combinados con certbot y herramientas similares para renovación automática; los certificados comerciales suelen durar de 1 a 3 años
  • SNI (Server Name Indication) permite que una sola IP aloje múltiples sitios HTTPS; el cliente declara el nombre de host objetivo durante el handshake y recibe el certificado correspondiente
  • OCSP se usa para comprobaciones de revocación en tiempo real, evitando la descarga de voluminosos CRL; las CA principales también implementan OCSP Stapling
  • Los certificados caducados, algoritmos de firma débiles (SHA-1) y longitudes de clave insuficientes (RSA por debajo de 2048 bits) activan las advertencias de seguridad de los navegadores modernos

Ejemplos

Verificar el certificado de GitHub

github.com — emisor DigiCert TLS Hybrid ECC SHA384, 67 días restantes, protocolo TLS 1.3, SAN incluye github.com y *.github.com

Verificar el certificado de Google

google.com — emisor WR2 (Google Trust Services), 84 días restantes, SAN incluye *.google.com y google.com

Verificar tu propio certificado

blog.example.com — emisor Let's Encrypt R10, 23 días restantes (renovar pronto), algoritmo de firma ECDSA-SHA256

Preguntas frecuentes

¿Qué muestra la comprobación del certificado?

La cadena de certificados completa (hoja, intermedios y raíz), las fechas de validez, la CA emisora, el Common Name del sujeto y los Subject Alternative Names, el algoritmo de firma, el tipo y tamaño de la clave pública, el número de serie del certificado y si la cadena enlaza con una raíz de confianza. Nuestro backend se conecta al host por el puerto 443 e informa de la cadena que ve.

¿Puedo comprobar certificados en puertos distintos del 443?

Sí: indica host:puerto (por ejemplo example.com:8443). Algunas versiones también comprueban IMAP (993), SMTP (465/587), POP3 (995) y otros puertos TLS. El protocolo debe usar TLS plano o un STARTTLS compatible con la página.

¿Qué significa 'caduca en N días'?

La fecha notAfter del certificado. A partir de esa fecha, los navegadores modernos se niegan a cargar el sitio. Configura la renovación automática al menos 30 días antes de la caducidad. Los certificados de Let's Encrypt duran 90 días: la mayoría de operadores los renuevan automáticamente a los 60 días.

¿Por qué mi certificado parece válido aquí pero falla en los navegadores?

Causas habituales: el orden de la cadena es incorrecto (el servidor envía los intermedios en mal orden); falta un intermedio (el servidor solo manda la hoja); la raíz no está en el almacén de confianza del navegador (CA privada o gubernamental no incluida); discrepancia de SNI (el servidor devuelve un certificado distinto al de tu hostname). La página suele señalar cada uno de estos casos.

¿Qué diferencia hay entre certificados DV, OV y EV?

Domain Validation (DV): solo se verifica el control del dominio. Organization Validation (OV): se verifica también la existencia de la empresa. Extended Validation (EV): comprobación empresarial más exhaustiva. Los navegadores modernos los muestran a los tres igual (con un candado); EV ya no activa la barra verde en la mayoría de navegadores desde 2019.

¿Puedo comprobar un certificado autofirmado o de una CA privada?

Sí. La página muestra el certificado pero lo marca como 'no fiable' porque la CA no está en el almacén raíz público. Útil para inspeccionar tus propios certificados corporativos o de pruebas.

¿Quedan expuestos los datos del host?

La comprobación se conecta desde nuestro backend al host por el puerto 443, igual que cualquier cliente TLS. El host registra esa conexión. No la uses contra hosts que prohíban escaneos externos.