Verificador de Certificado SSL
Verifica la validez del certificado SSL/TLS, fecha de vencimiento y cadena de certificados en línea
Ingresa un nombre de dominio y haz clic en "Verificar" para ver la información del certificado SSL
¿Qué es el Verificador de Certificado SSL?
El comprobador de certificados SSL revisa si el certificado TLS de un sitio web es válido, coincide con el dominio solicitado, tiene una cadena correcta y no está cerca de caducar. Esto importa porque HTTPS no es solo un candado en el navegador: afecta el transporte cifrado, la identidad del servidor, la confianza del usuario, SEO, pagos, integraciones API y clientes automatizados. La herramienta es útil en operaciones, despliegues, auditorías de seguridad y análisis de incidentes, ya que muestra fechas, emisor, nombres cubiertos, cadena de certificados y señales del protocolo. Los problemas habituales incluyen renovaciones olvidadas, intermediarios ausentes, subdominios no cubiertos o certificados instalados en el entorno equivocado.
Cómo usar
Cómo usar
- Introduce el nombre de dominio que quieres comprobar (por ejemplo, google.com)
- El puerto por defecto es 443. Cámbialo si tu configuración lo requiere
- Haz clic en el botón 'Verificar' o pulsa Enter para iniciar la comprobación
- Consulta la validez del certificado, la fecha de caducidad, la versión del protocolo TLS y otros datos
- Amplía la cadena de certificados para ver información detallada de cada uno: emisor, algoritmo de firma, SAN, etc.
Consejos sobre certificados
- Comprueba el nombre de host exacto que visitan los usuarios, incluidos los subdominios, ya que un certificado puede ser válido para un nombre y no coincidir con otro.
- Ejecuta comprobaciones tras cambios en DNS, CDN, balanceadores o renovaciones: la cadena de certificados puede variar entre entornos aunque el dominio sea el mismo.
Casos de uso
Principio técnico
Los certificados SSL/TLS siguen el estándar X.509. Cada certificado contiene estos campos clave: Subject (el dominio u organización del titular), Issuer (la CA emisora), Validity (fechas de Not Before / Not After), Subject Public Key Info (clave pública y algoritmo), Signature Algorithm (como SHA256-RSA o ECDSA-SHA256) y extensiones X509v3 (de las cuales la más importante es la extensión Subject Alternative Name). Durante el handshake TLS, el servidor envía su cadena en orden: certificado hoja -> certificado(s) intermedio(s) -> certificado raíz (que está integrado en el navegador y no necesita enviarse). El cliente comienza desde la hoja, verifica en cada nivel que el Issuer coincida con el Subject del padre, usa la clave pública del padre para verificar la firma del hijo, comprueba la ventana de validez y finalmente rastrea hasta una raíz de confianza. Let's Encrypt emite certificados válidos por solo 90 días, diseñados para usarse con automatización como certbot; los certificados comerciales suelen durar de 1 a 3 años. SNI (Server Name Indication) permite que una sola IP aloje múltiples sitios HTTPS: el cliente envía primero la extensión SNI durante el handshake para indicar al servidor el nombre de host objetivo, y el servidor devuelve el certificado correspondiente. OCSP (Online Certificate Status Protocol) permite consultas en tiempo real sobre si un certificado ha sido revocado, evitando la necesidad de descargar voluminosas listas CRL.
- Campos del certificado X.509: Subject (titular), Issuer, Validity, Public Key, Signature Algorithm y la extensión SAN
- Validación de la cadena de certificados: comienza en la hoja, verifica la coincidencia Issuer -> Subject nivel por nivel, verifica la firma del hijo con la clave pública del padre y finalmente rastrea hasta una raíz de confianza
- Los certificados de Let's Encrypt tienen una validez predeterminada de 90 días, combinados con certbot y herramientas similares para renovación automática; los certificados comerciales suelen durar de 1 a 3 años
- SNI (Server Name Indication) permite que una sola IP aloje múltiples sitios HTTPS; el cliente declara el nombre de host objetivo durante el handshake y recibe el certificado correspondiente
- OCSP se usa para comprobaciones de revocación en tiempo real, evitando la descarga de voluminosos CRL; las CA principales también implementan OCSP Stapling
- Los certificados caducados, algoritmos de firma débiles (SHA-1) y longitudes de clave insuficientes (RSA por debajo de 2048 bits) activan las advertencias de seguridad de los navegadores modernos
Ejemplos
Verificar el certificado de GitHub
github.com — emisor DigiCert TLS Hybrid ECC SHA384, 67 días restantes, protocolo TLS 1.3, SAN incluye github.com y *.github.comVerificar el certificado de Google
google.com — emisor WR2 (Google Trust Services), 84 días restantes, SAN incluye *.google.com y google.comVerificar tu propio certificado
blog.example.com — emisor Let's Encrypt R10, 23 días restantes (renovar pronto), algoritmo de firma ECDSA-SHA256Preguntas frecuentes
¿Qué muestra la comprobación del certificado?
La cadena de certificados completa (hoja, intermedios y raíz), las fechas de validez, la CA emisora, el Common Name del sujeto y los Subject Alternative Names, el algoritmo de firma, el tipo y tamaño de la clave pública, el número de serie del certificado y si la cadena enlaza con una raíz de confianza. Nuestro backend se conecta al host por el puerto 443 e informa de la cadena que ve.
¿Puedo comprobar certificados en puertos distintos del 443?
Sí: indica host:puerto (por ejemplo example.com:8443). Algunas versiones también comprueban IMAP (993), SMTP (465/587), POP3 (995) y otros puertos TLS. El protocolo debe usar TLS plano o un STARTTLS compatible con la página.
¿Qué significa 'caduca en N días'?
La fecha notAfter del certificado. A partir de esa fecha, los navegadores modernos se niegan a cargar el sitio. Configura la renovación automática al menos 30 días antes de la caducidad. Los certificados de Let's Encrypt duran 90 días: la mayoría de operadores los renuevan automáticamente a los 60 días.
¿Por qué mi certificado parece válido aquí pero falla en los navegadores?
Causas habituales: el orden de la cadena es incorrecto (el servidor envía los intermedios en mal orden); falta un intermedio (el servidor solo manda la hoja); la raíz no está en el almacén de confianza del navegador (CA privada o gubernamental no incluida); discrepancia de SNI (el servidor devuelve un certificado distinto al de tu hostname). La página suele señalar cada uno de estos casos.
¿Qué diferencia hay entre certificados DV, OV y EV?
Domain Validation (DV): solo se verifica el control del dominio. Organization Validation (OV): se verifica también la existencia de la empresa. Extended Validation (EV): comprobación empresarial más exhaustiva. Los navegadores modernos los muestran a los tres igual (con un candado); EV ya no activa la barra verde en la mayoría de navegadores desde 2019.
¿Puedo comprobar un certificado autofirmado o de una CA privada?
Sí. La página muestra el certificado pero lo marca como 'no fiable' porque la CA no está en el almacén raíz público. Útil para inspeccionar tus propios certificados corporativos o de pruebas.
¿Quedan expuestos los datos del host?
La comprobación se conecta desde nuestro backend al host por el puerto 443, igual que cualquier cliente TLS. El host registra esa conexión. No la uses contra hosts que prohíban escaneos externos.