Guía completa 2025: cómo elegir el certificado SSL adecuado para tu sitio web

Guía completa 2025: cómo elegir el certificado SSL adecuado para tu sitio web

Unos segundos — y el usuario ya ha decidido si confiar en su sitio. El candado verde casi pasa desapercibido, pero si desaparece, el navegador instantáneamente mostrará en rojo "No seguro" y la mitad de la audiencia se irá. Para no llevarse sustos por caídas bruscas de tráfico, veamos qué certificado SSL necesita cada caso y cómo no arruinar la instalación.

Por qué el certificado SSL ahora es obligatorio y no «opcional»

Google pasó de un enfoque relajado a una política clara: HTTPS es esencial. Los buscadores penalizan los sitios sin cifrado, los navegadores muestran advertencias rojas a los usuarios y las pasarelas de pago suelen rechazar tarjetas si no hay TLS 1.2+. En resumen, hoy un certificado SSL es como el código de barras de un producto: sin él no vendes.

Tipos de certificados SSL: no todos los candados son igualmente útiles

Domain Validation (DV)

Verifican solo la propiedad del dominio. Barato, rápido, se automatiza «en un par de comandos» — opción ideal para blogs, landing pages y proyectos personales.

Organization Validation (OV)

A la verificación del dominio se añade la comprobación de la entidad jurídica: extracto del registro, teléfono de la empresa y, a veces, una llamada al responsable. Cuesta más, pero aumenta la confianza entre clientes B2B.

Extended Validation (EV)

El certificado «de élite», para el que los equipos legales entregan montones de escaneos notarizados y solicitudes a la agencia tributaria. Ya no destaca con una barra verde en el navegador, pero los formularios de pago bancarios a menudo siguen exigiendo el nivel EV.

Wildcard

Protege todos los subdominios de primer nivel: *.example.com. Perfecto si tiene muchos microservicios como shop.example.com, blog.example.com, api.example.com y no quiere manejar decenas de certificados separados.

SAN / UCC (Multi-Domain)

Certificado con nombres alternativos adicionales. Se pueden incluir hasta 100 dominios (el número exacto depende del proveedor) y actualizarlos sobre la marcha. Necesario para portales corporativos donde cada departamento pide su propio subdominio, pero el presupuesto de PKI es único.

Criterios de elección: lista de sentido común

Antes de correr al primer revendedor, deténgase y hágase seis preguntas:

  • ¿Cuántos dominios y subdominios necesita proteger realmente?
  • ¿Hace falta verificar la organización o somos una startup en servidores freelance?
  • ¿Con qué frecuencia actualiza la infraestructura? La automatización ACME ahorra cientos de horas.
  • ¿Cuál es el presupuesto? Un SSL gratuito resuelve el 90 % de los casos, pero los certificados EV aportan más fuerza legal.
  • ¿Disponemos de recursos DevOps o necesitaremos soporte técnico del proveedor?
  • ¿Se requiere una garantía (responsabilidad financiera de la CA) para licitaciones y clientes Enterprise?

Resumen rápido

¿Un blog pequeño? — DV de Let's Encrypt.
¿Una tienda online sujeta a la ley 54-FZ? — OV/SAN de Sectigo.
¿Fintech o adquirente bancario? — EV de DigiCert o GlobalSign.
¿Marketplace en AWS? — SSL gestionado mediante AWS Certificate Manager.
¿SaaS con miles de subdominios de clientes? — Wildcard + SAN en GlobalSign o Let's Encrypt + automatización.

Proveedores populares e instrucciones paso a paso

1. Let's Encrypt — cuando es mejor gastar el dinero en pizza

CA totalmente gratuita que emite certificados DV por 90 días. La combinación Certbot + cron/systemd-timer resuelve la renovación.

  1. Instalar certbot desde el repositorio o mediante snap.
  2. Ejecutar certbot --nginx (o --apache, --standalone).
  3. Verificar que /etc/letsencrypt/live/ contiene los nuevos archivos .pem.
  4. Asegurarse de tener un hook automático que reinicie el servidor tras la actualización.

Ventajas: gratis, automatización ACME. Desventajas: no hay OV/EV, vigencia de 90 días.

2. Cloudflare SSL/TLS — «candado con un clic»

Cloudflare emite certificados Origin CA o activa Universal SSL con un interruptor.

  1. Conecte el dominio a Cloudflare (registros NS).
  2. En SSL/TLS → Overview seleccione el modo "Full (Strict)".
  3. Genere un Origin Certificate si el servidor necesita su propio archivo.
  4. Suba la clave y el certificado al servidor y configure nginx o apache.

Ventajas: emisión instantánea, CDN integrado. Desventajas: el sitio depende de Cloudflare; EV no está disponible.

3. Sectigo (Comodo), RapidSSL — la clásica opción económica

A través de revendedores como SSL.com o CheapSSL se puede obtener DV desde $6 al año.

  1. Genere un CSR (openssl req -new -newkey rsa:2048 -nodes -keyout site.key -out site.csr).
  2. Elija el tipo de certificado (DV/Wildcard/SAN) y suba el CSR al panel del revendedor.
  3. Confirme el dominio por e-mail o mediante CNAME.
  4. Reciba el .crt + el CA intermedio e instálelos en el servidor.

4. DigiCert y GlobalSign — nivel premium y soporte legal pesado

Certificados EV con opciones de resistencia cuántica (QC de DigiCert) y responsabilidad garantizada de hasta 2 millones de $.

  1. Tenga a mano extractos del registro mercantil y documentos de marcas.
  2. Tras el pedido, espere la llamada del gestor de la CA y la verificación notarial.
  3. Importe el .p7b en IIS o conviértalo a .pem para Nginx.

Ventajas: máximo nivel de confianza, soporte para S/MIME y firma de código en el mismo panel. Desventajas: precio y papeleo.

5. AWS Certificate Manager — para microservicios alojados en S3 y CloudFront

  1. Abra ACM en la consola de AWS y haga clic en Request a certificate.
  2. Indique los dominios y elija DNS validation — Route 53 rellenará los registros automáticamente.
  3. Asocie el certificado a ALB, CloudFront o API Gateway — AWS lo renovará 60 días antes del vencimiento.

6. Google Cloud Managed SSL

  1. Crear un balanceador de carga en Google Cloud.
  2. En la "Frontend Config" seleccione Managed Certificate.
  3. Agregar los dominios necesarios y verificarlos mediante Cloud DNS o correo electrónico.

7. Namecheap y SSL.com — Wildcard económico en media hora

Ideales para proyectos con 10–20 subdominios donde Let's Encrypt no es adecuado (por ejemplo, un controlador Wi‑Fi propietario sin ACME).

  1. Comprar "PositiveSSL Wildcard".
  2. Rellenar el CSR y confirmar el dominio.
  3. Importar el certificado en el equipo.

Errores frecuentes y cómo evitarlos

  • Subir solo el .crt. Siempre agregue los CA intermedios, de lo contrario Chrome mostrará advertencias.
  • Usar un periodo de 398 días. Los certificados de pago modernos se emiten por un máximo de 13 meses; automatice con anticipación.
  • Olvidar OCSP Stapling. Reduce el tiempo del handshake casi 100 ms — los usuarios móviles lo agradecerán.
  • No redirigir HTTP. Sin un 301 hacia HTTPS queda una entrada vulnerable.

FAQ

  • ¿Puedo combinar Wildcard y EV? No, EV no existe como Wildcard. Para subdominios use SAN o varios certificados.
  • El navegador sigue mostrando "No seguro" aunque el certificado sea válido. Revise el contenido mixto: imágenes por HTTP arruinan toda la seguridad.
  • ¿Qué pasa con HTTP/2 e HTTP/3? Nada especial: necesita un TLS válido, lo demás es configuración del servidor.
  • ¿Se puede renovar DV con antelación? Sí, emitir un certificado nuevo y reemplazar los archivos es la forma más fiable.

Conclusiones

Elegir el certificado SSL correcto es un equilibrio entre presupuesto, nivel de confianza y facilidad de mantenimiento. A sitios pequeños les basta Let's Encrypt gratuito, a negocios medianos les conviene OV de Sectigo y a corporaciones les corresponde EV de DigiCert. Lo importante es no dejar la configuración para el último momento, cuando el navegador de pronto muestre un triángulo rojo y tenga que despertar al equipo de DevOps a las tres de la madrugada. Habilite la renovación automática, active HSTS y duerma tranquilo.


Alt text
article-title

Hacker