Cómo verificar tu instalación SSL y corregir los errores más comunes con un comprobador SSL

Instalaste el certificado, viste el candado en el navegador y diste por hecho que habías terminado. Pero la configuración SSL suele ser más complicada de lo que parece: una instalación que funciona en un navegador puede mostrar la advertencia "no seguro" en otro dispositivo o dentro de una aplicación móvil. Aquí es exactamente donde un comprobador SSL demuestra su valor. En esta guía te explicamos paso a paso cómo verificar tu instalación y corregir los errores más habituales.

Por qué importa comprobar tu SSL

Los problemas de SSL/TLS no siempre son evidentes. Tu navegador de escritorio puede haber guardado en caché un certificado intermedio, por lo que el sitio te abre bien a ti pero falla para un visitante nuevo. Un certificado a punto de caducar puede no haberse renovado en silencio. Un certificado que no cubre el subdominio www genera una advertencia en cuanto el usuario escribe www en la barra de direcciones. Estos problemas afectan directamente a tu posicionamiento en buscadores, a la confianza del usuario y a tus integraciones de API. Un comprobador independiente te muestra lo que el servidor entrega realmente, sin verse afectado por la caché de tu navegador.

Qué informa un comprobador SSL

Cuando introduces tu dominio, la herramienta abre una conexión TLS con tu servidor e informa de:

  • Validez y fecha de caducidad — si el certificado está activo y cuántos días quedan.
  • Emisor (Issuer) — la autoridad de certificación (CA) que lo firmó, por ejemplo Let's Encrypt.
  • Dominios cubiertos (SAN) — todos los nombres de host para los que es válido el certificado.
  • Coincidencia de host — si el nombre que introdujiste coincide con los nombres del certificado.
  • Cadena de certificación — si la cadena, incluidos los intermedios y la raíz, está completa y es de confianza.
  • Información de clave y firma y el protocolo TLS negociado.

Para ver tu propia configuración, abre nuestra herramienta de comprobación SSL y escribe tu dominio.

Cómo leer el resultado

No te quedes en el veredicto general verde/rojo; lee los detalles. Revísalos en orden: ¿es el emisor una CA conocida y de confianza? ¿Quedan más de 30 días? ¿La lista de SAN incluye tanto example.com como www.example.com? ¿La cadena aparece marcada como "completa"? Si la herramienta detecta un problema en cualquiera de estos campos, mostrará una advertencia clara. La verdadera habilidad está en interpretar esa advertencia correctamente.

Los errores SSL más comunes y cómo corregirlos

1. Cadena de certificación incompleta

Es el error más común y más confuso: el sitio funciona en algunos navegadores pero falla en el móvil o con curl. La causa es que el servidor no está enviando sus certificados intermedios. La solución es instalar la cadena completa (certificado del servidor + intermedios) en el servidor. Normalmente basta con usar el archivo fullchain.pem. En Nginx, apunta la directiva ssl_certificate al archivo fullchain en lugar del certificado solo; en Apache, añade el paquete de la CA con SSLCertificateChainFile.

2. Coincidencia de host incorrecta

Si el certificado se emitió para example.com pero un visitante llega a www.example.com, el navegador advierte. La solución es reemitir un certificado que cubra ambos nombres (el dominio raíz y www). En nuestro asistente de certificados gratuitos puedes añadir todos los dominios que necesites al campo SAN antes de emitir.

3. Certificado caducado

Los certificados tienen una vida útil limitada y, cuando caducan, el navegador bloquea el acceso por completo. La solución es sencilla: renovar el certificado. Lo ideal es automatizar la renovación; pero si no tienes automatización, ejecuta el comprobador con regularidad para vigilar la fecha de caducidad y renueva cuando queden menos de 30 días.

4. Raíz no confiable o certificado autofirmado

Los certificados autofirmados que generas para pruebas, o los certificados de una CA que los navegadores no reconocen, se consideran no confiables. En producción, la solución es usar un certificado de una autoridad de certificación real. Una CA gratuita y ampliamente reconocida como Let's Encrypt elimina este problema por completo.

Vuelve a verificar tras cada corrección

Ejecuta siempre el comprobador de nuevo después de cada cambio. Asegúrate de haber reiniciado el servidor web y luego confirma que la cadena ya está "completa", que la coincidencia de host "superó" la prueba y que los días restantes son saludables. Si tienes varios servidores tras un balanceador de carga, comprueba cada uno por separado; muy a menudo solo un nodo sigue entregando el certificado antiguo.

Resumen

Un comprobador SSL te muestra cómo se ve tu instalación para el resto del mundo, con independencia de la caché de tu navegador. Comprueba el emisor, la fecha de caducidad, los dominios cubiertos y la integridad de la cadena; corrige una cadena incompleta con el archivo fullchain, una coincidencia de host errónea reemitiendo con los SAN correctos, una caducidad renovando y los certificados no confiables cambiando a una CA real. Para empezar, usa la herramienta de comprobación SSL y, si lo necesitas, crea tu certificado gratuito de 90 días en solo unos minutos.