¿Qué hay dentro de un certificado SSL? Cómo leer cualquier certificado con un decodificador

A primera vista, un certificado SSL/TLS parece un bloque de texto ilegible. Sin embargo, en su interior están escritos, con una estructura clara, tu nombre de dominio, quién lo emitió, cuándo es válido y mucho más. Para ver esa información solo necesitas un decodificador de certificados (certificate decoder). En este artículo explicamos en lenguaje sencillo qué hay exactamente dentro de un certificado, para qué sirve cada campo y cuándo conviene decodificar el tuyo.

¿Qué es un decodificador de certificados?

Un decodificador de certificados es una herramienta que toma un certificado en formato PEM (el texto que empieza por -----BEGIN CERTIFICATE-----) y muestra todos sus campos de forma legible. Lo más importante: nuestra herramienta para decodificar certificado se ejecuta al 100% en tu navegador: tu certificado permanece en tu navegador y nunca se sube a ningún servidor. Eso es clave para tu privacidad, porque un certificado puede revelar detalles sobre tus dominios e infraestructura.

Los campos dentro de un certificado SSL

Subject (Asunto)

El Subject indica a quién representa el certificado. Su campo más importante es el CN (Common Name), es decir, el nombre de dominio principal. Otros campos son O (organización), OU (unidad), L (localidad/ciudad), ST (provincia/estado) y C (código de país). Los certificados gratuitos como Let's Encrypt suelen contener solo el CN, sin datos de organización.

Issuer (Emisor)

El Issuer muestra quién firmó el certificado, es decir, qué Autoridad de Certificación (CA) lo emitió. En los certificados de Let's Encrypt el Issuer suele ser un certificado intermedio de Let's Encrypt. Entender la diferencia entre Subject e Issuer es fundamental: el Subject es tu sitio y el Issuer es la entidad de confianza que responde por él. Si ambos son idénticos, tienes un certificado autofirmado.

Validez (Validity)

Cada certificado tiene una fecha de inicio (not before) y una fecha de fin (not after). Fuera de esa ventana el certificado no es válido y los navegadores muestran una advertencia. Los certificados de Let's Encrypt son válidos 90 días, por eso es esencial vigilar la fecha de caducidad y renovar a tiempo.

SAN (Subject Alternative Names)

La lista SAN contiene todos los nombres de dominio que cubre el certificado. Los navegadores modernos ya no miran solo el CN, sino la lista SAN. Así, para que example.com y www.example.com queden cubiertos, ambos deben aparecer en los SAN. En un certificado comodín verás aquí *.example.com.

Número de serie y algoritmo de firma

El número de serie es el identificador único que la CA asigna a cada certificado; sirve para buscar un certificado en las listas de revocación. El algoritmo de firma indica cómo se firmó el certificado; hoy verás normalmente SHA-256 with RSA o un algoritmo basado en ECDSA.

Clave pública (tipo y tamaño)

La clave pública es la base del cifrado. Su tipo puede ser RSA o EC (curva elíptica). El tamaño indica la fortaleza: en RSA, 2048 bits es el mínimo considerado seguro y 4096 bits es más fuerte; una clave ECDSA de 256 bits ofrece una protección sólida equivalente aproximadamente a RSA 3072. Una clave más grande no siempre es más rápida, las claves EC ofrecen alta seguridad con tamaños pequeños.

Huellas (SHA-1 / SHA-256)

Una huella es un resumen único calculado sobre todo el certificado. Sirve para confirmar que dos partes tienen el mismo certificado. Por ejemplo, al hacer pinning en una app móvil o al verificar un certificado con un equipo de soporte, comparas la huella SHA-256. Como SHA-1 ya se considera débil, prefiere SHA-256 para verificar.

¿Cuándo deberías decodificar un certificado?

  • Para verificar lo que emitió la CA: confirma que el certificado recibido contiene realmente el dominio que querías.
  • Para revisar SAN y caducidad: asegúrate de que todos tus subdominios están cubiertos y de que el certificado no caduca pronto.
  • Para cotejar una huella: demuestra que el certificado del servidor es el que esperas.
  • Al resolver problemas: diagnostica errores como "se está sirviendo el certificado equivocado".

Cómo usarlo

  1. Abre tu archivo de certificado (.crt, .pem o fullchain.pem) en un editor de texto.
  2. Copia el bloque entre -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----.
  3. Pégalo en la herramienta para decodificar certificado y revisa los campos decodificados.

Si aún no tienes un certificado, puedes crear uno gratuito de 90 días de Let's Encrypt en minutos con nuestro asistente para obtener certificado y luego verificar el resultado con el decodificador.

Resumen

Un certificado SSL se compone del Subject, el Issuer, la ventana de validez, los SAN, el número de serie, el algoritmo de firma, la clave pública y las huellas. Leer estos campos no requiere conocimientos especiales, solo la herramienta adecuada. Un decodificador de certificados muestra toda esta información en segundos y con plena privacidad, porque tu certificado permanece en tu navegador. Antes de renovar, desplegar o resolver un problema, decodifica tu certificado rápidamente para asegurarte de que todo está correcto.