logo
GeekFormat

Comprobador de Certificados SSL

Sonda de certificado

Iniciar handshake TLS directamente desde el servidor, leer certificado, negociar protocolo y validez restante.

Comprueba certificados SSL/TLS en línea. Introduce un dominio para ver la validez del certificado, coincidencia de dominio, días restantes, versión TLS, conjuntos de cifrado y lista SAN. El handshake se inicia desde el backend sin problemas de CORS.

Relacionado

Casos de uso

  • Verificar rápidamente si HTTPS funciona correctamente antes del lanzamiento del sitio web o después de la renovación del certificado
  • Alertas de vencimiento de certificados: Comprobar periódicamente los días restantes para evitar interrupciones de acceso por vencimiento inesperado
  • Resolver errores HTTPS del navegador: Localizar si es vencimiento, falta de coincidencia de dominio o problema de cadena de certificados
  • Verificar que los certificados de los nodos perimetrales se cargan correctamente después del despliegue de CDN/proxy inverso
  • Comprobar si las versiones del protocolo TLS y los conjuntos de cifrado cumplen los requisitos de cumplimiento de seguridad
  • Verificar que la lista SAN cubra todos los dominios objetivo después del despliegue de certificados multidominio

Características

  • Handshake TLS de backend: Inicia la conexión TLS directamente desde el servidor, sin restricciones CORS del navegador, puede comprobar cualquier dominio público
  • Juicio instantáneo del estado de autorización: Validez del certificado, coincidencia de dominio, información de errores de autorización a simple vista
  • Alertas de color de días restantes: >30 días verde, 7-30 días amarillo, <7 días rojo para juicio rápido del momento de renovación
  • Visión general de configuración central: Versión del protocolo TLS, conjunto de cifrado (Cipher), resultados de negociación del protocolo ALPN directamente visibles
  • Visualización completa de la lista SAN: Todos los Nombres Alternativos del Sujeto se enumeran como etiquetas, expandibles para ver todos si hay más de 8
  • Copia con un clic de huellas dobles: Huellas SHA-1 y SHA-256 mostradas por separado con soporte de copia con un clic
  • Exportación JSON completa: Expandible para ver la estructura JSON completa del certificado, soporta copia con un clic para resolución profunda de problemas y archivado

Cómo Usar

  1. Introduce el dominio a comprobar (por ejemplo, geekformat.com, sin el prefijo https://)
  2. Haz clic en el botón 'Comprobar Certificado' y espera 1-3 segundos para los resultados del handshake TLS
  3. Primero verifica el estado de autorización (verde válido/rojo no válido) y el color de días restantes
  4. Comprueba si la versión TLS, Cipher y negociación ALPN cumplen las expectativas
  5. Ver Subject/Issuer, período de validez, lista SAN para confirmar que la información del certificado es correcta
  6. Para resolución profunda de problemas, expande los detalles JSON para ver la estructura completa del certificado y copia para archivar

Preguntas Frecuentes

¿Por qué necesito comprobar los certificados SSL?

El vencimiento de certificados, la falta de coincidencia de dominios y los errores de configuración son los tipos de fallos más comunes en sitios web HTTPS. Después del vencimiento, los navegadores muestran una advertencia de 'No seguro' que provoca la pérdida de visitantes, y el ranking de búsqueda de Google también se ve afectado. La comprobación periódica y la renovación anticipada son tareas básicas de DevOps para garantizar que HTTPS funcione correctamente.

¿Cuál es la diferencia entre este comprobador y SSL Labs?

SSL Labs realiza una puntuación profunda (incluyendo pruebas exhaustivas de protocolos, conjuntos de cifrado, vulnerabilidades, tarda aproximadamente 2 minutos), mientras que esta herramienta realiza comprobaciones básicas rápidas (devuelve resultados en 1-3 segundos), cubriendo información central como validez del certificado, vencimiento, versión TLS, conjuntos de cifrado y lista SAN, adecuada para validación rápida antes del lanzamiento, confirmación de renovación y resolución de problemas.

¿Por qué los navegadores pueden acceder directamente pero esta herramienta falla en la comprobación?

Posibles causas: 1) El sitio web bloquea IPs extranjeras (los servidores de comprobación están en el extranjero); 2) El servidor hace diferenciación SNI pero la configuración es incompleta; 3) Utiliza un certificado autofirmado de intranet empresarial; 4) El cortafuegos bloquea los nodos de comprobación. El fallo de comprobación no significa que el certificado tenga problemas; debe juzgarse basándose en mensajes de error específicos.

¿Cuál es la diferencia entre TLS 1.2 y TLS 1.3?

TLS 1.3 (2018, RFC 8446) es la última versión, con velocidad de handshake mejorada de 2-RTT de TLS 1.2 a 1-RTT o incluso 0-RTT, eliminando algoritmos inseguros como intercambio de claves RSA, RC4 y SHA-1, habilitando Forward Secrecy por defecto, con mejoras significativas tanto en seguridad como en rendimiento. Para nuevos despliegues se recomienda priorizar el soporte de TLS 1.3 mientras se mantiene TLS 1.2 para compatibilidad con clientes antiguos.

¿Cuántos días antes del vencimiento del certificado debo renovar?

Se recomienda comenzar la preparación de renovación 30 días antes del vencimiento y completar el despliegue al menos 7 días antes. La herramienta utiliza alertas de color: >30 días verde (normal), 7-30 días amarillo (debe renovar), <7 días rojo (urgente). Los certificados Let's Encrypt tienen una validez de 90 días; se recomienda configurar la renovación automática.

Let's Encrypt

¿Qué es una lista SAN y por qué es importante?

SAN (Subject Alternative Name, Nombre Alternativo del Sujeto) es una lista de dominios/IPs declarados permitidos para usar en el certificado. Los navegadores modernos (Chrome 58+) ya no confían en el campo Common Name (CN) y solo comprueban SAN. Si el dominio al que se accede no está en la lista SAN, los navegadores reportarán un error de 'coincidencia de nombre'. Un certificado puede cubrir múltiples dominios a través de SAN (por ejemplo, example.com, www.example.com, api.example.com).

¿Por qué comprobar las huellas digitales del certificado?

Las huellas digitales del certificado (SHA-1/SHA-256) son valores hash del contenido del certificado, utilizables para HPKP (obsoleto), fijación de certificados (Certificate Pinning) y verificación manual de que los certificados desplegados coinciden con lo esperado — por ejemplo, confirmar si CDN ha cargado correctamente nuevos certificados o verificar si los certificados son idénticos entre múltiples servidores. Nota: Las huellas digitales SHA-1 son solo para identificación y no deben usarse para verificación de seguridad.

¿Qué es la Comprobación de Certificados SSL/TLS?

La comprobación de certificados SSL/TLS es el proceso de iniciar un handshake TLS desde el cliente para obtener y analizar la información del certificado devuelta por el servidor objetivo, determinando así si la configuración HTTPS es correcta. Los elementos centrales de comprobación incluyen: si el certificado está dentro de su período de validez, si el dominio accedido está en la lista permitida del certificado (coincidencia SAN), si la cadena de certificados es completa y confiable, si la versión del protocolo TLS y los conjuntos de cifrado utilizados son seguros, etc.

**¿Por qué es tan importante la comprobación de certificados?** Los certificados SSL son la base de confianza de HTTPS. Una vez que surgen problemas con el certificado (el más común es el vencimiento), los navegadores bloquean directamente el acceso, mostrando una página de advertencia roja 'Su conexión no es privada', causando daños directos al tráfico del sitio web, tasas de conversión, ranking SEO y confianza de marca. Según el monitoreo, el vencimiento de certificados es la causa más común de fallos HTTPS, representando más del 40% de todos los incidentes HTTPS.

**¿En qué se diferencia de acceder directamente en un navegador?** El acceso en navegador puede tener desviaciones debido a caché, HSTS, proxies empresariales, certificados de cliente, etc.; mientras que las herramientas de comprobación de certificados inician handshakes TLS estándar desde nodos independientes, devolviendo información de certificado objetiva y estandarizada adecuada para escenarios de verificación de DevOps. Esta herramienta inicia handshakes TLS directamente desde servidores backend, **sin restricciones CORS del navegador**, y puede comprobar cualquier dominio HTTPS accesible públicamente.

**Información central que comprueba esta herramienta**: Estado de autorización del certificado (si es válido), mensajes de error específicos de authorizationError, versión del protocolo TLS (TLS 1.2/1.3), conjunto de cifrado negociado (Cipher), resultados de negociación del protocolo ALPN (h2/http/1.1), emisor del certificado (Subject/Issuer), fechas de inicio y fin del período de validez (validFrom/validTo), días restantes (con alertas de color), lista de Nombres Alternativos del Sujeto SAN, huellas digitales SHA-1/SHA-256, tiempo de respuesta y detalles JSON completos.

Los resultados de comprobación suelen devolverse en 1-3 segundos, adecuados para escenarios como validación rápida antes del lanzamiento, confirmación de renovación y resolución de problemas. Para puntuación profunda (como la calificación A+-F de SSL Labs, que incluye renegociación, pruebas de vulnerabilidades, soporte de protocolos, etc.), se recomienda usar junto con SSL Labs Server Test.

术语表

SSL/TLS
SSL (Secure Sockets Layer) es un protocolo de cifrado desarrollado por Netscape en la década de 1990, posteriormente estandarizado por IETF y renombrado como TLS (Transport Layer Security). SSL 3.0 y versiones anteriores están obsoletos; actualmente se usan TLS 1.2 y TLS 1.3, aunque por convención todavía se suele llamar 'certificado SSL'.
HTTPS
HTTP sobre TLS, que añade una capa de cifrado TLS entre HTTP y TCP para proporcionar cifrado de datos, autenticación del servidor y protección de integridad del contenido. La búsqueda de Google da peso de ranking a los sitios HTTPS, y Chrome marca los sitios no HTTPS como 'No seguro'.
SAN (Subject Alternative Name)
Campo de extensión de certificado X.509 que enumera todos los nombres de dominio y direcciones IP permitidos para este certificado. Los navegadores modernos (Chrome 58+) solo comprueban SAN y ya no miran Common Name (CN). Un certificado SAN puede proteger múltiples dominios simultáneamente.
Cadena de Certificados (Certificate Chain)
La cadena de confianza desde el certificado hoja (certificado del servidor) hasta el certificado CA intermedio, luego al certificado CA raíz. El servidor debe enviar el certificado hoja + certificado intermedio; los navegadores verifican la integridad de la cadena a través de certificados raíz preinstalados. La falta de certificados intermedios es un error de configuración común.
ALPN (Application-Layer Protocol Negotiation)
Extensión TLS que permite negociar protocolos de capa de aplicación durante el handshake TLS (por ejemplo, h2 para HTTP/2, http/1.1 para HTTP/1.1, h3 para HTTP/3). Después de completar el handshake, se usa directamente el protocolo negociado sin viajes adicionales.
Cipher Suite (Conjunto de Cifrado)
Un conjunto de combinaciones de algoritmos de cifrado negociadas durante el handshake TLS, incluyendo algoritmo de intercambio de claves, algoritmo de autenticación, algoritmo de cifrado simétrico y algoritmo hash, como TLS_AES_256_GCM_SHA384. Las configuraciones seguras deben priorizar conjuntos AEAD (como GCM, ChaCha20-Poly1305).
Let's Encrypt
Una autoridad de certificación (CA) gratuita, automatizada y abierta operada por ISRG, lanzada oficialmente en 2016, ha emitido más de 3 mil millones de certificados, reduciendo significativamente las barreras para el despliegue de HTTPS. Los certificados tienen una validez de 90 días, con renovación automática a través del protocolo ACME.Sitio Oficial de Let's Encrypt
Huella Digital (Fingerprint)
Valor hash calculado del contenido codificado DER del certificado, comúnmente SHA-1 y SHA-256. Las huellas digitales identifican unívocamente un certificado, utilizables para fijación de certificados y verificación de consistencia de múltiples nodos. SHA-1 ya no se recomienda para fines de seguridad debido a riesgos de colisión, pero sigue siendo ampliamente utilizado para identificación.
SNI (Server Name Indication)
Extensión TLS donde el cliente envía el nombre de dominio objetivo durante el handshake, permitiendo que los servidores en la misma IP desplieguen múltiples certificados para diferentes dominios (similar al encabezado Host de HTTP). SNI es la base del HTTPS de hosts virtuales modernos; los servidores sin SNI configurado devuelven el certificado predeterminado, lo que puede causar errores de coincidencia de nombre.
Secreto Hacia Adelante (Forward Secrecy / PFS)
Una propiedad de seguridad: incluso si la clave privada del servidor se compromete más tarde, el tráfico de sesión cifrado grabado previamente no puede descifrarse. Implementado a través de algoritmos de intercambio de claves efímeras como ECDHE, es obligatorio para TLS 1.3 y un estándar recomendado para configuraciones de seguridad modernas.

Historial y Estado Actual de las Versiones del Protocolo TLS

Versión del ProtocoloAño de LanzamientoEstado ActualNotas
SSL 1.0-3.01995-1996❌ Obsoleto/InseguroContiene vulnerabilidades críticas como POODLE; deshabilitado por todos los navegadores modernos
TLS 1.01999❌ ObsoletoVulnerabilidades BEAST, CRIME; prohibido desde PCI DSS 2018
TLS 1.12006❌ ObsoletoOficialmente obsoleto en RFC 8996; Chrome/Firefox eliminaron soporte en 2020
TLS 1.22008⚠️ Ampliamente Soportado (Transición)Actualmente el más desplegado con mejor compatibilidad, pero tiene riesgos de algunos conjuntos de cifrado débiles
TLS 1.32018 (RFC 8446)✅ RecomendadoHandshake más rápido (1-RTT/0-RTT), algoritmos débiles eliminados, preferido por navegadores modernos

Alertas de Color por Vencimiento de Certificados y Recomendaciones

Días RestantesColor de EstadoAcción Recomendada
>30 días🟢 Verde (Normal)No se requiere acción; comprobar periódicamente
7-30 días🟡 Amarillo (Advertencia)Iniciar el proceso de renovación lo antes posible para garantizar el reemplazo antes del vencimiento
<7 días🔴 Rojo (Urgente)Renovar inmediatamente; los navegadores bloquearán el acceso después del vencimiento
0 días/Vencido🔴 Rojo (Vencido)El certificado no es válido; los usuarios verán advertencias de seguridad y debe abordarse de inmediato

Resolución de Problemas de Tipos de Errores SSL Comunes

Tipo de ErrorCausas ComunesDirección de Solución
Certificado vencido (expired)El certificado no se renovó pasada la fecha validToRenovar y desplegar un nuevo certificado rápidamente
Coincidencia de nombre (name mismatch)El dominio de acceso actual no está en la lista SAN del certificadoReemitir el certificado incluyendo el dominio objetivo, o verificar la configuración de origen de CDN
Cadena incompleta (incomplete chain)El servidor no configuró correctamente los certificados intermediosDesplegar el certificado intermedio combinado con el certificado hoja
Certificado autofirmado (self-signed)El certificado fue emitido por una CA privada, no es de confianza públicaUsar una CA de confianza pública como Let's Encrypt para emitir el certificado
Emisor no confiable (untrusted issuer)El certificado raíz de la CA no está en el almacén de confianza del navegadorReemplazar con un certificado emitido por una CA de confianza

Authoritative References