Cifrado y comunicación segura

Certificado digital

Lectura de aproximadamente 4 minutos

Última actualización: 2026-03-02

Qué es un certificado digital

Un certificado digital (Digital Certificate) es un documento de identidad electrónico que certifica al propietario de una clave pública. Es emitido por una Autoridad de Certificación (CA: Certificate Authority) y garantiza que "esta clave pública pertenece efectivamente a este dominio (u organización)".

Al acceder a un sitio HTTPS con un navegador web, el servidor presenta un certificado digital. El navegador verifica la validez del certificado y, si no hay problemas, muestra el icono de candado e inicia la comunicación cifrada TLS. Si hay un problema con el certificado, se muestra la advertencia "Tu conexión no es privada".

La base técnica de los certificados es la criptografía de clave pública. La autoridad de certificación firma el certificado con su clave privada, y el navegador verifica la firma con la clave pública de la autoridad de certificación.

Tipos de certificados

  • Certificado DV (Domain Validation): El certificado más simple que solo verifica la propiedad del dominio. Se emite automáticamente mediante registros DNS o autenticación por correo electrónico. Se puede obtener gratuitamente con Let's Encrypt. Adecuado para sitios personales, blogs y servicios de pequeña escala. La fortaleza del cifrado es la misma que OV y EV.
  • Certificado OV (Organization Validation): Además de la propiedad del dominio, la autoridad de certificación audita la existencia de la organización antes de emitirlo. El nombre de la organización se registra en los detalles del certificado. Común en sitios web y servicios corporativos. Cuesta alrededor de decenas de miles de yenes anuales.
  • Certificado EV (Extended Validation): Se emite tras la auditoría más estricta. Requiere verificación de existencia legal, ubicación física y persona autorizada para la solicitud. Anteriormente, el nombre de la organización se mostraba en verde en la barra de direcciones, pero los principales navegadores eliminaron esta visualización desde 2019. Cuesta más de cien mil yenes anuales.
  • Certificado comodín: Un certificado que cubre todos los subdominios como *.example.com. Puede reducir costes y esfuerzo de gestión cuando se operan múltiples subdominios.

Cadena de confianza (Chain of Trust)

La fiabilidad de los certificados digitales se sustenta en la "cadena de confianza".

  1. Certificado raíz: Certificado emitido con autofirma por la autoridad de certificación de nivel superior (CA raíz). Viene preinstalado en el SO y el navegador (almacén de confianza). DigiCert, GlobalSign e ISRG (Let's Encrypt) son representativos.
  2. Certificado intermedio: Certificado emitido por la CA raíz a una CA intermedia. Existe para reducir el riesgo de usar directamente la clave privada de la CA raíz.
  3. Certificado del servidor: Certificado emitido por la CA intermedia al sitio web. El navegador verifica las firmas en orden: certificado del servidor → certificado intermedio → certificado raíz, confirmando que la cadena de confianza no está rota.

La omisión de la configuración del certificado intermedio es uno de los errores de configuración del servidor más comunes. Si solo se configura el certificado del servidor sin incluir el certificado intermedio, se producen errores de certificado en algunos navegadores y clientes.

Gestión y operación de certificados

Organizamos los puntos a tener en cuenta en la operación de certificados.

  • Gestión de la fecha de vencimiento: Los certificados tienen fecha de vencimiento (actualmente máximo 398 días), y cuando caducan, el navegador muestra una advertencia. Los certificados de Let's Encrypt son válidos por 90 días, y la configuración de renovación automática (certbot) es obligatoria.
  • Renovación automática de certificados: La renovación manual tiene alto riesgo de caducidad. Configure la renovación automática mediante el protocolo ACME y también establezca alertas para fallos de renovación.
  • Transparencia de certificados (CT): Certificate Transparency es un mecanismo que registra todos los certificados emitidos por las autoridades de certificación en registros públicos. Permite detectar la emisión de certificados fraudulentos. Se recomienda monitorizar los registros CT de su dominio y verificar que no se hayan emitido certificados desconocidos.
  • Uso combinado con HSTS: Después de implementar el certificado, configure también el encabezado HSTS para que el navegador siempre se conecte por HTTPS.

Los sitios de phishing también pueden obtener certificados DV, por lo que no se debe juzgar la legitimidad de un sitio solo por la presencia del certificado (icono de candado).

Conceptos erróneos comunes

Los certificados EV tienen un cifrado más fuerte que los certificados DV
La fortaleza del cifrado no depende del tipo de certificado. DV, OV y EV utilizan el mismo cifrado TLS. La diferencia es solo el nivel de verificación de "quién opera ese dominio".
Los certificados más caros son más seguros
No hay diferencia en la seguridad del cifrado entre un certificado DV gratuito de Let's Encrypt y un certificado DV de pago. El valor añadido de los certificados de pago es la autenticación de la organización, soporte para comodines, soporte técnico y garantías, no la fortaleza del cifrado.

Términos relacionados

TLS/SSL Protocolos criptográficos que cifran las comunicaciones de internet para garanti… HTTPS Un protocolo que añade cifrado TLS a HTTP, asegurando la comunicación entre el n… Criptografía de clave pública Un método criptográfico que utiliza un par de claves matemáticamente vinculadas … HSTS (HTTP Strict Transport Security) Un mecanismo de seguridad en el que un servidor web envía un encabezado de respu… Phishing Un método de ataque que suplanta la identidad de organizaciones legítimas, banco…

Artículos relacionados

Cómo funcionan HTTPS y TLS - El cifrado detrás de la comunicación segura Comprende cómo HTTPS y TLS cifran tu comunicación, el papel de los certificados, las diferencias ent… Encabezados de seguridad HTTP - 5 encabezados esenciales para proteger tu sitio web Una introducción a los encabezados de seguridad HTTP más importantes, incluyendo Content-Security-Po…
← Glosario