FAQ

Preguntas Frecuentes

Las respuestas a las preguntas más comunes sobre certificados SSL, validación, renovación e instalación.

Conceptos generales

  • Un certificado SSL/TLS es un archivo digital que autentica la identidad de un sitio web y cifra la información enviada entre el servidor y el navegador del usuario. Cuando un sitio tiene SSL, la URL comienza con https:// y se muestra un candado en la barra de direcciones.

    Sin SSL, cualquier información enviada —contraseñas, datos de tarjetas, formularios— puede ser interceptada por terceros.

  • El cifrado es un proceso matemático de codificación y decodificación de la información. El número de bits (40 bits, 56 bits, 128 bits, 256 bits) indica el tamaño de la clave. Al igual que una contraseña larga, una clave más grande tiene más combinaciones posibles. De hecho, el cifrado de 128 bits es un billón de veces más fuerte que el cifrado de 40 bits.

    Cuando se establece una sesión cifrada, la fortaleza del cifrado está determinada por el navegador web, el certificado SSL, el servidor web y el sistema operativo de la computadora cliente.

  • Cada certificado SSL contiene un par de claves pública y privada: una clave privada con el código y una clave pública utilizada para decodificarlo. La clave privada se instala en el servidor y nunca se comparte con nadie.

    La clave pública se incorpora en el certificado SSL y es compartida con los navegadores web.

  • Una Autoridad de Certificación es una entidad de confianza, responsable de emitir y revocar certificados SSL. Para ello las Autoridades Certificantes (AC) cuentan con una variedad de métodos para verificar la información proporcionada por los individuos u organizaciones.

    Las Autoridades Certificantes establecidas son bien conocidas y de confianza para los navegadores. Los navegadores extienden esa confianza a los certificados digitales verificados como, por ejemplo, DigiCert, Thawte, GeoTrust, RapidSSL y Entrust.

    Un certificado SSL sirve como credencial en el mundo online: identifica de forma exclusiva un dominio específico y un servidor web. La confianza de una credencial depende de la confianza en la organización que lo emitió.

  • DV (Domain Validation): Solo verifica que el solicitante controla el dominio. Emisión en minutos. Recomendado para blogs o sitios informativos.

    OV (Organization Validation): Verifica la identidad legal de la organización además del dominio. Recomendado para empresas e intranets corporativas.

    EV (Extended Validation): El proceso de verificación más riguroso. Requiere verificación legal, física y operativa de la empresa. Recomendado para e-commerce, banca y gobierno.

  • Los certificados con Validación de Dominio (DV) se utilizan para establecer un nivel básico de confianza con un sitio web. Se emiten después de que el emisor confirma que el dominio es válido y es propiedad de la persona que solicita el certificado.

    No hay necesidad de presentar documentación de la empresa para obtener un certificado con validación de dominio, por lo que este tipo de certificados SSL se puede emitir de forma muy rápida.

    La desventaja es que cualquiera los puede obtener: sirven para proteger la comunicación entre el navegador y el servidor web, pero no acreditan la identidad de la organización.

  • Un certificado con Validación de Organización (OV) se expide a las empresas y proporciona un mayor nivel de seguridad que un certificado con Validación de Dominio. Se requiere que la información de la empresa sea verificada junto con el dominio y la información del propietario del mismo.

    La ventaja de este certificado sobre uno con Validación de Dominio es que no sólo cifra los datos, sino que proporciona un cierto nivel de confianza acerca de la empresa propietaria del sitio web.

  • Un certificado Wildcard protege un dominio y sus subdominios, pero el asterisco (*) solo cubre un único nivel: el nivel exacto en el que se ubica dentro del nombre. Por ejemplo, un Wildcard para *.empresa.com protege www.empresa.com, mail.empresa.com y tienda.empresa.com con un único certificado.

    No incluye subdominios de un nivel adicional, como dev.mail.empresa.com o api.tienda.empresa.com (para eso hace falta otro Wildcard, por ejemplo *.mail.empresa.com, o un certificado Multi-Domain/SAN). Tampoco cubre automáticamente el dominio raíz sin subdominio (empresa.com) según la definición del estándar, aunque varios proveedores lo agregan como nombre adicional sin costo — conviene confirmarlo al contratar.

    Es ideal cuando manejás múltiples subdominios de un mismo nivel y querés simplificar la gestión de certificados.

  • Los certificados Wildcard son similares a los certificados SAN, con algunas restricciones. Con un certificado Wildcard podés asegurar múltiples subdominios de un mismo dominio raíz. Por ejemplo, un Wildcard para *.miempresa.com también protege intranet.miempresa.com y email.miempresa.com con el mismo certificado.

    Sin embargo, no vas a poder asegurar dominios distintos como miempresa.net y miempresa.org con un Wildcard; para eso necesitás un certificado SAN, que permite proteger múltiples dominios diferentes en un único certificado.

Validación y emisión

  • DV: Minutos a pocas horas, dependiendo de la validación del dominio.

    OV: 1 a 3 días hábiles. Requiere verificación de la organización.

    EV: 3 a 7 días hábiles. El proceso de validación extendida es más exhaustivo.

  • El CSR (Certificate Signing Request) es un bloque de texto cifrado generado en tu servidor que contiene información sobre tu organización y el dominio que querés proteger. Se envía a la CA (Autoridad de Certificación) para que emita el certificado.

    Al generarlo, también se crea una clave privada que debe mantenerse segura en tu servidor y nunca compartirse.

  • Para certificados OV y EV necesitás proporcionar información que permita verificar tu organización: razón social exacta según registro público, dirección fiscal completa, número de CUIT/CUIL o equivalente, datos de contacto de la persona autorizada y, para EV, documentación legal adicional de la empresa.

Renovación y vencimiento

  • Los navegadores mostrarán una advertencia de seguridad a los visitantes de tu sitio, lo que genera desconfianza y pérdida de tráfico. En sitios de e-commerce o banca, esto puede significar pérdida directa de ventas y daño a la reputación.

    Recomendamos iniciar la renovación al menos 30 días antes del vencimiento.

  • Los certificados TLS públicos tienen actualmente una vigencia máxima de 398 días. A partir de 2026, esa vigencia se reducirá de forma progresiva (200 días en 2026, 100 días en 2027 y 47 días en 2029), por lo que la automatización de la emisión y renovación mediante protocolos como ACME será cada vez más importante.

    Si administrás varios certificados, te recomendamos implementar una solución de automatización para simplificar su gestión y evitar interrupciones por vencimientos.