Guia completa de certificados SSL para dominios: comparacion, seleccion y despliegue practico

Un certificado SSL transforma su dominio de “no seguro” a “confiable”. Sin SSL, los navegadores muestran una advertencia de “No seguro”, los motores de busqueda penalizan su posicionamiento y los visitantes abandonan la pagina en segundos. A partir de 2026, el CA/Browser Forum reduce la duracion maxima de los certificados a 200 dias, y para 2029 a solo 47 dias – la gestion de SSL pasa de ser una tarea puntual a un proceso operativo completamente automatizado.

Este articulo cubre todo lo que necesita saber: tipos de certificados, soluciones gratuitas vs de pago, guia practica de Let’s Encrypt, certificados wildcard, despliegue en Nginx y estrategias de automatizacion.

Por que cada dominio necesita un certificado SSL

SSL (Secure Sockets Layer, evolucionado a TLS) cifra la conexion entre navegador y servidor, protegiendo contrasenas, pagos y formularios contra la interceptacion.

Impacto SEO directo. Google usa HTTPS como senal de ranking desde 2014, reforzado en los Core Web Vitals desde 2023. Sin SSL, su posicionamiento se ve notablemente afectado.

Confianza del navegador. Chrome, Firefox y Safari muestran “No seguro” para paginas HTTP desde 2020. En 2026, algunos navegadores bloquean el contenido mixto en HTTP.

Cumplimiento obligatorio. PCI DSS exige SSL/TLS para sitios que procesan tarjetas de credito. Para e-commerce o SaaS, el SSL es una obligacion legal.

Si aun no tiene su propio dominio, el registro es el primer paso hacia la configuracion SSL. Con la herramienta de verificacion de dominios Nameslink puede comprobar en milisegundos la disponibilidad de mas de 1.500 extensiones y encontrar el dominio perfecto para su proyecto.

Tipos de certificados SSL: DV, OV y EV en comparacion

Los certificados SSL se diferencian por su nivel de validacion. Los costos y casos de uso varian considerablemente.

Certificado DV (Domain Validated)

La CA verifica unicamente el control del dominio via DNS o correo electronico – proceso automatico en minutos. Ideal para blogs y proyectos pequenos. Mismo cifrado que OV/EV. Costo: gratis (Let’s Encrypt) a 50 USD/ano.

Certificado OV (Organization Validated)

La CA verifica ademas la identidad de la organizacion (registro mercantil, direccion, telefono). Validacion en 1-3 dias. Ideal para sitios corporativos y B2B. Costo: 50-250 USD/ano. Principales proveedores: DigiCert, Sectigo, GlobalSign.

Certificado EV (Extended Validation)

Nivel maximo de validacion: historial operativo, estatus legal y directivos verificados. La barra verde se retiro en 2019, pero el EV ofrece la maxima garantia de identidad y seguros de hasta 1,5 millones USD. Costo: 150-1.000+ USD/ano. Ideal para banca, finanzas y grandes e-commerces.

Tabla comparativa

Recomendacion: Para la mayoria de pymes y startups, un certificado DV es suficiente. El DV gratuito de Let’s Encrypt ofrece el mismo cifrado que un EV de miles de dolares. OV o EV solo se justifican para transacciones financieras y necesidades de seguro.

SSL gratuito vs SSL de pago

Soluciones gratuitas

Let’s Encrypt es el mayor proveedor SSL gratuito (ISRG). Certificados DV de 90 dias, renovables automaticamente via Certbot/ACME. Mas de 360 millones de sitios protegidos en todo el mundo.

Cloudflare proporciona SSL gratuito (Universal SSL) para dominios en su CDN. Activacion automatica mediante el proxy de Cloudflare.

ZeroSSL ofrece certificados DV gratuitos de 90 dias via interfaz web o ACME. Plan gratuito limitado a 3 certificados.

Soluciones de pago

El valor anadido esta en la validacion, el seguro y el soporte – no en el cifrado. DigiCert, Sectigo, GlobalSign y GeoTrust ofrecen certificados OV/EV con seguros de 10.000 a 1,5 millones USD y soporte 24/7.

Guia de decision

2026-2029: la regla de los 47 dias – lo que debe saber

El Ballot SC-081v3 del CA/Browser Forum (abril 2025) establece una reduccion progresiva de la validez de certificados SSL/TLS – el cambio mas importante desde 2020.

Calendario:

• Marzo 2026: Maximo 200 dias, reutilizacion de validacion del dominio limitada a 200 dias
• Marzo 2027: Maximo 100 dias, reutilizacion limitada a 100 dias
• Marzo 2029: Maximo 47 dias, reutilizacion de validacion limitada a solo 10 dias

A partir de 2029, habra que renovar al menos 8 veces al ano. La gestion manual sera impracticable.

Impulsores del cambio: Apple, Google y Mozilla. Duraciones cortas reducen la exposicion ante claves comprometidas y disminuyen la dependencia de mecanismos de revocacion (CRL/OCSP).

Accion: Automatice ahora. Let’s Encrypt + Certbot ya esta adaptado (90 dias + renovacion automatica). Las organizaciones con certificados de pago deben adoptar ACME o plataformas de gestion.

Practica: configurar SSL gratuito con Let’s Encrypt + Certbot

Instrucciones para Ubuntu/Debian con Nginx. Para otros entornos, consulte la documentacion oficial de Certbot.

Paso 1: Instalar Certbot

sudo apt update
sudo apt install certbot python3-certbot-nginx

Paso 2: Solicitar un certificado SSL para su dominio

Asegurese de que los registros DNS de su dominio apunten a la IP del servidor. Si acaba de registrar un dominio, puede crear rapidamente un registro A a traves del panel de gestion DNS de Nameslink.

sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

Certbot realiza la validacion, descarga el certificado y configura Nginx automaticamente en menos de 30 segundos.

Paso 3: Verificar HTTPS

Abra https://yourdomain.com y confirme el candado en la barra de direcciones. Pruebe con SSL Labs (ssllabs.com/ssltest).

Paso 4: Renovacion automatica

Certbot crea automaticamente una tarea systemd/cron para la renovacion (certificados validos 90 dias). Pruebe con:

sudo certbot renew --dry-run

Si la salida muestra Congratulations, all simulated renewals succeeded, todo esta correctamente configurado.

Certificado wildcard: un certificado para todos los subdominios

Para multiples subdominios (blog.example.com, shop.example.com, api.example.com), un certificado wildcard (*.example.com) cubre todo con un solo certificado. Let’s Encrypt los soporta gratuitamente, pero la verificacion DNS Challenge es obligatoria.

Solicitud manual

sudo certbot certonly --manual --preferred-challenges dns \
  -d "*.yourdomain.com" -d "yourdomain.com"

Certbot pide crear un registro TXT _acme-challenge.yourdomain.com en su DNS. Confirme tras anadirlo.

Metodo automatizado (recomendado)

La verificacion manual impide la renovacion automatica. Instale el plugin de Certbot de su proveedor DNS:

# Ejemplo: Cloudflare
sudo apt install python3-certbot-dns-cloudflare

# Crear archivo de credenciales API
sudo nano /etc/letsencrypt/cloudflare.ini
# Contenido: dns_cloudflare_api_token = YOUR_API_TOKEN
sudo chmod 600 /etc/letsencrypt/cloudflare.ini

# Solicitar certificado wildcard
sudo certbot certonly --dns-cloudflare \
  --dns-cloudflare-credentials /etc/letsencrypt/cloudflare.ini \
  -d "*.yourdomain.com" -d "yourdomain.com"

Plugins disponibles: Cloudflare, DigitalOcean, Route53 (AWS), Google Cloud DNS, Alibaba Cloud DNS.

Mejores practicas SSL para Nginx

El modo --nginx de Certbot configura Nginx automaticamente, pero optimice manualmente estos parametros de seguridad:

server {
    listen 443 ssl http2;
    server_name yourdomain.com www.yourdomain.com;

    ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

    # Protocolos y suites de cifrado seguros
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;

    # HSTS (fuerza al navegador a usar HTTPS)
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

    # OCSP Stapling (acelera la validacion del certificado)
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;

    # Cabeceras de seguridad adicionales
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-Frame-Options "SAMEORIGIN" always;
}

# Redireccion HTTP a HTTPS
server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://$host$request_uri;
}

Claves: ssl_protocols limitado a TLSv1.2/TLSv1.3 (versiones antiguas desactivadas). HSTS fuerza HTTPS durante 2 anos. OCSP Stapling proporciona proactivamente el estado de revocacion, evitando consultas separadas al servidor OCSP.

Estrategias de automatizacion

Ante la regla de los 47 dias en 2029, la automatizacion es una necesidad. Tres niveles:

Nivel 1: Certbot + Cron (equipo pequeno). Timer automatico, verificacion dos veces al dia, renovacion 30 dias antes del vencimiento.

Nivel 2: Cliente ACME integrado (entornos medianos). Traefik y Caddy integran ACME nativamente para Docker/Kubernetes – certificados obtenidos y renovados sin Certbot adicional.

Nivel 3: Plataformas empresariales (grandes organizaciones). DigiCert CertCentral, Sectigo Certificate Manager: gestion centralizada, multi-CA, descubrimiento automatico, cumplimiento y alertas.

Preguntas frecuentes

Que pasa cuando mi certificado expira?

El navegador muestra una advertencia a pantalla completa (“Tu conexion no es privada”) y los visitantes se van. Renueve 7 dias antes de la expiracion. La renovacion automatica de Certbot previene este problema.

Se pueden instalar varios certificados en un dominio?

Si, pero solo uno activo a la vez. Para multiples dominios en un servidor, use SNI (Server Name Indication) – soportado nativamente por Nginx y Apache.

La migracion HTTP a HTTPS afecta el SEO?

No, si se ejecuta correctamente: redirecciones 301, HTTPS anadido en Google Search Console, sitemap actualizado. Google completa el cambio de indexacion en pocas semanas.

Los certificados gratuitos son seguros?

Si. Let’s Encrypt usa los mismos algoritmos y fortalezas de clave que los certificados de pago. La diferencia esta en la validacion y el seguro, no en el cifrado.

El wildcard cubre subdominios multinivel?

*.example.com cubre solo el primer nivel (blog.example.com), no sub.blog.example.com. Se necesitan certificados wildcard separados por nivel.

Checklist completa de cero a HTTPS

Si esta construyendo un sitio web HTTPS desde cero, siga este orden:

1. Elegir y registrar un dominio: Verifique la disponibilidad con la herramienta de verificacion de dominios Nameslink – mas de 1.500 extensiones soportadas. Necesita inspiracion para el nombre? Use el generador de nombres. Una vez encontrado su dominio ideal, registrelo directamente en Nameslink.
2. Configurar DNS: Apuntar el registro A del dominio a la direccion IP del servidor.
3. Instalar el servidor web: Desplegar Nginx o Apache.
4. Obtener el certificado SSL: Usar Certbot + Let’s Encrypt para obtener un certificado DV gratuito.
5. Configurar HTTPS: Aplicar los parametros SSL segun las mejores practicas de Nginx de este articulo.
6. Configurar la redireccion HTTP a HTTPS: Redirigir automaticamente todas las solicitudes HTTP a HTTPS.
7. Probar y verificar: Usar SSL Labs para comprobar la seguridad de la configuracion y apuntar a una calificacion A+.
8. Confirmar la renovacion automatica: Ejecutar certbot renew --dry-run y verificar la simulacion exitosa.

Si ya posee un dominio y desea estimar su valor de mercado, la herramienta de valoracion de dominios Nameslink proporciona un analisis profesional basado en 22 indicadores.

La configuracion de un certificado SSL no es complicada. Sin embargo, ante la reduccion continua de los periodos de validez, es esencial establecer desde el principio un mecanismo de renovacion automatizado. Ya sea que elija Let’s Encrypt gratuito o un certificado comercial de pago, la clave esta en la automatizacion – prepare su gestion de certificados para el periodo de validez de 47 dias antes de que entre en vigor en 2029.