Nova Uptime
SSL y seguridadssl-monitoringcertificate-expirationssl-expiry

Monitorización de certificados SSL: por qué importa y cómo hacerlo

Monitoriza las fechas de caducidad de los certificados SSL automáticamente. Descubre por qué falla la renovación automática, configura alertas y evita.

SN
Sumit Nova Uptime
12 de febrero de 2026 · 18 min read
Share:

Un certificado SSL caducado no se limita a mostrar un aviso discreto en el navegador. Detiene a los visitantes en seco. Los navegadores modernos muestran una pantalla intersticial completa que dice al usuario que la conexión no es segura y le desaconseja activamente continuar. Para la mayoría de visitantes, ahí termina la sesión. Cierran la pestaña y se van a la competencia. Los buscadores también se enteran, y las penalizaciones de ranking pueden persistir mucho después de renovar el certificado.

La monitorización de certificados SSL existe precisamente para evitar este escenario. Esta guía explica por qué la monitorización SSL es esencial, por qué la renovación automática por sí sola no basta y cómo configurar una monitorización que detecte los problemas antes de que lleguen a tus visitantes.

¿Qué son los certificados SSL?#

Los certificados SSL (Secure Sockets Layer), llamados con más precisión certificados TLS (Transport Layer Security), son credenciales digitales que establecen una conexión cifrada entre un navegador web y un servidor web. Cuando ves el icono del candado en la barra de direcciones del navegador, significa que hay un certificado SSL/TLS instalado y la conexión está cifrada.

Qué hacen los certificados SSL#

  • Cifran los datos en tránsito: todos los datos intercambiados entre el navegador y el servidor se cifran, evitando que se espíe información sensible como contraseñas, datos de pago o información personal.
  • Autentican al servidor: el certificado verifica que el servidor es quien dice ser. Esto previene ataques man-in-the-middle, donde un atacante suplanta tu servidor para interceptar las comunicaciones.
  • Habilitan HTTPS: sin un certificado SSL válido, tu sitio se sirve por HTTP (sin cifrar). HTTPS es la versión cifrada que esperan los navegadores y los buscadores.
  • Generan confianza: el icono del candado, el prefijo "https://" y la ausencia de avisos del navegador indican a los visitantes que tu sitio es legítimo y seguro.

Tipos de certificados SSL#

Hay tres niveles principales de validación:

  • Validación de dominio (DV): verifica que controlas el dominio. Es el tipo más habitual, se emite en pocos minutos. Let's Encrypt los ofrece gratis.
  • Validación de organización (OV): verifica el dominio y la organización detrás. Tarda unos días en emitirse.
  • Validación extendida (EV): la verificación más rigurosa, incluye comprobación de la entidad legal. Antes mostraba una barra verde en los navegadores, aunque la mayoría ya no distingue visualmente los certificados EV.

Independientemente del tipo, todos los certificados SSL caducan y deben renovarse.

Por qué caducan los certificados SSL#

Los certificados SSL están diseñados intencionalmente para caducar. Es una característica de seguridad, no una limitación.

El motivo de seguridad#

  • Mitigación de claves comprometidas: si la clave privada de un certificado se ve comprometida, el daño se limita al periodo de validez del certificado. Una vida útil más corta reduce la ventana de vulnerabilidad.
  • Evolución criptográfica: los estándares de cifrado mejoran con el tiempo. La caducidad obliga a actualizar regularmente a estándares más nuevos y robustos.
  • Verificación de la propiedad del dominio: la renovación requiere volver a validar la propiedad del dominio, evitando situaciones en las que un dominio cambia de manos pero el certificado del antiguo propietario sigue activo.
  • Limitaciones de la revocación: los mecanismos de revocación de certificados (CRL, OCSP) son imperfectos. Una validez corta proporciona un respaldo natural.

Vida útil de los certificados#

El sector ha ido reduciendo paulatinamente la vida útil máxima de los certificados:

  • Antes de 2015: hasta 5 años
  • 2015-2018: máximo 3 años
  • 2018-2020: máximo 2 años
  • A partir de 2020: máximo 398 días (aproximadamente 13 meses)
  • Próximos cambios: el sector se está moviendo hacia certificados de 90 días. Let's Encrypt ya emite por defecto certificados de 90 días.

Una vida útil más corta significa renovaciones más frecuentes, lo que se traduce en más oportunidades de que algo falle.

Qué pasa cuando caduca un certificado SSL#

Las consecuencias de un certificado SSL caducado son inmediatas y graves.

Avisos del navegador#

Todos los navegadores principales muestran una pantalla completa de aviso al toparse con un certificado caducado:

  • Chrome: "Tu conexión no es privada" con el código de error NET::ERR_CERT_DATE_INVALID. El usuario debe pulsar "Configuración avanzada" y luego "Continuar al sitio (no seguro)" para entrar, algo que la mayoría no hará.
  • Firefox: "Advertencia: posible riesgo de seguridad a continuación" con una opción avanzada de bypass similar.
  • Safari: "Esta conexión no es privada" con opciones para volver atrás o ver detalles.
  • Edge: similar a Chrome, ya que comparten el mismo motor subyacente.

No son indicadores discretos. Son bloqueos a pantalla completa diseñados para impedir que los usuarios lleguen a tu sitio. Los estudios indican que el 85 % o más de los visitantes se irá al encontrarse con un aviso SSL.

Impacto en tráfico e ingresos#

El impacto de un certificado caducado en el tráfico es prácticamente total:

  • Los visitantes directos ven el aviso y se van.
  • Los buscadores pueden detectar el certificado caducado durante el rastreo y empezar a marcar o degradar el sitio.
  • Se pierde el tráfico de referencia de los enlaces porque los visitantes aterrizan en una pantalla de aviso en lugar de en tu contenido.
  • Los enlaces en emails que apuntan a tu sitio provocan el mismo aviso, afectando a cada campaña de email, email transaccional y newsletter que envíes.
  • Las integraciones por API que conectan con tu dominio por HTTPS pueden empezar a fallar, rompiendo aplicaciones dependientes.

Penalizaciones SEO#

Google usa HTTPS como señal de ranking desde 2014. Un certificado caducado no solo elimina esta señal positiva; perjudica activamente tu posicionamiento:

  • Errores de rastreo: Googlebot puede registrar errores al toparse con el certificado caducado, reduciendo la eficiencia del rastreo.
  • Caída de posiciones: las páginas pueden perder posiciones a medida que los sistemas de Google detectan el problema de seguridad.
  • Recuperación lenta: incluso después de renovar el certificado, pueden pasar días o semanas hasta que el ranking se recupere por completo, mientras los buscadores vuelven a rastrear y reevaluar el sitio.
  • Pérdida de valor de los backlinks: si otros sitios enlazan a tus URLs HTTPS y esas URLs muestran errores de certificado, el link equity puede verse mermado.

Integraciones rotas#

Las aplicaciones web modernas dependen de HTTPS prácticamente para todas las comunicaciones externas:

  • Procesamiento de pagos: pasarelas como Stripe requieren HTTPS. Un certificado caducado significa que, literalmente, no puedes procesar pagos.
  • OAuth y SSO: los flujos de single sign-on requieren endpoints HTTPS válidos. Un certificado caducado rompe el inicio de sesión para usuarios que se autentican con Google, Microsoft u otros proveedores de identidad.
  • Consumidores de API: cualquier aplicación de terceros que llame a tu API por HTTPS recibirá errores SSL y fallará.
  • Webhooks: los servicios que envían notificaciones por webhook a tus endpoints HTTPS fallarán y pueden dejar de reintentar tras varios fallos.

Por qué la renovación automática no basta#

La mayoría de proveedores de certificados SSL ofrecen renovación automática, y plataformas como Let's Encrypt están diseñadas en torno a renovaciones automáticas de 90 días con herramientas como Certbot. Suena como si esto resolviera el problema por completo. No es así.

La renovación automática falla más a menudo de lo que la gente espera, y cuando falla, las consecuencias son las mismas que si no tuvieras ningún proceso de renovación.

Modos habituales de fallo de la renovación automática#

Cambios en la configuración DNS#

La validación del certificado suele requerir registros DNS que apunten a tu servidor. Si has cambiado de proveedor DNS, actualizado los nameservers, añadido un CDN o modificado registros DNS desde la última renovación, el paso de validación puede fallar porque la autoridad certificadora no puede verificar la propiedad del dominio por el método esperado.

Cambios en la configuración del servidor#

Las herramientas de renovación automática como Certbot necesitan o bien colocar un fichero de validación en tu servidor web, o bien responder a un challenge HTTP. Si has cambiado de servidor web (migrado de Apache a Nginx, por ejemplo), pasado a un despliegue con contenedores o modificado la configuración del servidor, la herramienta de renovación puede no tener ya el acceso que necesita.

Fallos de pago#

Para los certificados de pago (OV y EV de CAs comerciales), la renovación automática requiere un método de pago válido. Tarjetas caducadas, fondos insuficientes o cambios en los datos de facturación harán que la renovación falle silenciosamente. La autoridad certificadora puede enviar un aviso de fallo de cobro que se pierda en una bandeja de entrada compartida.

Problemas del proveedor#

Las propias autoridades certificadoras pueden sufrir caídas, cambios en su API o cambios de política que afecten a la renovación automática. Si tu renovación está programada durante una caída del proveedor, falla. El rate limiting por parte de la CA en periodos de alta demanda también puede provocar que las renovaciones se retrasen o se rechacen.

Bugs en Certbot y clientes ACME#

El software que gestiona la renovación automática puede tener bugs, sobre todo tras actualizaciones del sistema. Una actualización del SO del servidor puede cambiar la versión de Python y romper Certbot. La reconstrucción de contenedores Docker puede no preservar la configuración de renovación. Los cron jobs que disparan la renovación pueden quedar deshabilitados durante el mantenimiento y no volver a habilitarse.

Certificados multidominio y wildcard#

Los certificados que cubren varios dominios o usan entradas wildcard añaden complejidad. Si alguno de los dominios de un certificado multidominio falla la validación, falla toda la renovación. Los certificados wildcard requieren challenges DNS-01, que dependen del acceso por API a tu proveedor de DNS. Si esa API key caduca o el proveedor cambia su API, la renovación se rompe.

El problema del fallo silencioso#

El aspecto más peligroso de los fallos en la renovación automática es que son silenciosos. El intento de renovación falla, quizá con un error registrado en un fichero que nadie revisa, y el certificado sigue su cuenta atrás hacia la caducidad. Sin monitorización, descubres el problema solo cuando el certificado realmente caduca y los usuarios empiezan a ver avisos del navegador.

Para entonces, el daño ya está hecho.

Cómo funciona la monitorización SSL#

La monitorización de certificados SSL es un proceso automatizado y continuo que comprueba tus certificados y te alerta de problemas antes de que afecten a tus visitantes.

Qué comprueba la monitorización SSL#

Un sistema de monitorización SSL completo examina varios aspectos de tu certificado y de la configuración HTTPS:

Fecha de caducidad del certificado#

La comprobación más fundamental: ¿cuándo caduca el certificado? Los sistemas de monitorización siguen la fecha de caducidad y te alertan en umbrales configurables. Por ejemplo, puedes querer alertas a 30 días, 14 días, 7 días y 1 día antes de la caducidad. Esto te da varias oportunidades de detectar y solucionar una renovación automática fallida.

Validez del certificado#

Más allá de la fecha de caducidad, el sistema de monitorización verifica que el certificado sea válido en este momento:

  • ¿La fecha de inicio del certificado es pasada? (Un certificado con fecha de inicio futura todavía no es válido.)
  • ¿La autoridad certificadora ha revocado el certificado?
  • ¿El certificado lo ha emitido una autoridad certificadora de confianza?

Cadena de certificados#

Los certificados SSL dependen de una cadena de confianza desde tu certificado hasta una autoridad certificadora raíz. La monitorización verifica que:

  • La cadena de certificados completa esté presente y correctamente ordenada.
  • Todos los certificados intermedios estén incluidos. Un certificado intermedio que falte provoca errores en algunos dispositivos y navegadores pero no en otros, lo que lo convierte en uno de los problemas SSL más difíciles de depurar sin monitorización.
  • El certificado raíz sea de confianza para los principales almacenes de confianza de navegadores y sistemas operativos.

Configuración de protocolos y cifrados#

Más allá del propio certificado, la configuración del protocolo TLS importa:

  • Versiones de protocolo: ¿el servidor sigue aceptando protocolos obsoletos e inseguros como TLS 1.0 o TLS 1.1? La buena práctica actual exige TLS 1.2 como mínimo, con TLS 1.3 preferido.
  • Suites de cifrado: ¿se están usando suites de cifrado fuertes? Los cifrados débiles u obsoletos pueden ser explotados aunque el propio certificado sea válido.
  • HSTS (HTTP Strict Transport Security): ¿el servidor envía cabeceras HSTS para prevenir ataques de downgrade?

Detección de contenido mixto#

Incluso con un certificado válido, servir algunos recursos (imágenes, scripts, hojas de estilo) por HTTP en lugar de HTTPS provoca avisos de "contenido mixto". La monitorización puede detectar cuándo tus páginas HTTPS hacen referencia a recursos HTTP inseguros.

El ciclo de monitorización#

Así funciona una comprobación típica de monitorización SSL:

  1. El sistema de monitorización inicia un handshake TLS con tu servidor.
  2. Durante el handshake, el sistema recibe el certificado del servidor y la cadena de certificados.
  3. El sistema valida el certificado: ¿es válido en este momento, no caducado, no revocado y emitido por una CA de confianza?
  4. El sistema comprueba la cadena de certificados: completitud y orden correcto.
  5. El sistema evalúa la versión del protocolo TLS y las suites de cifrado que ofrece el servidor.
  6. El sistema registra la fecha de caducidad del certificado y calcula los días restantes.
  7. Si alguna comprobación falla o la fecha de caducidad cruza un umbral de aviso, se envían alertas.
  8. Todos los resultados se registran para seguimiento histórico e informes.

Qué buscar en una monitorización SSL#

Al evaluar soluciones de monitorización SSL, estas son las capacidades que importan.

Avisos anticipados de caducidad#

La herramienta de monitorización debería avisarte mucho antes de que el certificado caduque realmente. Busca umbrales de aviso configurables:

  • 30 días: primer aviso. Tiempo suficiente para investigar el estado de la renovación automática y renovar manualmente si hace falta.
  • 14 días: alerta de escalado si el primer aviso no se atendió.
  • 7 días: alerta urgente. A estas alturas, alguien tiene que actuar.
  • 1-3 días: alerta crítica. El certificado está a punto de caducar.

Varios niveles de aviso aseguran que el problema no se cuele entre las grietas aunque la primera alerta pase desapercibida.

Detección de certificados inválidos#

Aparte de la monitorización de caducidad, la herramienta debería alertarte de inmediato si tu certificado se vuelve inválido por cualquier motivo:

  • Certificado revocado por la CA
  • Nombre de dominio que no coincide (el certificado no cubre el dominio que se está sirviendo)
  • Autoridad certificadora no de confianza
  • Cadena de certificados incompleta
  • Certificado autofirmado detectado en un dominio de producción

Estos problemas provocan los mismos avisos del navegador que un certificado caducado y necesitan atención igual de urgente.

Monitorización continua, no comprobaciones puntuales#

Una comprobación puntual del certificado te indica el estado en ese momento. La monitorización continua, comprobando cada pocos minutos u horas, detecta los problemas a medida que se desarrollan:

  • Un certificado válido ayer puede estar revocado hoy.
  • Un cambio en la configuración del servidor puede romper la cadena de certificados.
  • Una actualización del balanceador de carga puede servir el certificado equivocado.

La monitorización SSL de Nova Uptime forma parte de cada comprobación de uptime, así que tu certificado se valida cada vez que se comprueba tu sitio, ya sea cada 30 segundos o cada 5 minutos. Puedes ver todas las capacidades de monitorización SSL en la página de funciones.

Validación de la cadena de certificados#

Muchos problemas SSL provienen de problemas en la cadena de certificados más que del certificado de hoja en sí. La herramienta de monitorización debería validar la cadena entera, desde el certificado de tu dominio, pasando por los certificados intermedios, hasta la CA raíz.

Un problema habitual es un certificado intermedio que falta. Esto provoca fallos en algunos dispositivos (especialmente dispositivos Android antiguos y ciertos clientes de API) mientras que en navegadores de escritorio parece todo bien. Sin monitorización que compruebe la cadena completa, puede que no te enteres del problema hasta que un cliente lo reporte.

Alertas y notificaciones#

El sistema de alertas debería ser:

  • Multicanal: email, SMS, Slack y webhooks para que las alertas lleguen a la persona adecuada esté donde esté.
  • Configurable: distintos umbrales para distintos niveles de severidad. Un aviso a 30 días puede ir por email; un aviso a 3 días debería avisar a alguien por busca.
  • Deduplicado: quieres que te alerten, no que te spameen. Los buenos sistemas de monitorización envían una alerta por umbral en vez de repetir la misma alerta en cada comprobación.

Histórico#

El histórico del certificado te ayuda a:

  • Verificar que las renovaciones se han hecho según lo previsto.
  • Hacer seguimiento de los cambios del certificado (emisor, periodo de validez, dominios cubiertos).
  • Identificar patrones en los problemas de certificados.
  • Aportar evidencias para auditorías de cumplimiento.

Cómo configurar la monitorización SSL: guía práctica#

Aquí tienes un proceso sencillo para poner en marcha la monitorización SSL.

Paso 1: Inventaría tus certificados#

Lista cada dominio y subdominio que use SSL:

  • Tu sitio web principal (example.com, www.example.com)
  • Subdominios de aplicación (app.example.com, api.example.com)
  • Subdominios de marketing (blog.example.com, landing.example.com)
  • Herramientas internas (admin.example.com, staging.example.com)

No olvides los dominios usados para integraciones SaaS, dominios de email personalizados o endpoints de API que puedan usar certificados distintos.

Paso 2: Añade los dominios a la monitorización#

Añade cada dominio a tu herramienta de monitorización. Con Nova Uptime es tan sencillo como añadir la URL del dominio. El sistema realiza automáticamente la validación SSL como parte de cada comprobación de salud, sin configuración adicional.

Paso 3: Configura los umbrales de alerta#

Define tus periodos de aviso preferidos. Una buena configuración inicial:

  • 30 días: alerta por email al equipo responsable de infraestructura
  • 14 días: alerta por email con prioridad más alta
  • 7 días: alerta al líder del equipo o al engineering manager
  • 3 días: avisar al ingeniero de guardia

Paso 4: Verifica la renovación automática#

Para cada certificado, confirma que la renovación automática esté configurada y funcionando:

  • Comprueba que Certbot (o tu herramienta de renovación) esté programado para ejecutarse antes de que caduque el certificado.
  • Verifica que la herramienta de renovación tenga los permisos y credenciales necesarios.
  • Lanza una renovación en modo dry-run para detectar errores: certbot renew --dry-run.
  • Confirma que los emails de notificación de renovación de tu CA llegan a una bandeja de entrada monitorizada.

Paso 5: Prueba la cadena de alertas#

Dispara intencionadamente una alerta de prueba (la mayoría de herramientas de monitorización tienen esta opción) y verifica que llega a las personas adecuadas por los canales adecuados. Una alerta que nadie ve no es mejor que no tener alerta.

La monitorización SSL como parte de una estrategia de seguridad más amplia#

La monitorización SSL es un componente de una estrategia integral de seguridad y fiabilidad del sitio web. Funciona junto con:

  • Monitorización de uptime: detecta cuándo tu sitio se cae por completo, ya sea por problemas de servidor, problemas de DNS u otras causas.
  • Monitorización de email health: verifica que la autenticación de email de tu dominio (SPF, DKIM, DMARC) esté correctamente configurada para prevenir spoofing y asegurar deliverability.
  • Monitorización de caducidad de dominio: hace seguimiento de cuándo caduca el registro de tu dominio, evitando el escenario catastrófico de perder tu dominio por completo.
  • Monitorización de rendimiento: mide los tiempos de respuesta para detectar degradación antes de que se convierta en una caída total.

Nova Uptime combina todas estas capacidades en una única plataforma de monitorización. Cada dominio que añades se monitoriza automáticamente para uptime, validez SSL y tiempo de respuesta. Las comprobaciones de email health y el seguimiento de caducidad de dominio aportan capas adicionales de protección. Mira el conjunto completo de funciones de monitorización en la página de funciones.

El coste de no monitorizar#

Piensa en esto: un certificado SSL de pago de una CA comercial cuesta entre 50 y 200 dólares al año. Un certificado gratis de Let's Encrypt cuesta nada. Un servicio de monitorización de uptime y SSL cuesta como mucho unos pocos dólares al mes.

Ahora compáralo con el coste de un certificado caducado:

  • Horas o días de tráfico e ingresos perdidos mientras se detecta y resuelve el problema
  • Semanas de recuperación SEO mientras los buscadores reevalúan tu sitio
  • Pérdida permanente de visitantes que llegaban por primera vez y se toparon con el aviso del navegador
  • Costes de soporte por clientes existentes que no podían acceder a tu sitio
  • Posibles incumplimientos normativos o de SLA

Las cuentas no engañan. La monitorización SSL cuesta una fracción mínima de lo que cuesta una sola caída relacionada con un certificado.

No esperes al aviso del navegador. Configura la monitorización, recibe alertas anticipadas y mantén tus certificados válidos. Tus visitantes, tu posicionamiento en buscadores y tus ingresos te lo agradecerán.

Monitor Your Website Before It Goes Down

Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.

Start Monitoring Free

Artículos relacionados

Uptime monitoring29 abr 2026

Monitorización de dominios con alertas SSL: la guía de configuración completa para 2026

Configura alertas de caducidad de dominio, certificados SSL y uptime en un solo sitio. Stack gratuito con notificaciones por email + WhatsApp. Playbook 2026.

16 min readLeer
Gestión de dominios18 mar 2026

Expiración de dominio vs expiración de SSL: ¿cuál es la diferencia?

Expiración de dominio vs expiración de SSL: qué pasa cuando expira cada una, las diferencias críticas y cómo monitorizar ambas eficazmente.

7 min readLeer
SSL y seguridad12 feb 2026

Prevención de la caducidad de certificados SSL: no vuelvas a perder una renovación

El 65 % de las organizaciones ha sufrido caídas relacionadas con SSL. Descubre por qué los certificados caducan sin que nadie lo note y cómo automatizar.

20 min readLeer