Después de instalar un certificado SSL, necesitas verificar que funciona correctamente: certificado correcto, cadena completa, TLS moderno, sin errores. Aquí están las mejores herramientas para cada verificación.
Herramientas en línea
SSL Labs Server Test (la más completa)
URL: ssllabs.com/ssltest
El estándar de la industria para pruebas SSL. Ingresa tu dominio y obtén un informe detallado calificado de A+ a F.
Qué verifica:
- Validez del certificado y completitud de la cadena
- Soporte de protocolos (TLS 1.0/1.1/1.2/1.3)
- Fortaleza y orden de suites de cifrado
- Vulnerabilidades conocidas (POODLE, Heartbleed, DROWN, ROBOT)
- Configuración HSTS
- OCSP stapling
- Registros CAA de DNS
- Certificate Transparency
Objetivo: Grado A+ (requiere TLS 1.2+, cifrados AEAD, HSTS con max-age largo)
Cuándo usar: Después de la configuración inicial, después de cambios de configuración y periódicamente (mensualmente).
SSL Shopper SSL Checker
URL: sslshopper.com/ssl-checker
Verificación rápida enfocada en la validez del certificado y la cadena.
Qué verifica:
- Certificado instalado correctamente
- Cadena completa (intermedia presente)
- Certificado coincide con el dominio
- Fecha de vencimiento
Cuándo usar: Verificación rápida de «¿está funcionando?» — más rápido que SSL Labs.
crt.sh (búsqueda de Certificate Transparency)
URL: crt.sh
Busca en los logs de Certificate Transparency todos los certificados emitidos para un dominio.
Cuándo usar: Monitorear certificados no autorizados, verificar que tu certificado fue registrado, revisar historial de emisión.
Why No Padlock
URL: whynopadlock.com
Escanea una página específica en busca de contenido mixto — recursos HTTP en una página HTTPS.
Cuándo usar: Cuando el candado muestra una advertencia o falta a pesar de tener un certificado válido.
Herramientas de línea de comandos
Verificaciones rápidas con OpenSSL
# Check if HTTPS works at all
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep "Verify return code"
# 0 (ok) = good
# Show certificate expiry
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate
# Show full certificate details
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -text
# Check TLS version negotiated
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep "Protocol"
# Test specific TLS version
echo | openssl s_client -connect yourdomain.com:443 -tls1_3 2>/dev/null | grep "Protocol"Hoja de referencia completa de OpenSSL →
curl para prueba rápida HTTPS
# Basic HTTPS check
curl -I https://yourdomain.com
# Show certificate info
curl -vI https://yourdomain.com 2>&1 | grep -E 'subject:|issuer:|expire'
# Check redirect from HTTP
curl -ILs http://yourdomain.com | grep -E '^HTTP|^Location'nmap para enumeración de cifrados
nmap --script ssl-enum-ciphers -p 443 yourdomain.comMuestra todas las suites de cifrado que soporta el servidor, agrupadas por versión TLS.
Qué verificar y cuándo
| Cuándo | Qué verificar | Herramienta |
|---|---|---|
| Después de instalar un certificado | Cadena completa, dominio coincide | SSL Shopper (rápido) |
| Después de cambios de configuración | Auditoría completa (grado, cifrados, vulnerabilidades) | SSL Labs (exhaustivo) |
| Mensualmente | Vencimiento próximo | Script de monitoreo |
| Después de migración | Contenido mixto | Why No Padlock |
| Continuamente | Certificados no autorizados | crt.sh / monitoreo CT |
| Depurando errores | Detalles de conexión | OpenSSL s_client |
Interpretar las calificaciones de SSL Labs
| Grado | Significado | Problemas comunes |
|---|---|---|
| A+ | Excelente | Tiene HSTS con max-age largo |
| A | Bueno | Falta HSTS o max-age corto |
| B | OK pero necesita mejoras | Suites de cifrado antiguas, TLS 1.0/1.1 habilitado |
| C | Configuración débil | Cifrados vulnerables, sin secreto perfecto hacia adelante |
| F | Problemas serios | Vulnerabilidad conocida, certificado expirado |
| T | Certificado no confiable | Autofirmado, dominio incorrecto, cadena incompleta |
Mejores prácticas SSL para alcanzar A+ →
Preguntas frecuentes
¿Con qué frecuencia debo probar?
Después de cualquier cambio relacionado con SSL, y al menos mensualmente como parte del monitoreo. Los resultados de SSL Labs se almacenan en caché por unas horas — añade &clearCache=on para forzar un escaneo nuevo.
¿SSL Labs es seguro de usar? ¿Expone mi sitio?
Sí, es seguro. SSL Labs se conecta a tu servidor de la misma manera que cualquier navegador. No modifica nada ni expone vulnerabilidades. Los resultados son públicos por defecto — marca «Do not show the results on the boards» si prefieres privacidad.
Mi sitio obtiene A en SSL Labs pero sigue mostrando «No seguro»
La calificación de SSL Labs cubre la configuración TLS del servidor. «No seguro» en el navegador también puede venir de: contenido mixto (verifica con Why No Padlock), redirección faltante desde HTTP, o acceder vía HTTP directamente. Estos son problemas a nivel de página, no a nivel de servidor.
¿Puedo automatizar las pruebas SSL?
SSL Labs tiene una API gratuita: api.ssllabs.com/api/v3/analyze?host=yourdomain.com. Puedes integrarla en pipelines de CI/CD o monitoreo. Para verificaciones más simples, usa los comandos OpenSSL en un script cron.