Los certificados SSL vienen en tres niveles de validación: DV (Validación de Dominio), OV (Validación de Organización) y EV (Validación Extendida). Los tres proporcionan la misma fortaleza de cifrado — la diferencia es cuán exhaustivamente la Autoridad Certificadora verifica la identidad del solicitante del certificado.
Para la mayoría de los sitios web, un certificado DV gratuito de Let’s Encrypt es suficiente.
Comparación rápida
| DV | OV | EV | |
|---|---|---|---|
| Valida | Solo propiedad del dominio | Dominio + la organización existe | Dominio + auditoría exhaustiva de la org |
| Tiempo de emisión | Minutos (automatizado) | 1-3 días | 1-2 semanas |
| Cifrado | Igual | Igual | Igual |
| Precio | Gratis (Let’s Encrypt) | $50-200/año | $100-500/año |
| Indicador del navegador | Candado | Candado | Candado (barra verde eliminada en 2019) |
| Nombre de la organización en el certificado | No | Sí | Sí |
| Garantía | Ninguna | $10K-250K | $250K-1,75M |
| Comodín disponible | Sí | Sí | No |
| Mejor para | 90%+ de los sitios web | Cumplimiento empresarial | Industrias reguladas |
Validación de Dominio (DV)
Los certificados DV verifican solo que controlas el dominio. La CA lo verifica automáticamente vía:
- Desafío HTTP-01 — colocar un archivo en tu servidor
- Desafío DNS-01 — añadir un registro TXT a tu DNS
- Validación por correo — responder a un correo enviado a admin@yourdomain.com
Sin papeleo, sin llamadas telefónicas, sin esperas. La emisión toma minutos.
Quién emite DV gratis:
- Let’s Encrypt — vía GetHTTPS, Certbot, acme.sh
- Buypass Go — validez de 180 días
- Google Trust Services — vía ACME
DV es suficiente para:
- Sitios personales y blogs
- Aplicaciones SaaS y APIs
- Comercio electrónico (PCI DSS acepta DV)
- Startups y pequeñas empresas
- Herramientas internas
- Entornos de staging/desarrollo
Validación de Organización (OV)
Los certificados OV verifican la propiedad del dominio más la identidad legal de la organización. La CA verifica:
- Control del dominio (igual que DV)
- La organización existe en registros gubernamentales
- Verificación de dirección física
- Llamada de verificación telefónica
Los certificados OV incluyen el nombre legal de la organización en los metadatos del certificado. Sin embargo, los navegadores modernos no muestran ninguna diferencia visual entre DV y OV — los usuarios ven el mismo icono de candado.
Cuándo podrías necesitar OV:
- Adquisiciones empresariales que específicamente requieren OV
- Marcos de cumplimiento que exigen identidad organizacional en los certificados
- Política interna de la empresa que requiere OV
Validación Extendida (EV)
Los certificados EV requieren la verificación más exhaustiva:
- Todo lo de OV
- Verificar la existencia operacional de la organización (no solo legal)
- Verificar la dirección física
- Verificar la autoridad del solicitante para pedir el certificado
- Renovación anual de todos los pasos de verificación
La barra verde desapareció. Chrome eliminó la barra de dirección verde de EV en 2019 (versión 77). Firefox siguió. Ahora no hay distinción visual entre DV, OV y EV en ningún navegador principal. Los usuarios no pueden notar la diferencia.
Cuándo podrías necesitar EV:
- Requisito regulatorio específico (verifica la regulación real — muchas personas asumen que se requiere EV cuando no es así)
- Algunas instituciones financieras lo requieren para cumplimiento
- Rara vez se justifica por razones técnicas o de seguridad
Árbol de decisión
Do you have a specific compliance requirement mandating OV or EV?
├── Yes → Get OV or EV from a commercial CA
└── No → Is there a procurement policy requiring org identity in the cert?
├── Yes → Get OV
└── No → DV is sufficient → Get a free one from Let's EncryptEl 94,3% de todos los certificados SSL son DV. El mercado ha hablado.
Conceptos erróneos comunes
«EV es más seguro que DV.» Incorrecto. Los tres tipos usan cifrado idéntico. Un certificado DV de Let’s Encrypt proporciona la misma protección TLS que un certificado EV de $500 de DigiCert. El cifrado no sabe ni le importa el nivel de validación.
«Los sitios de comercio electrónico necesitan EV.» PCI DSS (el estándar de la industria de tarjetas de pago) requiere cifrado, no un nivel de validación específico. Los certificados DV cumplen los requisitos de PCI. Tu procesador de pagos (Stripe, PayPal) maneja las partes más sensibles de todas formas.
«Los usuarios confían más en los sitios con EV.» Desde que los navegadores ya no muestran ninguna diferencia visual (sin barra verde desde 2019), los usuarios no pueden distinguir EV de DV. Los estudios mostraron que la mayoría de los usuarios nunca notaron la barra verde incluso cuando existía.
Preguntas frecuentes
¿Google posiciona mejor los sitios EV que los DV?
No. Google ha confirmado que el tipo de certificado SSL no afecta el posicionamiento. Cualquier certificado HTTPS válido proporciona la misma señal SEO.
¿Puedo actualizar de DV a OV después?
Sí. Compra un certificado OV de una CA comercial y reemplaza los archivos en tu servidor. Sin migración ni tiempo de inactividad necesarios.
¿Por qué las CAs comerciales impulsan EV?
Ingresos. Los certificados EV cuestan $100-500/año vs $0 para DV de Let’s Encrypt. El marketing de las CA enfatiza confianza y garantía, pero el cifrado es idéntico y la barra verde desapareció.
¿Qué hay de la garantía en los certificados de pago?
Las garantías de certificados cubren daños si la CA emite un certificado a la persona equivocada (emisión incorrecta). NO te cubren si tu sitio es hackeado. En la práctica, las reclamaciones de garantía son extremadamente raras y tienen condiciones estrictas. Ningún pago significativo de garantía se ha documentado públicamente.