Una Autoridad Certificadora (CA) es una organización de confianza que emite y firma certificados SSL/TLS. Cuando una CA firma tu certificado, los navegadores confían en que tu sitio web es quien dice ser. Sin CAs, no habría forma de verificar que https://tubanco.com es realmente tu banco y no un impostor.
Cómo funciona el modelo de confianza de las CA
- Las CA raíz están preinstaladas en navegadores y sistemas operativos. Apple, Google, Mozilla y Microsoft mantienen cada uno una lista de CAs raíz de confianza (el «almacén raíz»).
- Cuando solicitas un certificado, la CA valida la propiedad de tu dominio (DV) o la identidad de la organización (OV/EV).
- La CA firma tu certificado con su clave privada. Esta firma es la prueba de confianza.
- Cuando los visitantes se conectan, su navegador verifica la firma contra su lista preinstalada de CAs de confianza.
Si la CA está en el almacén de confianza y la firma es válida → icono de candado. Si no → advertencia de seguridad.
Principales Autoridades Certificadoras
| CA | Cuota de mercado | Opción gratuita | Notas |
|---|---|---|---|
| Let’s Encrypt | 63,9% | Todo gratis | Sin ánimo de lucro, la CA más grande globalmente |
| GlobalSign | 22,2% | No | Comercial, popular en Europa |
| Sectigo | 5,9% | Limitada (nivel gratuito de ZeroSSL) | Antes Comodo, propietaria de ZeroSSL |
| DigiCert | ~3% | No | Enfoque empresarial, propietaria de la CA de Symantec |
| Google Trust Services | Creciente | Sí, vía ACME | La propia CA de Google |
| Buypass | <1% | Sí, Go SSL (180 días) | CA noruega |
La cuota de mercado del 63,9% de Let’s Encrypt la convierte en la CA dominante — más que las cinco siguientes combinadas.
Por qué Let’s Encrypt cambió todo
Antes de Let’s Encrypt (lanzado en 2016):
- Los certificados SSL costaban $50-500/año
- La validación requería papeleo manual
- Solo ~18% de los sitios web usaban HTTPS
Después de Let’s Encrypt:
- Certificados DV gratuitos para todos
- Completamente automatizado vía protocolo ACME
- 86,9% de los sitios web usan HTTPS
- Más de mil millones de certificados emitidos
Let’s Encrypt demostró que el cifrado con validación de dominio debería ser una línea base, no un producto premium. Usa GetHTTPS para obtener un certificado de Let’s Encrypt en tu navegador.
El CA/Browser Forum
El CA/Browser Forum (CA/B Forum) es el organismo de la industria donde las Autoridades Certificadoras y los proveedores de navegadores establecen conjuntamente los estándares para la emisión de certificados. Las decisiones clave incluyen:
- Baseline Requirements — estándares mínimos que todas las CAs públicas deben seguir
- Reducción de validez de certificados — votó reducir la validez máxima a 47 días para 2029
- Certificate Transparency — requiere que las CAs registren todos los certificados emitidos en logs públicos
- Depreciación de algoritmos débiles — eliminación gradual de SHA-1, MD5, etc.
Los miembros incluyen Apple, Google, Mozilla, Microsoft (lado de navegadores) y Let’s Encrypt, DigiCert, Sectigo, GlobalSign (lado de CAs). Las decisiones requieren una supermayoría de votos de ambos lados.
Certificate Transparency
Desde 2018, todas las CAs de confianza pública deben enviar cada certificado emitido a logs de Certificate Transparency (CT) — logs públicos de solo adición y auditables. Esto significa:
- Cualquiera puede monitorear qué certificados se emiten para sus dominios
- Los certificados emitidos incorrectamente son detectables (si una CA emite un certificado para
google.coma alguien que no lo controla, Google puede verlo en los logs) - Herramientas como crt.sh te permiten buscar en los logs CT cualquier dominio
CT no previene la emisión incorrecta, pero la hace detectable — lo cual es un fuerte disuasivo.
Cómo elegir una CA
Para la mayoría de los sitios web, la elección es simple:
| Necesidad | CA recomendada | Cómo obtener |
|---|---|---|
| Certificado DV gratuito | Let’s Encrypt | GetHTTPS o Certbot |
| DV gratuito con mayor validez | Buypass Go (180 días) | acme.sh o Certbot |
| OV/EV para cumplimiento | DigiCert o Sectigo | Comprar en su sitio web |
| Automático con Cloudflare | Cloudflare | Habilitar en el panel de Cloudflare |
Compara todos los proveedores gratuitos →
Preguntas frecuentes
¿Cualquiera puede convertirse en CA?
Técnicamente puedes crear tu propia CA, pero los navegadores no confiarán en ella a menos que pase los Baseline Requirements del CA/Browser Forum y se añada a los almacenes de confianza de los navegadores — un proceso que toma años, cuesta millones en auditorías y requiere mantener seguridad operacional estricta (claves raíz offline, módulos de seguridad de hardware, respuesta a incidentes 24/7).
¿Qué sucede si una CA se ve comprometida?
La CA se elimina de los almacenes de confianza de los navegadores vía actualizaciones de software. Todos los certificados emitidos por esa CA dejan de ser confiables. Incidentes notables:
- DigiNotar (2011) — hackeada, emitió certificados fraudulentos para Google y otros dominios. La CA fue revocada y quebró.
- Symantec (2018) — problemas persistentes de emisión incorrecta. Google Chrome gradualmente desconfió de todos los certificados emitidos por Symantec. DigiCert adquirió el negocio de CA de Symantec.
Las claves raíz se almacenan en módulos de seguridad de hardware (HSM) offline con controles de acceso físico para minimizar este riesgo.
¿Todos los certificados de CA son igualmente confiables por los navegadores?
Sí, en términos del icono de candado. Un certificado DV gratuito de Let’s Encrypt y un certificado EV de $500 de DigiCert muestran el mismo candado en la barra de direcciones. Los navegadores confían en todas las CAs de su almacén raíz por igual para propósitos de cifrado. Las diferencias están en el nivel de validación (DV/OV/EV) y servicios (soporte, garantía), no en la fortaleza del cifrado o la confianza del navegador.
¿Cuántas CAs existen?
Hay aproximadamente 100-150 CAs raíz en los principales almacenes de confianza, pero el mercado está muy concentrado. Let’s Encrypt (63,9%), GlobalSign (22,2%) y Sectigo (5,9%) controlan más del 90% de todos los certificados emitidos.