¿La petición pasa por vuestro servidor?

Sí. El navegador no puede abrir un socket TLS en bruto: el TLS handshake ocurre en nuestro **backend Node.js**, que conecta al host destino, recupera la cadena de certificados y la devuelve como JSON. **No registramos hostnames** ni almacenamos el certificado. Hay un límite de **30 comprobaciones por hora por IP** para mantener el servicio receptivo.

¿Qué es una "cadena" y por qué hay 3 certificados?

TLS usa una **cadena de confianza**. El **certificado leaf** (tu dominio) está firmado por una **CA intermedia**, que a su vez está firmada por una **CA raíz** incrustada en cada sistema operativo. Una cadena típica son **3 certificados**: leaf → intermedio → raíz. Algunas configuraciones tienen **2 intermedios**. **Un único certificado** en la cadena casi siempre indica **autofirmado** (desarrollo) o **intermedios ausentes** (servidor mal configurado).

"Días restantes" es negativo, ¿y ahora qué?

El certificado **ha caducado**. Cualquier navegador, cliente de correo o cliente de API se negará a hablar con tu servidor. **Renueva inmediatamente**: Let's Encrypt renueva con `certbot renew`, las CAs de pago te envían un certificado nuevo por correo. Tras renovar, **reinicia el servidor web** (`nginx -s reload`, `systemctl reload nginx`): normalmente basta con recargar la configuración, no hace falta reinicio completo.

"El hostname no coincide con el certificado", ¿qué significa?

El certificado se ha emitido para **otros nombres**. Los navegadores comparan el hostname que has escrito contra el **CN** del certificado y la lista de **SubjectAltName** (SAN). Desajustes habituales: certificado solo para `ejemplo.com` (sin `www.`), certificado solo para `*.ejemplo.com` (sin apex), certificado para el dominio por defecto del **hosting compartido** (desplegaste sin configurar tu propio certificado). El inspector lista los SANs para que veas exactamente qué cubre el certificado.

¿Qué es una "firma débil"?

Un certificado firmado con **SHA-1** o **MD5**. Los navegadores dejaron de confiar en certificados SHA-1 en **2017** porque las colisiones SHA-1 ya son factibles: un atacante podría en teoría falsificar un certificado distinto con la misma firma. **Todos los certificados modernos usan SHA-256 o superior**. Ver SHA-1 significa que el emisor es turbio o que el certificado es antiquísimo. Sustitúyelo.

¿Qué es una "clave débil"?

**RSA por debajo de 2048 bits** o **ECDSA por debajo de 256 bits**. RSA-1024 fue obsoleto según **NIST en 2013**; las CAs modernas no emiten nada menor que RSA-2048 o ECDSA P-256. Si ves una clave débil en tu cadena, el certificado se generó mal (valor por defecto antiguo de `openssl req`, herramientas antiguas). **Reemítelo con `openssl req -newkey rsa:2048`** o `-newkey ec:secp384r1`.

Mi cadena dice "incompleta" pero el navegador está contento. ¿Por qué?

Los navegadores incluyen recuperación por **AIA (Authority Information Access)**: si el servidor omite un intermedio, el navegador lo descarga desde la URL de la extensión AIA del certificado. **Los clientes de correo, las apps Java, curl, las apps móviles** suelen no hacerlo y fallan al instante. **Arregla el servidor**: añade la cadena completa a tu configuración nginx / Apache / Caddy (concatena leaf + intermedio(s) en `fullchain.pem`).

¿Puedo comprobar un servidor en un puerto distinto de 443?

Sí. Escribe el puerto en el campo **Puerto**, o usa **host:puerto** en el campo de hostname. Puertos TLS no-443 habituales: **465** (SMTPS), **587** (Submission con STARTTLS: no funcionará aquí, el servidor empieza en texto plano y luego escala), **993** (IMAPS), **995** (POP3S), **8443** / **9443** (paneles de admin). **Los protocolos STARTTLS no están soportados**: requieren hablar primero el protocolo subyacente.

¿Qué significa "self-signed" (autofirmado)?

El certificado se ha firmado a sí mismo en lugar de ir firmado por una CA pública. **Habitual en desarrollo** (`mkcert`, `openssl req -x509`), en **PKI corporativa interna** (tu departamento de IT opera su propia CA) y en **servidores mal configurados** (alguien olvidó instalar el certificado real). Los certificados autofirmados no son de confianza para los navegadores: verás el aviso de "No es seguro" salvo que el usuario añada el certificado manualmente.

¿Mi dominio es visible para alguien?

El hostname va a nuestro servidor, y de ahí al host destino por la internet pública. **No lo registramos**. Quien opere un observatorio TLS ([crt.sh](https://crt.sh), Censys, Shodan) ya ve todos los certificados emitidos para tu dominio: el inspector no revela nada que no sea público.

Inspector de certificado SSL - gratis

Inspector de certificados SSL

Escribe un dominio y pulsa Comprobar. Abrimos un handshake TLS real desde nuestro servidor y te mostramos toda la cadena de certificados, fechas de validez, fortaleza de la clave, algoritmo de firma y avisos.

Tu consulta va a nuestro servidor, que se conecta al host y devuelve su certificado público. No la registramos.

¿Qué muestra el inspector de certificados SSL?

Escribe un dominio (o hostname:puerto), pulsa Comprobar y la herramienta abre un TLS handshake real contra ese servidor y lee su cadena de certificados. Obtienes los mismos datos que ve tu navegador al pulsar el candado, más algunos extras: días hasta la caducidad, fuerza de la clave pública, algoritmo de firma, huellas SHA-1 / SHA-256, SANs, URLs de AIA y CRL.

Útil cuando HTTPS se ha roto ("ERR_CERT_DATE_INVALID", "NET::ERR_CERT_AUTHORITY_INVALID"), cuando vas a renovar un certificado y quieres confirmar que el nuevo ya está en producción, o cuando auditas un servicio recién desplegado y necesitas comprobar que la cadena está completa.

Funciona en el puerto 443 por defecto, pero también en 465 (SMTPS), 993 (IMAPS), 8443 (paneles de administración) o cualquier puerto que hable TLS.

Cómo usarlo

Escribe un hostname como `ejemplo.com` o `mail.google.com`. Omite https://, es el protocolo, no parte del nombre.

¿Necesitas un puerto no estándar? Escríbelo tras dos puntos: `ejemplo.com:8443`, o rellena el campo dedicado Puerto.

Pulsa Comprobar. Nuestro servidor abre un TLS handshake, 1-3 segundos en una conexión típica.

Lee la cadena de arriba abajo: leaf (tu dominio) → intermedio (emitido por una raíz) → CA raíz (DigiCert, Let's Encrypt, etc.). Las advertencias se muestran como chips rojos en la parte superior.

Cuándo es útil

Seis situaciones del día a día:

HTTPS roto en el navegador. Ha desaparecido el candado o has visto "NET::ERR_CERT_*". El inspector te dice qué comprobación falló: caducado, hostname no coincide, intermedio ausente, firma débil.
Renovación de certificado. Acabas de desplegar un nuevo certificado de Let's Encrypt / DigiCert. Verifica que la cadena está completa y que la ventana de validez empieza ahora.
Auditoría de servidor de correo. Revisa SMTPS (465), IMAPS (993), Submission (587): los clientes de correo son más estrictos que los navegadores con las cadenas.
Servicios internos. admin.tudominio.com:8443, vpn.tudominio.com:443, api.tudominio.com. Confirma que ninguno está a pocos días de caducar.
Comprobación de proveedor / tercero. Antes de integrar la API de un partner, ojea su certificado: emisor de confianza, SAN válido, sin SHA-1.
Migración. Has movido un sitio a un nuevo host. Confirma que el nuevo servidor presenta el certificado correcto (no el viejo, ni el certificado por defecto del host). Revisa también DNS en la consulta DNS y la titularidad en la consulta WHOIS. Para un CSR nuevo antes de reemitir el certificado, usa el generador de CSR.

Preguntas y respuestas

Misma idea, sin terminal. openssl s_client -connect host:443 -showcerts es el estándar de oro, pero la salida es densa y hay que analizarla manualmente. Esta herramienta ejecuta el mismo TLS handshake desde nuestro servidor y formatea el resultado. Comprobaciones de hostname, caducidad, firma, fuerza de la clave, SANs, AIA y CRL se muestran como chips y filas listos para leer.

¿Qué muestra el inspector de certificados SSL?

Funciona en el puerto 443 por defecto, pero también en 465 (SMTPS), 993 (IMAPS), 8443 (paneles de administración) o cualquier puerto que hable TLS.

Cómo usarlo

Escribe un hostname como `ejemplo.com` o `mail.google.com`. Omite https://, es el protocolo, no parte del nombre.

¿Necesitas un puerto no estándar? Escríbelo tras dos puntos: `ejemplo.com:8443`, o rellena el campo dedicado Puerto.

Pulsa Comprobar. Nuestro servidor abre un TLS handshake, 1-3 segundos en una conexión típica.

Cuándo es útil

Seis situaciones del día a día:

HTTPS roto en el navegador. Ha desaparecido el candado o has visto "NET::ERR_CERT_*". El inspector te dice qué comprobación falló: caducado, hostname no coincide, intermedio ausente, firma débil.
Renovación de certificado. Acabas de desplegar un nuevo certificado de Let's Encrypt / DigiCert. Verifica que la cadena está completa y que la ventana de validez empieza ahora.
Auditoría de servidor de correo. Revisa SMTPS (465), IMAPS (993), Submission (587): los clientes de correo son más estrictos que los navegadores con las cadenas.
Servicios internos. admin.tudominio.com:8443, vpn.tudominio.com:443, api.tudominio.com. Confirma que ninguno está a pocos días de caducar.
Comprobación de proveedor / tercero. Antes de integrar la API de un partner, ojea su certificado: emisor de confianza, SAN válido, sin SHA-1.
Migración. Has movido un sitio a un nuevo host. Confirma que el nuevo servidor presenta el certificado correcto (no el viejo, ni el certificado por defecto del host). Revisa también DNS en la consulta DNS y la titularidad en la consulta WHOIS. Para un CSR nuevo antes de reemitir el certificado, usa el generador de CSR.

Preguntas y respuestas

Inspector de certificado SSL

¿Qué muestra el inspector de certificados SSL?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Decodificador JWT

Hashes de contraseñas: MD5, SHA, bcrypt

Generador de secreto TOTP 2FA

Inspector de certificado SSL

¿Qué muestra el inspector de certificados SSL?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Decodificador JWT

Hashes de contraseñas: MD5, SHA, bcrypt

Generador de secreto TOTP 2FA