¿Qué es una cadena de certificados SSL? Cómo funciona
¿Qué es una cadena de certificados SSL?
Una cadena de certificados SSL (también llamada cadena de confianza o ruta de certificación) es la lista ordenada de certificados digitales que conecta el certificado SSL/TLS de tu sitio web con una Autoridad Certificadora (CA) raíz de confianza. Cada certificado en la cadena está firmado digitalmente por el que está encima de él, creando un camino verificable de confianza desde tu servidor hasta una CA raíz en la que los navegadores ya confían.
Piénsalo como una cadena de avales. El certificado de tu servidor dice "Soy example.com." La CA intermedia dice "Yo respaldo el certificado de example.com." La CA raíz dice "Yo respaldo a esa intermedia." Tu navegador ya confía en la CA raíz, así que al seguir la cadena de firmas, también confía en tu servidor.
Cuando visitas cualquier sitio HTTPS, tu navegador recorre esta cadena silenciosamente en milisegundos. Si cada eslabón es correcto, ves el ícono del candado. Si algún eslabón falta, está expirado o es inválido, recibes una advertencia de seguridad.
Los tres eslabones en toda cadena de certificados
La mayoría de las cadenas de certificados SSL tienen exactamente tres niveles. Comprender cada uno es esencial para solucionar problemas de HTTPS.
| Certificado Raíz | Certificado Intermedio | Certificado Leaf (Servidor) | |
|---|---|---|---|
| Firmado por | Sí mismo (autofirmado) | CA Raíz | CA Intermedia |
| Ubicación | Almacén de confianza del navegador/SO | Enviado por tu servidor | Enviado por tu servidor |
| Tiempo de vida típico | 20–25 años | 5–10 años | 90 días – 1 año |
| Si se compromete | Todos los certs inválidos — catastrófico | Revocar solo el intermedio | Revocar y reemitir |
| Cantidad aproximada | ~150 raíces de confianza globalmente | Miles | Cientos de millones |
Certificado Raíz
El certificado raíz es el ancla de confianza en la cima de la cadena. Es autofirmado, lo que significa que la Autoridad Certificadora firmó su propio certificado. Los certificados raíz están preinstalados en tu navegador y sistema operativo — esta colección se llama almacén de confianza (trust store).
Hay aproximadamente 150 CAs raíz en las que los principales navegadores confían por defecto. Organizaciones como DigiCert, Let's Encrypt (ISRG), Sectigo y GlobalSign operan certificados raíz. Debido a que las claves raíz son tan críticas, las CAs las almacenan en módulos de seguridad de hardware (HSMs) dentro de bóvedas físicamente seguras y aisladas de la red.
Certificado Intermedio
Los certificados intermedios se ubican entre el certificado raíz y el certificado de tu servidor. La CA raíz firma el certificado intermedio, y la CA intermedia luego firma los certificados de entidad final (servidor). La mayoría de las CAs usan uno o dos intermedios.
Tu servidor web debe enviar los certificados intermedios junto con tu certificado leaf durante el handshake TLS. A diferencia de los certificados raíz, los intermedios no están preinstalados en los navegadores — si tu servidor no los envía, la cadena se rompe.
Certificado Leaf (Certificado del Servidor)
El certificado leaf (también llamado certificado de entidad final o certificado del servidor) es el certificado instalado en tu servidor web. Contiene el nombre de tu dominio, tu clave pública, el período de validez e información sobre el emisor (la CA intermedia que lo firmó).
Este es el primer certificado que tu navegador recibe durante el handshake TLS. El navegador luego sube por la cadena, verificando cada firma hasta alcanzar una raíz de confianza.
Cómo funciona la cadena de confianza
Cuando tu navegador se conecta a un sitio web a través de HTTPS, el handshake TLS activa un proceso de verificación de cadena que ocurre en milisegundos:
El servidor envía certificados — Tu servidor web envía su certificado leaf más todos los certificados intermedios al navegador.
El navegador construye la cadena — El navegador ordena los certificados: leaf → intermedio(s) → raíz. Identifica la raíz verificando su almacén de confianza.
Verificación de firma — Comenzando desde el leaf, el navegador verifica que la firma digital de cada certificado fue creada por la clave privada del siguiente certificado en la cadena.
Búsqueda de raíz — El navegador confirma que el certificado raíz en la cima de la cadena existe en su almacén de confianza integrado. Si la raíz no es reconocida, la verificación falla.
Verificaciones de validez — Para cada certificado en la cadena, el navegador verifica: no expirado, no revocado (vía CRL u OCSP), y el dominio del certificado leaf coincide con la URL.
Qué sucede después de la verificación
Si todas las verificaciones pasan, el navegador establece una conexión cifrada y muestra el ícono del candado. Si cualquier verificación falla — incluso en un certificado intermedio — el navegador muestra una advertencia como "Tu conexión no es privada" o "NET::ERR_CERT_AUTHORITY_INVALID."
Por eso toda la cadena importa, no solo el certificado leaf. Un certificado intermedio expirado romperá HTTPS tan completamente como un certificado de servidor expirado.
Por qué existen los certificados intermedios
Las CAs raíz podrían teóricamente firmar cada certificado de servidor directamente, omitiendo los intermedios por completo. Pero hay tres razones críticas por las que no lo hacen:
Aislamiento de seguridad — Las claves privadas de la CA raíz se mantienen offline en HSMs dentro de bóvedas físicamente seguras. Se usan solo para firmar intermedios, no millones de certificados de servidor individuales. Esto reduce drásticamente el riesgo de que la clave raíz sea comprometida.
Contención de daños — Si una CA intermedia es comprometida, solo los certificados de esa intermedia se ven afectados. La CA raíz puede revocar la intermedia comprometida y emitir una nueva — sin invalidar todos los certificados que ha emitido.
Flexibilidad operativa — Las CAs usan diferentes intermedios para diferentes propósitos: uno para certificados DV, otro para EV, separados para diferentes regiones o algoritmos de clave (RSA vs ECDSA).
Cómo verificar tu cadena de certificados SSL
Hay tres maneras de inspeccionar la cadena de certificados de un sitio web, desde herramientas de línea de comandos hasta verificaciones basadas en navegador.
Método 1: OpenSSL (Línea de Comandos)
El comando openssl es la forma más detallada de inspeccionar una cadena de certificados. Ejecuta esto en tu terminal:
openssl s_client -connect example.com:443 -showcerts 2>/dev/null | grep -E 's:|i:'Método 2: Visor de certificados del navegador
Todos los navegadores principales te permiten inspeccionar la cadena de certificados sin herramientas especiales:
Haz clic en el ícono del candado en la barra de direcciones
Selecciona "La conexión es segura" → "El certificado es válido"
Abre la pestaña "Ruta de certificación" (Chrome/Edge) o "Detalles" (Firefox)
Verás la cadena completa desde la raíz (arriba) hasta el leaf (abajo)
Método 3: Verificador SSL de DNS Robot
La forma más rápida de verificar la cadena de certificados de cualquier sitio web es con una herramienta en línea. Nuestro Verificador SSL muestra la cadena completa, detalles del emisor, fechas de validez y estado de verificación — todo en un clic. Ingresa cualquier dominio y ve la cadena completa al instante.
Errores comunes de cadena de certificados y cómo corregirlos
Los problemas de cadena de certificados son una de las causas más frecuentes de errores HTTPS. Aquí están los errores que probablemente encontrarás y cómo resolver cada uno.
Certificado intermedio faltante
Mensaje de error: "unable to verify the first certificate" o "incomplete certificate chain"
Causa: Tu servidor está enviando solo el certificado leaf sin el intermedio. Los navegadores de escritorio a veces evitan esto almacenando en caché intermedios de visitas anteriores, pero los navegadores móviles y clientes de API casi siempre fallan.
Solución: Descarga el certificado intermedio de la documentación de tu CA y agrégalo al archivo de certificado de tu servidor. En Nginx, concaténalos en un solo archivo:
cat your-domain.crt intermediate.crt > fullchain.crtCertificado autofirmado en la cadena
Mensaje de error: "self-signed certificate in certificate chain"
Causa: El certificado raíz fue incluido innecesariamente en la cadena enviada por el servidor, o un certificado es genuinamente autofirmado y no de una CA de confianza.
Solución: Elimina el certificado raíz del archivo de cadena de tu servidor. Tu servidor solo debe enviar el leaf + intermedio(s). Los navegadores ya tienen la raíz en su almacén de confianza — enviarla es innecesario y puede causar este error.
Orden incorrecto de certificados
Mensaje de error: La verificación de la cadena puede fallar silenciosamente o producir advertencias de "certificado no confiable".
Causa: Los certificados en el archivo de cadena están en el orden incorrecto.
Solución: El orden correcto es siempre: certificado leaf primero, luego intermedio(s) del más cercano al leaf al más cercano a la raíz. Nunca incluyas el certificado raíz.
Certificado expirado en la cadena
Mensaje de error: "certificate has expired" — pero la fecha de expiración de tu certificado leaf parece correcta.
Causa: Un certificado intermedio en la cadena ha expirado. Esto es menos común pero puede ocurrir cuando las CAs rotan sus intermedios.
Solución: Descarga el certificado intermedio actual de tu CA y reemplaza el antiguo. Luego usa nuestro Verificador SSL para verificar la cadena actualizada.
Mejores prácticas para cadenas de certificados
Siempre instala los intermedios — Nunca asumas que el navegador lo resolverá solo. Siempre configura tu servidor para enviar la cadena completa (leaf + intermedios).
No envíes la raíz — Los navegadores ya tienen certificados raíz. Incluir la raíz desperdicia ancho de banda y puede generar errores en algunos clientes.
Mantén el orden correcto — Leaf primero, intermedios después, sin raíz. Algunos servidores son estrictos con el orden; otros lo toleran pero pueden ser más lentos para verificar.
Monitorea la expiración — Los certificados intermedios también expiran. Configura alertas o usa gestión automatizada de certificados (como certbot con Let's Encrypt).
Verifica después de los cambios — Después de renovar un certificado o cambiar de hosting, siempre verifica la cadena con una herramienta como nuestro Verificador SSL. Lo que funcionaba antes de la renovación puede no funcionar después si la CA cambió su intermedio.
Usa OCSP Stapling — Habilita OCSP stapling en tu servidor para que los navegadores puedan verificar el estado de revocación de certificados más rápido, sin contactar a la CA directamente.
Verifica tu cadena de certificados SSL ahora
Usa el Verificador SSL gratuito de DNS Robot para verificar tu cadena de certificados, fechas de expiración y detalles del emisor — todo en un clic.
Try Verificador SSLFrequently Asked Questions
Una cadena de certificados SSL es la secuencia ordenada de certificados digitales que vincula el certificado SSL de tu sitio web con una Autoridad Certificadora (CA) raíz de confianza. Normalmente incluye tres niveles: el certificado leaf (servidor), uno o más certificados intermedios y el certificado raíz en el que tu navegador ya confía.