|

Calculadora de Certificados de Seguridad Gratis

Si alguna vez corriste un test SSL en tu sitio web, probablemente viste una puntuación de 0 a 100 donde aparece una letra: A+, A, B, o peor. Eso es el resultado de un evaluador de certificados SSL con puntuación ponderada por dominio (domain-weighted scoring), un sistema que analiza la seguridad de tu certificado TLS considerando varios factores simultáneamente. El más usado en la industria es SSL Labs de Qualys, que lleva casi dos décadas siendo el estándar de facto para verificar la salud criptográfica de un servidor web.

En 30 segundos

  • Un free cert readiness calculator evalúa certificados SSL/TLS y genera una calificación de A+ a F basada en seguridad criptográfica, protocolos soportados y configuración del servidor.
  • SSL Labs (Qualys) es el estándar industria, gratis, ampliamente confiable. Otras opciones: Site24x7, GoDaddy SSL Checker, Arsys, SSLmarket.
  • El sistema de puntuación pondera factores como tamaño de clave RSA (mínimo 2048-bit), versiones TLS habilitadas, cipher suites disponibles y validez del certificado.
  • Las bandas son: A+ (95-100), A (85-94), B (75-84), C (60-74), D (40-59), F (menos de 40). Una F es crítica.
  • Mejorar de una C a una A implica deshabilitar protocolos débiles, habilitar TLS 1.3, usar cipher suites modernos y validar que la cadena de certificados esté completa.

¿Qué es un evaluador de certificados SSL y por qué importa?

Un evaluador de certificados SSL (o TLS, que es el nombre más moderno para lo mismo) es una herramienta que se conecta a tu servidor web, simula el proceso de handshake SSL que hace un navegador, y luego califica qué tan segura está tu configuración criptográfica. No verifica si tu certificado vence mañana nomás (aunque eso también lo detecta). Lo que hace es analizar si estás usando cifrados fuertes, versiones de protocolo actuales, y una cadena de certificados completa.

La puntuación resultante es importante por varias razones. Primero, Google penaliza en ranking a sitios con SSL débil o faltante (eso fue norma desde hace años). Segundo, los navegadores modernos te alertan si hay problemas graves de certificado. Tercero, si tu puntuación es una F, literalmente le estás diciendo a tus visitantes “acá no te protejo bien”, aunque luego te sorprenda ver que siguen entrando. Y cuarto (que es el verdadero), tus datos y los de tus usuarios estan en riesgo si la criptografía es débil.

Ojo: que un certificado sea válido y funcione no significa que esté bien configurado. Vos podés tener un certificado legítimo de DigiCert, instalado correctamente, y seguir obteniendo una calificación de C porque habilitaste protocolos obsoletos o no configuraste cipher suites modernos.

Las herramientas gratuitas más utilizadas para evaluar SSL

La buena noticia es que evaluadores de certificados SSL no te cuestan un peso. Hay varias opciones, cada una con su interfaz y características particulares. Algunos están pensados para principiantes que solo quieren saber “¿está seguro o no?”. Otros para técnicos que necesitan ver cada detalle de la configuración.

SSL Labs (Qualys)

Es el estándar. No hay alternativa más confiable ni usada. SSL Labs te devuelve un análisis exhaustivo: simula navegadores reales (Chrome, Firefox, Safari), lista cada cipher suite habilitado, valida la cadena de certificados, detecta configuraciones débiles. La calificación que da es tan reconocida que muchas empresas incluyen el link al reporte en su sitio para presumir su nota A+.

Ponele que checkeás un servidor y ves “Supported TLSv1.0” en rojo. SSL Labs te está diciendo: “ojo, ese protocolo es de 2006, deberíamos deshhabilitarlo”. El reporte es gratuito y público (si querés, podés cachear el resultado 24 horas para evitar que otros vean que estás testendo).

Site24x7 SSL Checker

Site24x7 ofrece una versión simplificada: ingresas tu dominio, te devuelve una calificación y un reporte legible. Es menos detallista que SSL Labs pero más amigable si solo querés un overview rápido. Útil si administrás múltiples dominios y necesitás un check mensual sin analizarlo a fondo.

GoDaddy SSL Checker

GoDaddy tiene su herramienta propia. Funciona igual a Site24x7: test rápido, resultado visual, puntuación. Nada de más, pero tampoco de menos. El problema es que te muestran opciones de compra (obvio, es GoDaddy), pero el checker en sí es gratis.

SSLmarket Verificador

SSLmarket es una herramienta hispana que mantiene una interfaz clara y en español. Parecida a las anteriores: ingresas dominio, ves calificación. Menos features que SSL Labs pero localmente entendible.

Cómo funciona la puntuación ponderada por dominio

Acá viene la magia detrás de esos números que ves. El sistema de puntuación no es “¿tenés un certificado válido? Sí = 100, No = 0”. Es mucho más sofisticado: sopesa múltiples factores, donde algunos pesan más que otros según la seguridad real que aportan. De ahí el nombre “ponderada por dominio” — cada dominio podría tener una puntuación diferente aunque usen el mismo certificado, porque la seguridad depende también de cómo está configurado el servidor.

El rango es 0 a 100. Las bandas de calificación son (según el estándar de SSL Labs): Para más detalles técnicos, mirá ejecutar herramientas de evaluación sin API.

  • A+ (95-100): Excelente. Todo en orden. Protocolo TLS 1.3, cipher suites modernos, certificado válido, cadena completa.
  • A (85-94): Muy bien. Minor issues que no afectan la seguridad real pero sí mejorables.
  • B (75-84): Bien. Hay cosas que mejorar pero no es crítico aún.
  • C (60-74): Débil. Tenés vulnerabilidades o configuraciones obsoletas que deberías arreglar.
  • D (40-59): Muy débil. Serios problemas de seguridad.
  • F (menos de 40): Falla. No uses este servidor para transacciones, datos sensibles o nada que importe.

La ponderación considera: fuerza de cifrado (30% aprox.), tamaño de clave (25%), versiones de protocolo habilitadas (20%), certificado válido y no vencido (15%), cadena de certificados completa (10%). Esos porcentajes son aproximados — Qualys no publica el algoritmo exacto, pero el resultado es que mejorar el cifrado o deshabilitar SSLv3 impacta más que otras cosas.

Factores clave que afectan tu puntuación de seguridad SSL

Tamaño de clave RSA

El mínimo aceptable hoy es 2048-bit. Si tu certificado usa 1024-bit (cosa rara, pero existe), baja la puntuación. Lo óptimo es 4096-bit o ECDSA (que es criptografía de curva elíptica, más fuerte con menos bits). La mayoría de certificados nuevos usan 2048-bit RSA o ECDSA P-256 / P-384, ambos modernos.

Versiones de TLS soportadas

Acá es donde mucha gente pierde puntos. Si tu servidor soporta SSLv3 (año 2006), TLSv1.0 (2008), TLSv1.1 (2006) — eso baja la calificación. Lo moderno es TLSv1.2 (mínimo) y TLSv1.3 (óptimo). Deshabilitar protocolos viejos es criticó, pero muchos sysadmins los dejan activos para compatibilidad con clientes antiguos (navegadores del 2010, qué sé yo). No seas ese sysadmin.

Cipher suites

Un cipher suite es una combinación específica de algoritmos para cifrado, autenticación, key exchange. El servidor anuncia cuáles acepta. Si usás cipher suites débiles (ejemplo: 3DES, RC4, DES), baja la puntuación. Los modernos son: ChaCha20-Poly1305, AES-GCM con Perfect Forward Secrecy (PFS). El orden en que los listas también importa — deberías poner los más fuertes primero.

El punto interesante es que algunos navegadores viejos no soportan los cifrados más fuertes, así que hay un tradeoff entre seguridad y compatibilidad. Pero en 2026, cualquiera que use IE 8 merece lo que le pase.

Validez y vencimiento del certificado

Si tu certificado vence en 3 días, la calificación baja. Si ya venció, F inmediata. Si vence en 30 días, te advierte. Mantener el certificado renovado es básico.

Cadena de certificados completa

Tu certificado forma parte de una cadena: Tu Certificado → Certificado Intermedio → Certificado Raíz. Si no incluís el intermediario, los navegadores tienen que buscarlo (lo cual funciona, pero es ineficiente). Si no incluís el raíz (no debería estar en tu servidor, está en el navegador), está bien. Pero la cadena completa acelera el handshake y evita problemas en clientes viejos. Lo explicamos a fondo en diferencias de seguridad entre plataformas.

Tipos de validación de certificados y su impacto en la evaluación

Cuando compras un certificado, elegís un nivel de validación. Eso no afecta directamente la puntuación de seguridad criptográfica, pero sí afecta la confianza que inspira el certificado.

DV (Domain Validation)

La autoridad certificadora solo verifica que controlás el dominio (checkeando un archivo DNS o un email). No verifica quién sos realmente. Es rápido (minutos), barato o gratis (Let’s Encrypt es DV gratis), pero un visitante no puede estar 100% seguro de quién opera el sitio. Para blogs, sitios de contenido, tiendas pequeñas, DV alcanza.

OV (Organization Validation)

La CA verifica el dominio Y que la organización existe (revisa registros empresariales públicos, número de teléfono, etc.). Toma horas o días. Cuesta dinero (típicamente USD 50-300/año). El navegador podría mostrar el nombre de la organización junto al candado. Para empresas serias, bancos, e-commerce de buena reputación, OV da más confianza.

EV (Extended Validation)

La CA hace verificación exhaustiva: dominio, organización, identidad legal, dirección, autorizado firma, todo. Toma 1-2 semanas. Cuesta más (USD 200-800/año). Antiguamente los navegadores mostraban una barra verde con el nombre de la empresa — esto era premium de confianza. Hoy los navegadores quitaron la barra verde (porque la gente no la notaba), pero el certificado sigue siendo más seguro en el sentido de que alguien verificó de verdad que sos quien decís ser.

Cómo interpretar los resultados de tu test SSL

Cuando corrés SSL Labs, el reporte muestra varias secciones. Dejame desglosarlo para que no te pierdas.

Resumen de calificación

Arriba de todo: una letra grande (A+, A, B, etc.). Eso es la puntuación. Debajo, un breakdown: “Certificado válido”, “Protocolos”, “Cipher suites”, “Configuración”. Cada uno tiene su propia nota.

Vulnerabilidades detectadas

Si aparece una sección “Security Issues” o similar, acá están listadas. Ejemplo: “POODLE vulnerability on TLS 1.1”, “RC4 Cipher Detected”. Cada una viene con explicación de qué es y por qué importa.

Cipher suites activos

Una tabla larga listando cada cipher suite que tu servidor acepta, la strength (fuerte/débil), el protocolo (TLS 1.3, 1.2, etc.), y el Key Exchange (ECDHE, RSA, etc.). Los más fuertes deberían estar arriba. Esto se conecta con lo que analizamos en herramientas disponibles para análisis.

Certificados en la cadena

Una lista con: tu certificado (Subject: tu dominio), certificado intermedio, y raíz. Cada uno con su fecha de vencimiento, algoritmo de firma (SHA-256, etc.), tamaño de clave. Acá ves si algo está por vencer.

Handshake simulation

SSL Labs simula el handshake desde navegadores reales: Chrome, Firefox, Safari, Edge en diferentes versiones y sistemas operativos. Te muestra si cada navegador puede conectarse, y con qué cipher suite. Si un navegador viejo no puede conectar, lo marca. Útil para saber “¿esto funciona con mi clientela?”.

Pasos prácticos para mejorar tu puntuación de seguridad SSL

Tenés una C y querés una A. Acá está el plan:

  • Deshabilitar protocolos débiles: SSLv3, TLSv1.0, TLSv1.1. En Apache o Nginx, modificás la configuración para aceptar solo TLSv1.2 y TLSv1.3. Comando típico: `SSLProtocol -all +TLSv1.2 +TLSv1.3` en Apache.
  • Habilitar TLS 1.3: Si tu servidor y navegadores lo soportan (cualquiera moderno lo hace), habilitalo. Es más seguro y rápido que TLSv1.2.
  • Configurar cipher suites modernos: Priorizá AES-GCM, ChaCha20-Poly1305 con ECDHE (Perfect Forward Secrecy). Deshabilita 3DES, RC4, DES.
  • Aumentar tamaño de clave: Si tu certificado es RSA 2048-bit, podés reemplazarlo con 4096-bit (aunque cuesta más CPU). O, mejor, ECDSA P-384 (más seguro, menos CPU).
  • Implementar HSTS: Un header HTTP que le dice al navegador “siempre conectate en HTTPS”. Agregás `Strict-Transport-Security: max-age=31536000; includeSubDomains` a tu response header.
  • Validar cadena de certificados completa: Asegurate que tu servidor envía el certificado intermedio. En Apache: `SSLCertificateChainFile /ruta/al/intermediate.crt`.
  • Revisar certificados intermedios: A veces la CA actualiza los intermediarios. Descargá la versión más nueva de tu proveedor de certificados.
  • Renovar antes de vencer: No dejes que expire. Renueva 1 mes antes, así tenés tiempo de re-instalar si hay problemas.

Comparativa de herramientas evaluadoras de certificados SSL

Para que veas de un vistazo cuál herramienta usar según tu necesidad:

HerramientaCostoNivel de detalleInterfazMejor para
SSL Labs (Qualys)GratuitoExhaustivoCompleja pero claraAnálisis profundo, el estándar industria
Site24x7 SSL CheckerGratuitoModeradoSimple, amigableCheck rápido, múltiples dominios
GoDaddy SSL CheckerGratuitoBásicoVisual limpioPrincipiantes, no técnicos
SSLmarket VerificadorGratuitoModeradoEn españolUsuarios hispanohablantes
Artículos educativos (Redeszone, SSL Dragon)GratuitoTutorialBlogAprender a interpretar SSL
calculadora preparación certificados diagrama explicativo

Errores comunes en configuración SSL y cómo evitarlos

Certificados autofirmados sin validación de CA

Un certificado autofirmado es uno donde vos mismo firmaste el certificado, en vez de comprarlo de una autoridad certificadora confiable. Los navegadores lo rechazan con “Conexión no segura”. Eso no es un evaluador SSL — es navegador diciendo “no confío”. Si ves eso, comprá un certificado de verdad (Let’s Encrypt es gratuito y confiable).

Fecha de vencimiento próxima no renovada

Tu certificado vence el 15 de mayo y estamos el 9 de abril (hoy en 2026). No esperes al último día. Renueva ya. Algunos navegadores modernos advierten 30 días antes, otros 60. No seas el sitio que de repente se ve “no seguro” porque se te pasó renovar.

Falta de certificados intermedios en la cadena

Tu certificado es válido pero no incluís el intermedio. Algunos navegadores pueden inferir cuál es (haciendo requests extra), pero otros más viejos fallan. El fix: descargá el certificado intermedio de tu CA y configuralo en tu servidor web. SSL Labs lo detecta y te penaliza, aunque sea un problema menor.

Cipher suites débiles habilitados

Heredaste un servidor con 10 años de configuración default. Nunca tocaste los cipher suites. Entonces tu servidor soporta 3DES, RC4 y otros cifrados que son matemáticamente crack-eables (no fácil, pero posible). Corren un test SSL y ven la alerta roja. La solución: especificá explícitamente qué cipher suites aceptás, en orden de fortaleza.

Mezcla de contenido HTTPS/HTTP

Tu página HTTPS carga recursos (imágenes, JS, CSS) desde HTTP. Los navegadores modernos bloquean esto (mixed content). No baja directamente la puntuación SSL, pero genera advertencias de seguridad. Solución: asegurate que TODO lo que carga una página HTTPS es también HTTPS. Puedes usar protocol-relative URLs: `//ejemplo.com/imagen.jpg` en vez de `http://` o `https://`. Relacionado: comparativa entre proveedores principales.

Configuración incompleta de certificados comodín

Un certificado comodín (*.ejemplo.com) funciona para subdominios, pero si lo instalas mal (ej., lo instalas en sub1.ejemplo.com pero el certificado dice *.ejemplo.com), algunos navegadores lo cuestionan. Asegurate de que el Subject Alternative Name (SAN) del certificado coincida con tu dominio actual.

Preguntas Frecuentes

¿Cuál es la diferencia entre SSL y TLS?

SSL (Secure Sockets Layer) es el protocolo original, creado en los 90s. TLS (Transport Layer Security) es su sucesor moderno, más seguro. En la práctica, todos hablan de “certificados SSL” aunque técnicamente se refieren a TLS. SSLv3 es inseguro (año 2006). TLSv1.0, v1.1 son viejos. TLSv1.2 es el mínimo aceptable hoy. TLSv1.3 (2018) es el estándar moderno.

¿Puedo mejorar mi puntuación SSL sin cambiar el certificado?

Sí. La mayoría de mejoras son configuración del servidor, no del certificado. Deshabilitar protocolos débiles, configurar cipher suites, habilitar HSTS, validar la cadena completa — todo eso se hace en Apache/Nginx/tu web server, sin tocar el certificado. Solo necesitás cambiar el certificado si está por vencer, es autofirmado, o querés ECDSA en vez de RSA.

¿Una puntuación A es suficiente, o necesito A+?

Una A es más que suficiente para 99% de los sitios. A+ requiere configuración perfecta (TLS 1.3, cipher suites modernos, sin resabios de protocolos viejos). Si tenés A, ya estás en el top 10% de internet. La diferencia entre A y A+ en seguridad real es marginal. Enfocate en no tener una C o D, que eso sí es preocupante.

¿Con qué frecuencia debería revisar mi certificado SSL?

Mínimo una vez al año. Idealmente cada trimestre. Algunos certificados vencen cada año, otros cada dos años. Renueva 1 mes antes del vencimiento para tener tiempo. Si hacés cambios en tu infraestructura (nuevo servidor, actualización de SO, cambio de proveedor web), revisa SSL Labs después para confirmar que la configuración quedó bien.

¿Qué pasa si mi puntuación es F?

F significa vulnerabilidades críticas. No uses ese servidor para transacciones, logins, datos sensibles. Los navegadores probablemente lo marcarán como peligroso. Actúa urgentemente: contactá a tu proveedor de hosting o a un sysadmin para que deshabilite protocolos débiles, instale un certificado válido, y configure cipher suites modernos. Es una emergencia de seguridad, pero típicamente arreglable en horas.

Conclusión

Un free cert readiness calculator como SSL Labs no es un juguete de desarrolladores nerds. Es una herramienta crítica para verificar que tu infraestructura web está realmente segura. Los navegadores confían en certificados válidos, pero eso no significa que la configuración de TLS sea moderna o fuerte. Una puntuación de A o A+ te asegura que estás usando criptografía sólida, protocolos actuales, y que tu sitio inspira confianza — tanto a usuarios como a motores de búsqueda.

Si administrás un sitio web (blog, tienda, aplicación empresarial), corriste un test SSL una sola vez en la vida o nunca — dedicate 15 minutos hoy a probar tu dominio en SSL Labs. Mirá la puntuación. Si no es al menos una B, revisá los pasos de mejora que listamos arriba. No necesitás ser sysadmin ni pedir a un proveedor premium — con una búsqueda rápida encontrás la config necesaria para tu web server.

Y si alojás tu sitio en un proveedor web confiable (como donweb.com, que maneja certificados decentemente), probablemente ya tengas una A o mejor de base. Pero aún así, verificá. Seguridad es verificación constante, no una configuración que hacés una vez y listo.

Fuentes

Te puede interesar...