Ir al contenido 
¿Ha caducado o está a punto de caducar su certificado? En esta guía le mostraré específicamente cómo Renovar certificado SSL de forma manual y automática, incluidos los escollos típicos, las herramientas y los ajustes adecuados.
Le guiaré a través del alojamiento, los servidores personalizados y WordPress para ayudarle a evitar interrupciones, aumentar la seguridad y proteger las conversiones: desde CSR hasta HSTS, desde Let's Encrypt hasta Wildcard.
Puntos centrales
- Automático Ampliar: Activar opción hoster, comprobar estado
- Manual Renovar: Crear CSR, instalar, probar cadena
- WordPress seguro: Aplique HTTPS, utilice plugins
- Error evitar: .well-known, cadena, redirecciones
- Precaución encontrar: Monitorización, Cronjobs, HSTS
Por qué caducan los certificados SSL y qué significa para usted
Cada certificado tiene una duración determinada, para los certificados públicos un máximo de 397 días. Tras la expiración, el navegador bloquea la conexión, los visitantes ven advertencias y a menudo rebotan. Esto perjudica la confianza, la conversión y la visibilidad en los motores de búsqueda. Evito este riesgo vigilando la fecha de caducidad a tiempo y planificando la renovación. Los que renuevan a tiempo se quedan conforme a la ley y mantiene protegidas las transmisiones de datos.
Activar la renovación automática con el proveedor de alojamiento
Muchos paneles de alojamiento ofrecen activación con un clic para Renovación automática. Activo la opción por dominio, compruebo la validación almacenada (HTTP-01/DNS-01) y luego compruebo la validez en el bloqueo del navegador. Con varios dominios y subdominios, ahorro mucho tiempo y evito lagunas entre dos certificados. Para un inicio básico seguro, el compacto 5 pasos para un sitio web seguro. Después de eso, me limito a vigilar los avisos de caducidad del proveedor de alojamiento y a comprobar regularmente la accesibilidad HTTPS.
También me aseguro de que el Correo electrónico de contacto esté actualizado en la cuenta del hoster para que se reciban los mensajes de caducidad y error. Si la renovación automática se ejecuta a través de ACME, tengo en cuenta Límites de tarifa de la CA y -si está disponible- utilizo un entorno de pruebas para no bloquearme inadvertidamente. Para la validación DNS-01, planifico los TTL para que las entradas se propaguen rápidamente. ¿Existe Récords de la CAA en la zona, compruebo si mi autoridad de certificación está permitida allí; de lo contrario, la renovación fallará a pesar de la renovación automática.
Para las configuraciones multidominio o comodín, compruebo si el proveedor de alojamiento admite la opción Actualización automática de DNS apoyado. Sin una conexión API, defino procesos claros: ¿Quién crea los registros TXT, quién controla la resolución y cuándo se vuelven a eliminar? Este trabajo preparatorio garantiza que la renovación automática no fracase debido a obstáculos organizativos.
Ampliación manual: del CSR a la instalación
Para requisitos especiales, servidores raíz o determinadas autoridades de certificación, renuevo manualmente. En primer lugar, creo una nueva CSR con una clave adecuada (RSA 2048+ o ECDSA), incluyendo los nombres alternativos correctos de nombre común/sujeto. Inicio el pedido de renovación en el portal de la CA, confirmo el control del dominio (por ejemplo, HTTP-01 a través de .well-known o DNS-01 a través de TXT) y espero la emisión. A continuación, descargo el certificado y los certificados intermedios y compruebo la cadena localmente. Almaceno el certificado, la clave y los certificados intermedios en el panel de alojamiento (por ejemplo, Plesk o cPanel) y compruebo la cadena. Cadena con una comprobación SSL.
Suelo utilizar Llaves nuevas con cada renovación para mantener actualizados los estándares criptográficos. Para ECDSA, por ejemplo, utilizo una curva como prime256v1; para RSA elijo al menos 2048 bits. La CSR siempre contiene todos los nombres de host que quiero proteger, incluidos los siguientes Dominio base y www (por ejemplo, example.tld y www.example.tld). Planifico la instalación para que el nuevo certificado esté listo antes de que caduque el antiguo; muchos servidores lo permiten Sustitución sin fisuras con una recarga sin tiempo de inactividad.
Después de la instalación, pruebo la entrega tanto con www como sin www, a través de IPv4 y IPv6y compruebo la cadena completa. Si la cadena no es correcta, importo el intermediario adecuado de la CA. Me aseguro de que el servidor sólo recargar (recargar configuración), no reinicie el hard para que no se cancelen las conexiones activas.
Práctica de servidores: Apache, Nginx e IIS de un vistazo
Con Apache Almaceno las rutas en el vHost: SSLCertificateFile (certificado del servidor), SSLCertificateKeyFile (clave privada) y - dependiendo de la versión - SSLCertificateChainFile o un archivo de cadena completa. Después del intercambio, compruebo la configuración y la vuelvo a cargar. Para Nginx Configuro ssl_certificate (cadena completa) y ssl_certificate_key (clave). Pruebo la configuración, la recargo y compruebo el manejo de HTTP/2/HTTP/3 y SNI a través de varios nombres de servidor.
En IIS Importo el certificado al almacén de certificados (ordenador) y lo vinculo al sitio. Es importante que para cada nombre de host SNI si se ejecutan varios certificados en la misma IP. Para las configuraciones automatizadas de Windows, programo un cliente ACME para que se encargue de la renovación y la vinculación. En todos los casos, documento las rutas, los permisos de los archivos (clave sólo para el proceso del servidor web) y el procedimiento exacto para que la próxima fecha de renovación se realice sin problemas.
SSL en WordPress: configurar, aplicar y ampliar automáticamente
Con WordPress lo mantengo simpleActivo Let's Encrypt en el alojamiento, aplico HTTPS mediante un plugin (por ejemplo, Really Simple SSL) y compruebo los widgets de contenido mixto. Si WordPress se ejecuta en su propio servidor, utilizo Certbot incluyendo un cronjob para la renovación automática. En configuraciones multisitio, vale la pena un certificado comodín para asegurar subdominios colectivamente. Yo uso este tutorial para un comienzo rápido: SSL gratuito en WordPress. Después compruebo el símbolo del candado en el navegador y la fecha de caducidad del certificado en las herramientas de WordPress.
Después del cambio reemplazo enlaces http duros en la base de datos para que las imágenes, scripts y estilos se carguen limpiamente a través de HTTPS. También compruebo los plugins de caché y las integraciones CDN para asegurarme de que gestionan correctamente la variante HTTPS. Importante: Al forzar HTTPS, presto atención a las redirecciones limpias (una cadena 301) para que las señales SEO no se diluyan y no se creen bucles interminables.
En mis propios servidores tengo previsto utilizar el Certbot-Renewal como Cronjob y almacenar ganchos de post que recargan Nginx/Apache después de una renovación exitosa. En entornos de WordPress gestionados, utilizo las funciones de renovación automática del hoster y compruebo regularmente si se puede acceder a los retos .well-known, especialmente cuando se aplican estrictamente plugins de seguridad o reglas WAF.
Evite los errores típicos: Validación, cadena, redireccionamientos
A menudo el Validaciónsi el archivo HTTP-01 bajo /.well-known/pki-validation/ no es accesible. Para la renovación, desactivo brevemente las redirecciones agresivas (por ejemplo, de no www a www) o las reglas que bloquean el acceso. Si faltan certificados intermedios, los navegadores rechazan el certificado; importo la cadena completa. Si hay varios certificados en una IP, SNI debe estar activo, de lo contrario el servidor entregará el certificado equivocado. Borro las cachés después de cada cambio para poder ver el estado real y actual.
Otros peligros típicos de tropiezo: A Récord AAAA (IPv6) apunta a un servidor diferente de A (IPv4), el desafío falla. O el WAF bloquea el acceso a .well-known. Con DNS-01, los TTL altos causan retrasos; yo los pongo temporalmente más bajos. Existe Récords de la CAA sin la aprobación de la CA utilizada, cancelo la renovación hasta que se corrija la entrada. En entornos de contenedor o chroot, presto atención a los montajes y permisos correctos para que el servidor web o el cliente ACME puedan realmente entregar los archivos de desafío.
Comparativa de alojamientos: ¿Quién renueva con más fiabilidad?
Presto atención a un Intuitivo renovación automática de todos los dominios y asistencia rápida. Esto me ahorra tiempo de mantenimiento y reduce significativamente el tiempo de inactividad. Para los proveedores con integración Let's Encrypt, configuro la opción de renovación automática una vez y compruebo la accesibilidad a través de la monitorización HTTPS. Hay instrucciones claras para All-Inkl que hacen que la activación sea muy rápida: Let's Encrypt en All-Inkl. La siguiente tabla muestra los aspectos a los que concedo especial importancia en la comparación.
| Proveedor de alojamiento | Renovación automática | Superficie | Apoyo | Valoración |
|---|---|---|---|---|
| webhoster.de | Sí | Muy intuitivo | Rápido | 1er puesto |
| Todo-Inkl | Sí | Simple | Bien | 2º puesto |
| Acoger a Europa | Parcialmente | Medio | Medio | 3er puesto |
| Alojamiento web SSD | Parcialmente | Medio | Medio | 4º puesto |
También compruebo si el proveedor API DNS para DNS-01 (importante para comodines), proporciona información de registro para validaciones fallidas y si los certificados pueden exportarse convenientemente como una cadena completa. Un buen panel muestra Certificados que caducan El sistema comienza en una fase temprana, permite derechos granulares (por ejemplo, sólo gestión de SSL) y documenta cada paso. Así se ahorra tiempo y se evita que los conocimientos queden vinculados a personas concretas.
Reconocer el proceso y prevenirlo proactivamente
Puedo ver el estado en cualquier momento a través de la página Castillo-icon en el navegador, los detalles del certificado proporcionan información sobre la validez y el emisor. También configuro notificaciones en el panel de alojamiento y configuro una supervisión que avisa de la caducidad. Mis propios servidores reciben una tarea cron que ejecuta Certbot con regularidad y comprueba los registros. En WordPress, compruebo las notificaciones de los plugins de seguridad y vigilo la consola en busca de contenido mixto. Esta combinación evita tiempos de inactividad y mantiene el cifrado activo sin interrupciones.
Para el Control técnico Utilizo comprobaciones sencillas: Recuperación de las fechas de caducidad de los certificados, comprobación de la cadena y de la compatibilidad con el protocolo (TLS 1.2/1.3). En la supervisión, planifico niveles de advertencia (por ejemplo, 30, 14 y 7 días antes de la expiración) y compruebo si los ganchos de recarga se han disparado realmente tras una renovación satisfactoria. Esto me permite reconocer los problemas en una fase temprana, antes de que los visitantes vean las páginas de advertencia.
Puesta a punto de seguridad tras la renovación
Tras la renovación, saco el máximo partido a TLS y activo TLS 1.3 (además de 1.2), desactivar protocolos antiguos y cifrados obsoletos. HSTS con un max-age suficientemente largo vincula a los clientes a HTTPS y reduce las superficies de ataque. El grapado OCSP reduce las latencias y libera al respondedor OCSP de la CA. Si utiliza RSA, elija 2048 bits o cambie a ECDSA para un mejor rendimiento si es necesario. Al final, valido la configuración con una prueba SSL y examino detenidamente los protocolos y la configuración criptográfica.
Prefiero cifrado moderno con Forward Secrecy y activo ALPN para que HTTP/2 y HTTP/3 se utilicen de forma eficiente. Si está disponible, configuro Certificados ECDSA y RSA De esta forma, los clientes modernos obtienen la variante ECDSA de alto rendimiento, mientras que los clientes más antiguos siguen siendo compatibles mediante RSA. Aumento HSTS gradualmente (por ejemplo, los primeros días, luego semanas) para evitar cimentar permanentemente configuraciones erróneas. Compruebo activamente el grapado OCSP después de la recarga para que los clientes no tengan latencias de red adicionales.
Procedimiento práctico resumido
Empiezo con una comprobación de estado, tomo nota de los Fecha de caducidad y decido: Dejar activa la renovación automática o renovar manualmente. Para la renovación automática, compruebo la ruta de validación (HTTP-01/DNS-01) y compruebo la accesibilidad del desafío. Para la renovación manual, creo la CSR, solicito el certificado a la autoridad de certificación e instalo el certificado más la cadena. A continuación, aplico HTTPS, elimino las cachés y compruebo el contenido mixto. Por último, configuro la supervisión y las notificaciones para que nunca más se me pase un plazo.
Casos especiales: Comodín, multidominio y tipos de validación
Si opero muchos subdominios, utilizo un Comodín-certificado (*.dominio.tld) y me ahorro certificados separados. Para varios dominios completamente diferentes, confío en los certificados SAN/UCC que resumen varios nombres de host. Los certificados DV son suficientes para la mayoría de los proyectos, OV/EV proporcionan una verificación de identidad adicional - útil para tiendas o portales con datos sensibles. Presto atención a los límites de tiempo de ejecución y planifico la renovación para que no haya intersecciones durante los picos de funcionamiento. Para la validación DNS en zonas productivas, trabajo con convenciones de nomenclatura claras para poder encontrar rápidamente las entradas de nuevo y Cambia puede.
En Comodín es importante: la validación se realiza exclusivamente a través de DNS-01, por lo que utilizo actualizaciones automatizadas de DNS o ventanas de mantenimiento dedicadas. En los entornos multidominio, me aseguro de que todas las variantes estén en la lista SAN (incluidos los subdominios que se hayan añadido a lo largo del año). Para las configuraciones de balanceadores de carga, planifico el Distribución de los nuevos certificados a todos los nodos y luego probar cada VIP/región por separado. Con equipos cambiantes, ayuda tener una documentación clara sobre quién recibe qué secretos (claves) y cuándo, y cómo se almacenan de forma segura.
ACME y entornos complejos: CDN, WAF y proxies inversos
¿Utilizo CDN o un WAF, me aseguro de que la validación llega al origen: o bien hago que las solicitudes de desafío se respondan en el Edge (si es compatible) o bien realizo bypasses específicos para /.conocido/ on. Para HTTP-01, puede haber una redirección a HTTPS, pero el desafío debe ser accesible sin cabeceras de autenticación, límites de velocidad o bloqueos geográficos. Para DNS-01, compruebo si la entrada TXT está disponible en todo el mundo y si ninguna configuración de horizonte dividido interfiere en la evaluación.
Detrás de Proxies inversos Compruebo las cabeceras más atrás (X-Forwarded-Proto) para que la aplicación reaccione correctamente a HTTPS y no genere errores de contenido mixto. Para las renovaciones sin tiempo de inactividad, hago rodar los certificados paso a paso primero un nudo, luego los demás - así puedo retroceder rápidamente en caso de problemas sin arriesgar todas las conexiones.
Plan de emergencia: anulación, pérdida de llaves y sustitución rápida
Si hay un Fuga de llaves o un compromiso, revoco inmediatamente el certificado y emito uno nuevo con claves nuevas. Guardo un Lista de control listo: Acceso al portal CA, procedimiento de revocación, generación de nuevas claves, distribución rápida y recarga. A continuación, compruebo el grapado OCSP y las cachés para eliminar las cadenas antiguas de las cachés. Anoto la causa, el momento y las contramedidas en la documentación: esto facilita las auditorías y evita que se repitan.
Brevemente resumido
Renuevo los certificados a tiempo, compruebo el Renovación automática-función y mantener la validación accesible. Donde la auto-renovación no funciona, renuevo manualmente: genero CSR, aplico, instalo cadena, pruebo HTTPS. Aseguro WordPress con HTTPS forzado y monitorización, mis propios servidores están controlados por cronjobs y Certbot. Evito errores vigilando el desafío .well-known, los certificados intermedios, el SNI y las reglas de reenvío. Con este proceso, el cifrado permanece activo, los usuarios confían en el sitio y la visibilidad no sufre avisos de caducidad.
