1000 FAQ, 500 tutoriales y vídeos explicativos. ¡Aquí sólo hay soluciones!
Resolver alertas de pruebas SSL Labs
Esta guía explica cómo interpretar correctamente la información detallada facilitada por Qualys SSL Labs (https://www.ssllabs.com/ssltest/) que a veces pueden parecer técnicas o alarmantes sin contexto adecuado.
Preámbulo
- Qualys SSL Labs es una herramienta de análisis ampliamente utilizada para evaluar la configuración SSL/TLS de los sitios web.
- Las advertencias en sus informes son a menudo sólo detalles técnicos sin impacto en la seguridad o SEO del sitio.
Certificados múltiples en los informes SSL Labs
Cuando SSL Labs analiza un sitio, puede mostrar varios certificados numerados (certificado #1, certificado #2, etc.). Esto ocurre por varias razones:
- Certificado principal (#1): El certificado presentado cuando se utiliza el SNI (Server Name Indication).
- El SNI es una extensión TLS que permite a un servidor alojar varios certificados SSL para diferentes dominios en una misma dirección IP. Cuando un navegador se conecta, indica el nombre de dominio que desea adjuntar.
- Certificado secundario (#2): El certificado presentado cuando el SNI no se utiliza o cuando se conecta directamente con IP.
Una indicación "No SNI" en el certificado #2 no es un error Simplemente significa que SSL Labs ha probado lo que sucede cuando un cliente se conecta sin proporcionar información SNI. En tal caso:
- El servidor sirve un certificado de emergencia (a menudo un certificado genérico o de vista previa).
- Esta situación afecta únicamente a clientes muy obsoletos que no soportan el SNI.
- Los navegadores modernos utilizan el SNI y, por lo tanto, recibirán el certificado #1.
Problemas de cadena de certificados
"Chain issues: Incorrect order, Extra certs, Contains anchor"
Estas advertencias no significan necesariamente que el certificado sea defectuoso:
Incorrect order: Los certificados intermedios no se presentan en el orden óptimo.Extra certs: Se incluyen certificados adicionales no necesarios.Contains anchor: El certificado raíz está incluido en la cadena.
El protocolo TLS permite omitir el certificado raíz ya que normalmente ya está presente en las tiendas de certificados de los navegadores. Incluirlo no es un error, es una redundancia.
“Alternative names mismatch”
Para el certificado de emergencia (#2), la advertencia "MISMATCH" es normal porque:
- Este certificado está diseñado para otro dominio (
preview.infomaniak.website). - Solo se presenta cuando no se utiliza el SNI.
- El navegador que recibe este certificado lo identificaría como no correspondiente al dominio solicitado, pero esto no afecta a las conexiones normales con SNI.
Con respecto a las preocupaciones de SEO:
- Google y otros motores de búsqueda utilizan navegadores modernos que apoyan el SNI.
- Ellos reciben el certificado #1 que es válido para su dominio.
- Las advertencias sobre el certificado #2 no afectan a la referencia.
- Sólo problemas con el certificado principal (#1) podrían afectar al SEO.
Esta configuración es ideal para un alojamiento compartido en el que varios sitios comparten la misma infraestructura, con un certificado de previsualización que sirve de solución de retroceso.