Esta guía explica cómo interpretar correctamente las informaciones detalladas proporcionadas por Qualys SSL Labs (https://www.ssllabs.com/ssltest/) que a veces pueden parecer técnicas o alarmantes sin el contexto adecuado.

Prólogo

• Qualys SSL Labs es una herramienta de análisis ampliamente utilizada para evaluar la configuración SSL/TLS de los sitios web.
• Las advertencias en sus informes a menudo son solo detalles técnicos sin impacto en la seguridad o el SEO del sitio.

Certificados múltiples en los informes de SSL Labs

Cuando SSL Labs analiza un sitio, puede mostrar varios certificados numerados (certificado #1, certificado #2, etc.). Esto ocurre por varias razones:

1. Certificado principal (#1): El certificado presentado cuando se utiliza SNI (Server Name Indication).
   • El SNI es una extensión TLS que permite a un servidor alojar varios certificados SSL para diferentes dominios en la misma dirección IP. Cuando un navegador se conecta, indica el nombre de dominio al que desea unirse.
2. Certificado secundario (#2): El certificado presentado cuando no se utiliza SNI o durante una conexión directa por IP.

Una indicación "No SNI" en el certificado #2 no es un error. Simplemente significa que SSL Labs ha probado lo que ocurre cuando un cliente se conecta sin proporcionar información SNI. En este caso:

• El servidor sirve un certificado de respaldo (a menudo un certificado genérico o de vista previa).
• Esta situación solo afecta a los clientes muy obsoletos que no soportan SNI.
• Todos los navegadores modernos utilizan SNI y, por lo tanto, recibirán el certificado #1.

Problemas de cadena de certificados

"Chain issues: Incorrect order, Extra certs, Contains anchor"

Estas advertencias no significan necesariamente que el certificado esté defectuoso:

• Incorrect order: Los certificados intermedios no se presentan en el orden óptimo.
• Extra certs: Se incluyen certificados adicionales innecesarios.
• Contains anchor: El certificado raíz está incluido en la cadena.

El protocolo TLS permite omitir el certificado raíz ya que normalmente ya está presente en las tiendas de certificados de los navegadores. Incluirlo no es un error, sino una redundancia.

"Alternative names mismatch"

Para el certificado de rescate (#2), la advertencia "MISMATCH" es normal porque:

• Este certificado está diseñado para otro dominio (preview.infomaniak.website).
• Solo se presenta cuando SNI no se utiliza.
• El navegador que recibe este certificado lo identificaría como no correspondiente al dominio solicitado, pero esto no afecta las conexiones normales con SNI.

En cuanto a las preocupaciones SEO:

• Google y otros motores de búsqueda utilizan navegadores modernos que soportan SNI.
• Reciben el certificado #1 que es válido para su dominio.
• Las advertencias sobre el certificado #2 no afectan el posicionamiento.
• Solo los problemas con el certificado principal (#1) podrían afectar el SEO.

Esta configuración es perfectamente adecuada para un alojamiento compartido donde varios sitios comparten la misma infraestructura, con un certificado de previsualización que sirve como solución de respaldo.