Monitorización de caducidad del certificado SSL: no te enteres por el cliente
La monitorización de caducidad del certificado SSL consiste en comprobar de forma automática y continua cuántos días faltan para que caduque el certificado TLS de un sitio, y avisarte antes de que ocurra. Cuando un certificado caduca, el navegador bloquea la página con un aviso a pantalla completa, el tráfico cae a cero en minutos y los formularios y el checkout dejan de funcionar. Comprobarlo a mano con el candado o con openssl sirve para un sitio, pero no escala en una cartera de clientes. Deltio revisa el certificado de todos los sitios que gestionas desde una sola cuenta, muestra los días hasta la caducidad y el emisor, y avisa a 30 días y otra vez a 1 día, desde £20 al mes con 14 días de prueba gratuita.
Nadie planea dejar caducar un certificado. Pasa igual, casi siempre en el sitio que heredaste de otra agencia, un sábado, en un subdominio que nadie recordaba. La primera persona en darse cuenta casi nunca eres tú. Es el cliente.
Qué pasa de verdad cuando caduca un certificado
- El navegador bloquea la página. Chrome muestra
NET::ERR_CERT_DATE_INVALIDa pantalla completa, en rojo. Casi todos pulsan el botón para volver atrás. - El tráfico cae a cero en minutos. Línea plana: la página no llega a cargar, así que el script de seguimiento ni se dispara.
- Formularios y checkout se paran. Pagos, formularios de contacto, logins. Todo lo que se envía por HTTPS falla.
- Googlebot ve un sitio inalcanzable. El rastreo se desploma y una caída de días puede costar posiciones ganadas en meses.
- Las API se rompen en silencio. Webhooks y llamadas servidor a servidor rechazan el certificado sin avisar a nadie.
Por qué caducan los certificados incluso con renovación automática
La renovación automática es un cron, y los cron fallan.
- El cron de renovación falla en silencio. Certbot se topa con un error, lo escribe en un log que nadie lee y termina. Noventa días después, el certificado ya no está.
- La validación dejó de funcionar. El reto HTTP-01 está bloqueado por una regla del firewall o un WAF, o el DNS se movió y el reto DNS-01 ya no resuelve.
- Renovado, pero nunca recargado. Nginx o Apache sigue sirviendo el certificado anterior desde memoria: bien en disco, caducado en el navegador.
- La CDN tiene su propio certificado. Cloudflare o un balanceador terminan el TLS en el edge: el certificado del origen está fresco, el del edge no, o al revés.
- Los subdominios están descubiertos. El certificado cubre
ejemplo.comywww.ejemplo.com. Enshop.,blog.o el staging no pensó nadie, y cada uno tiene su propia caducidad.
Cómo se comprueba un certificado a mano
- Navegador: haz clic en el candado de la barra de direcciones, abre los detalles del certificado y lee las fechas de inicio y fin de validez.
- Línea de comandos: ejecuta
openssl s_client -connect ejemplo.com:443 -servername ejemplo.comy lee las fechasnotBeforeynotAfter. Sin-servernameobtienes el certificado por defecto de la IP compartida, no el de ese host.
Ahora hazlo en 30 sitios de clientes, más subdominios, más staging, cada semana, para siempre. La comprobación manual aguanta hasta la semana en la que vas cargado de trabajo, que es la semana en la que algo caduca. Igual para el resto: mira nuestra checklist de monitorización para agencias.
Qué monitorizar, más allá de la fecha de caducidad
- Días restantes: el número sobre el que actúas. Treinta días bastan para abrir un ticket.
- Emisor: quién firmó el certificado. Si cambia y nadie te avisa, algo cambió en el hosting o en la CDN.
- Validez de la cadena: un certificado puede estar en fecha y aun así no ser válido. Un intermedio que falta o un host que no coincide dan la misma pantalla roja.
Un certificado caducado es un evento de downtime, así que trátalo como tal. Igual que las alertas de uptime.
Cómo lo hace Deltio
- Días hasta la caducidad y emisor, sitio a sitio en el panel.
- Un aviso a 30 días de la caducidad y un segundo a 1 día.
- Notificación inmediata si el certificado no es válido, no solo cuando está cerca de caducar.
- Alertas por email y Slack, en tu idioma y tu zona horaria.
El SSL convive con los otros controles que Deltio hace sobre el mismo sitio: uptime cada 10 minutos, caducidad del dominio vía RDAP, cambios en robots.txt y diffs de sitemap. Una cuenta, todos los clientes: que es justo el punto cuando toca monitorizar los sitios de tus clientes y no solo uno tuyo.
Empieza por el sitio que odiarías perder
Añade un dominio y deja que Deltio lea el certificado. Después añade el resto de la cartera. Los planes empiezan en £24 al mes (£20 con pago anual), con 14 días de prueba gratuita.
Preguntas frecuentes
- ¿Qué es la monitorización de caducidad del certificado SSL?
- Es la comprobación automática y continua del certificado TLS/SSL de un sitio para saber cuántos días faltan hasta su caducidad y avisar a alguien antes de que ocurra. Una buena monitorización también verifica que el certificado sea realmente válido: host correcto, cadena completa, emisor de confianza. Existe porque un certificado caducado bloquea a todos los visitantes con un aviso a pantalla completa.
- ¿Cómo compruebo cuándo caduca un certificado SSL?
- En el navegador, haz clic en el candado de la barra de direcciones y abre los detalles del certificado para ver la fecha de fin de validez. Desde la línea de comandos, ejecuta `openssl s_client -connect ejemplo.com:443 -servername ejemplo.com` y lee el valor `notAfter`. Los dos métodos valen para un sitio, pero ninguno escala cuando gestionas decenas de dominios de clientes.
- ¿Por qué caduca un certificado SSL si tengo renovación automática?
- Porque la renovación automática es una tarea programada que puede fallar sin hacer ruido. Causas habituales: un cron de Let's Encrypt que falla, un reto de validación bloqueado por el firewall o por un cambio de DNS, un certificado renovado en disco pero nunca recargado por el servidor web, y una CDN con un certificado propio en el edge. Además, los subdominios suelen tener certificados que nadie renueva.
- ¿Qué pasa si caduca el certificado SSL?
- Los navegadores dejan de mostrar el sitio y en su lugar aparece un aviso de seguridad a pantalla completa, así que el tráfico se desploma en minutos. Formularios, logins y pagos fallan, los scripts de analítica no se disparan y los rastreadores ven el sitio como inalcanzable. Una caída larga cuesta posiciones además de facturación.
- ¿Deltio me avisa antes de que caduque un certificado SSL?
- Sí. Deltio comprueba el certificado de cada sitio monitorizado, muestra los días hasta la caducidad y el emisor, y envía un aviso 30 días antes de la caducidad y otro 1 día antes. Si el certificado no es válido, Deltio te notifica de inmediato. Las alertas llegan por email y Slack.
- ¿Cuánto cuesta Deltio?
- Deltio empieza en £24 al mes con el plan Starter, o £20 al mes si pagas anualmente. El plan Professional cuesta £49 al mes y el Enterprise £119 al mes. Todos los planes incluyen una prueba gratuita de 14 días.