Cadena de certificado SSL explicada
cadena certificado ssl · certificado intermedio · root ca trust store
Cómo funcionan las cadenas SSL, por qué faltan intermedios provoca errores untrusted y cómo verificar la cadena completa online.
Por Equipo de red DN01
Los navegadores confían en el leaf solo si pueden construir un camino a una root CA ya en el trust store del SO o navegador. El servidor debe enviar leaf más intermedios requeridos — no la root.
Los errores de cadena son el problema TLS «funciona en mi máquina» más común tras la caducidad. El SSL Certificate Checker lista cada certificado en orden para comparar con la documentación del vendor.
Leaf, intermediate y root
Leaf (end-entity): emitido a su hostname, contiene SAN/CN, vida más corta.
Intermediate: firmado por root u otro intermediate, firma leaf certs, debe configurarse en el servidor.
Root: autofirmada, preinstalada en trust stores — nunca despliegue archivos root en servidores web públicos.
Corregir cadenas incompletas
Descargue la «full chain» o «CA bundle» del vendor (p. ej. archivos de cadena Let's Encrypt R3 + ISRG Root X1) y configure nginx, Apache o balanceador para servir leaf + intermedios juntos.
Tras desplegar, vuelva a ejecutar el SSL Checker — Android y Chrome de escritorio usan rutas de confianza y caché distintas.
Evite concatenar intermedios caducados de foros antiguos; use la documentación actual del emisor.
Preguntas frecuentes
- ¿Por qué un navegador confía y otro no?
A menudo entrega incompleta de cadena o intermediate antiguo ausente en una ruta. Verifique la cadena completa desde un checker externo.
- ¿Puedo usar varios intermedios?
Sí — el orden importa. El servidor debe enviar leaf primero, luego intermedios hasta (sin incluir) root.
- ¿La cadena afecta al TLS de correo?
SMTP STARTTLS usa las mismas reglas de cadena X.509 para servidores de correo con certificados.