Comprobar caducidad del certificado SSL
comprobar caducidad certificado ssl · verificar ssl online · fecha validez certificado
Cómo comprobar la caducidad del certificado SSL online, leer fechas notAfter, entender errores del navegador y evitar caídas HTTPS antes de que expire el certificado.
Por Equipo de red DN01
Los certificados TLS caducados rompen HTTPS al instante — los navegadores muestran NET::ERR_CERT_DATE_INVALID o similar mientras el sitio sigue activo detrás del balanceador. Comprobar la caducidad antes de notAfter es higiene operativa básica para cualquier dominio con HTTPS.
Esta guía explica qué campos importan en un certificado, cómo verificarlos con el SSL Certificate Checker y qué hacer cuando la auto-renovación falla en silencio en hosting compartido o Kubernetes ingress.
Qué buscar en los resultados de caducidad
El notAfter (válido hasta) del certificado leaf es la fecha límite. Los certificados wildcard y multi-dominio (SAN) pueden listar varios hostnames — confirme que cada nombre servido aparece en la extensión Subject Alternative Name.
Compare también notBefore: un cert con notBefore futuro provoca errores hasta cruzar ese límite. Los intermedios de la cadena tienen sus propias fechas — un intermediate caducado rompe la confianza aunque el leaf parezca correcto.
Cómo comprobar la caducidad online (4 pasos)
Abra el SSL Certificate Checker, introduzca el hostname (puerto 443 implícito) y ejecute la comprobación.
Anote notAfter del leaf y de cada intermediate en el panel de cadena.
Contraste las entradas SAN con cada subdominio publicado (www, api, cdn).
Programe un recordatorio 14 días antes si la renovación es manual; 7 días si está automatizada con alertas.
Fallos habituales de caducidad
Los trabajos ACME de Let's Encrypt fallan cuando HTTP-01 no alcanza /.well-known o faltan registros TXT DNS-01 — los paneles pueden mostrar «activo» mientras el certificado en vivo es antiguo.
Los balanceadores a veces terminan TLS con un cert antiguo mientras el origin usa uno nuevo — pruebe siempre el hostname público que ven los clientes, no solo la IP del origin.
Tras renovar, verifique con el checker y deje drenar sesiones antiguas; las listas HSTS preload no perdonan caídas por caducidad.
| Síntoma | Causa probable | Solución |
|---|---|---|
| NET::ERR_CERT_DATE_INVALID | Leaf pasado notAfter | Renovar y desplegar cadena completa |
| Untrusted issuer | Intermediate faltante | Instalar bundle del vendor en el servidor |
| Hostname mismatch | Nombre ausente en SAN | Reemitir con SAN correcto |
| Funciona en móvil, falla en escritorio | Cadena incompleta en una ruta | Comparar cadena del checker |
Preguntas frecuentes
- ¿Comprobar la caducidad significa que mi sitio está totalmente seguro?
No. Las fechas válidas son una capa. Aún necesita el hostname correcto en SAN/CN, versiones TLS modernas, cadena completa y sin mixed content. Use el SSL Checker para cadena y protocolo juntos.
- ¿Con qué frecuencia debo comprobar la caducidad del certificado?
Mensualmente en producción; semanalmente durante migraciones. Los certificados Let's Encrypt se renuevan cada 90 días — automatice la renovación y verifique con el SSL Checker tras cada despliegue.
- ¿Puedo comprobar SSL sin tener openssl instalado?
Sí. El DN01 SSL Certificate Checker ejecuta el handshake TLS desde el navegador, muestra notBefore/notAfter, orden de cadena y protocolo negociado sin herramientas locales.