Redes
10 min de lectura
Certificados X.509: cómo funciona realmente TLS/SSL
Un certificado X.509 vincula una clave pública con una identidad. Detrás del candado del navegador hay una cadena de confianza completa que hace posible TLS.
Campos importantes
Subject, issuer, validez, clave pública, algoritmo de firma y SAN son los campos que más afectan el despliegue real. SAN es especialmente crítico hoy.
Cadena de confianza
El navegador no valida solo el certificado final. También revisa los intermedios hasta una raíz confiable. Una cadena incompleta puede romper clientes móviles o herramientas CLI.
CSR y operación
Para emitir un certificado primero generas la clave privada y luego el CSR. La clave privada nunca debe salir del entorno que controlas.
Fallos habituales
- Certificados caducados
- Cadenas incompletas
- Nombres de host que no coinciden
- Raíces no confiables