Explorando el blog de Toni
Toni Domenech
Toni Domenech

El Blog de Toni Domenech

Ideas, código, reflexiones y experimentos digitales

PROGRAMACIÓN CIBERSEGURIDAD

SSL Labs: la prueba que te dice si tu HTTPS protege de verdad

19/06/2026 19:53
SSL Labs: la prueba que te dice si tu HTTPS protege de verdad

Resumen listo para agente

Qué: Este artículo explica SSL Labs: la prueba que te dice si tu HTTPS protege de verdad.

Por qué: Sirve para tomar decisiones rápidas con contexto técnico y de negocio.

Cómo: Tener HTTPS ya no diferencia a nadie. Hoy es el mínimo. La diferencia real está en cómo está configurado ese HTTPS. Puedes tener un certificado válido y, aun así, arrastrar versiones antigua...

Preguntas clave de esta página

  • ¿Qué resuelve exactamente este enfoque?
  • ¿Qué resultados puedo esperar en tiempo y coste?
  • ¿Cómo lo adapto a mi contexto sin rehacer todo?

Tener HTTPS ya no diferencia a nadie. Hoy es el mínimo. La diferencia real está en cómo está configurado ese HTTPS. Puedes tener un certificado válido y, aun así, arrastrar versiones antiguas de TLS, una cadena incompleta, cifrados obsoletos o una política de seguridad mejorable. Ahí es donde entra SSL Labs Server Test: un servicio gratuito de Qualys SSL Labs que realiza un análisis profundo de la configuración SSL de cualquier servidor público en Internet. Además, la propia plataforma indica que los dominios enviados se usan únicamente para prestar el servicio.

La URL https://www.ssllabs.com/ssltest/analyze.html es, en la práctica, la puerta de entrada a una auditoría rápida y muy útil. No hace magia ni sustituye una revisión completa de infraestructura, pero sí te da una radiografía extremadamente valiosa en minutos. El informe pone el foco en cuatro bloques muy claros: Certificate, Protocol Support, Key Exchange y Cipher Strength. Ese desglose ya te dice algo importante: no basta con que el certificado “funcione”; importa también qué protocolos permites, qué fortaleza tiene el intercambio de claves y qué cifrados acabas negociando con los clientes.

Usarla es sencillo. Entras, escribes el hostname del sitio que quieres revisar y lanzas el análisis. Si no quieres que aparezca públicamente en los listados del servicio, puedes marcar la opción para no mostrar el resultado en los boards. A partir de ahí, SSL Labs prueba el servidor, resuelve su configuración y devuelve un informe que suele convertirse en una lista de prioridades bastante accionable para cualquier administrador, desarrollador o consultor técnico.

La parte que más llama la atención es la nota global, porque traduce muchos detalles técnicos a una señal rápida de riesgo. La política de evaluación publicada por SSL Labs utiliza todo el rango de A a F, añade A+ para configuraciones excepcionales, y reserva T para servidores sin certificado públicamente confiable y M para certificados no válidos. En esa misma guía, un A+ se asocia a una configuración excepcional; un A, a una configuración buena; un B, a servidores que aún soportan criptografía obsoleta aunque no se use con clientes modernos; y a partir de C la herramienta ya considera que hay dependencia de criptografía obsoleta o problemas de distinta severidad.

Lo interesante de verdad empieza cuando dejas de mirar la letra y te metes en el detalle. SSL Labs considera como línea base una configuración con claves fuertes, firma SHA-2, certificado válido y de confianza pública, cadena completa, TLS 1.2, suites AEAD, preferencia de cifrado bien definida, forward secrecy, intercambio de claves fuerte y, en entornos HTTP, HSTS. Es decir: la herramienta no premia solo “tener cifrado”, sino tenerlo bien desplegado y con criterios modernos.

También deja bastante claro qué tipo de cosas hunden una evaluación. En su política aparecen como problemas versiones antiguas como SSLv2, SSLv3 y TLS 1.0, además de debilidades o ataques conocidos asociados a configuraciones pobres, como RC4, POODLE, FREAK, Logjam, DROWN o Heartbleed. Dicho de forma simple: si tu servidor arrastra compatibilidades heredadas para no romper con clientes antiguos, es muy probable que el precio sea una nota peor y una superficie de ataque innecesaria.

Hay otro matiz importante: una buena nota no es solo una cuestión estética ni de ego técnico. Tiene impacto en compatibilidad real, en confianza del usuario y en la exposición de tu negocio. Un informe de SSL Labs te ayuda a detectar si tu web está enviando un mensaje coherente: “mi conexión es segura de verdad”, no solo “mi navegador no protesta”. Para una pyme, una tienda online, una web corporativa o un SaaS, esa diferencia importa mucho más de lo que parece.

¿Dónde conviene mirar primero cuando lees el resultado? En este orden: validez y caducidad del certificado, cadena completa, presencia de protocolos viejos, soporte de TLS moderno, calidad del key exchange y suites de cifrado negociadas. Después, si quieres aspirar a una configuración realmente sólida, toca revisar HSTS con una duración larga y una política consistente. La propia guía de SSL Labs considera excepcional una configuración con HSTS de larga duración, subdominios incluidos y preload, entre otros factores.

Mi lectura práctica es muy clara: SSL Labs no es una herramienta “para mirar una vez”, sino una comprobación que debería formar parte del mantenimiento normal de cualquier proyecto web. Pásala cuando estrenas servidor, cuando renuevas certificados, cuando cambias proxy inverso, cuando activas CDN, cuando endureces Nginx o Apache y, sobre todo, cuando crees que “ya está todo correcto”. Muchas veces es justo ahí cuando aparecen las sorpresas.

En un ecosistema donde la seguridad suele venderse como una casilla marcada, SSL Labs sigue siendo útil porque obliga a bajar al detalle técnico sin convertir la revisión en una tesis. Te da una nota rápida, sí, pero sobre todo te da contexto para tomar decisiones mejores. Y eso, en seguridad web, vale bastante más que un candado verde.

— Toni Domenech

Si este artículo te ha servido, dale al pulgar rojo.

¿Quieres que esto funcione en tu empresa?

Adaptamos estas ideas a tu contexto concreto con un diagnóstico rápido de 15 minutos.

Pide un diagnóstico

Diagnóstico AI-First en 15 minutos