Cómo resolver el error No se pudo establecer la relación de confianza para el canal seguro SSL/TLS con autoridad

Cuando veas el mensaje «No se pudo establecer la relación de confianza para el canal seguro SSL/TLS con la autoridad», indica un fallo en el canal de comunicación segura entre tu aplicación cliente y el servidor.
Este problema tiene sus raíces en el protocolo SSL/TLS, que es la columna vertebral del intercambio seguro de datos en Internet.
SSL (Secure Socket Layer) y TLS (Transport Layer Security) son protocolos criptográficos diseñados para proporcionar seguridad en las comunicaciones a través de una red informática.

El problema suele surgir cuando la aplicación cliente no confía en el certificado SSL/TLS presentado por el servidor.
Esto puede deberse a varias razones, como que el certificado sea autofirmado, esté caducado o no haya sido emitido por una Autoridad de Certificación (CA) de confianza.
Para comprender la complejidad de este asunto, hay que entender la mecánica de cómo se establecen las conexiones seguras y el papel de los certificados en este proceso.
Los certificados sirven como pasaportes digitales, verificando la identidad del servidor ante el cliente, garantizando que la entidad con la que te estás comunicando es realmente quien dice ser.

Comprender SSL y TLS

SSL (Secure Sockets Layer) y TLS (Transport Layer Security) son la base de la seguridad de las comunicaciones en línea.
Cifran los datos y autentifican las conexiones, garantizando que la información sensible, como los datos personales y de pago, permanezca confidencial durante la transmisión entre el navegador de un usuario y el servidor de un sitio web.
A pesar de su objetivo común, es esencial reconocer las diferencias entre SSL y TLS.
En particular, TLS es una versión actualizada y más segura de SSL, diseñada para solucionar las vulnerabilidades encontradas en protocolos SSL anteriores.

Nunca se insistirá lo suficiente en la necesidad de SSL/TLS para la seguridad de los sitios web.
El proceso comienza cuando un usuario intenta acceder a tu sitio; su navegador verifica primero la validez de tu certificado SSL.
Tras la validación, se establece una conexión cifrada que protege el intercambio de datos contra posibles escuchas o manipulaciones.

Hay varios tipos de certificados SSL adaptados a distintas necesidades:Certificados de dominio único: Ideales para proteger un sitio web, ofrecen una solución sencilla para sitios individuales.Certificados comodín: Un paso más allá, estos certificados protegen un único dominio junto con sus subdominios, lo que ofrece una solución flexible para las empresas que gestionan varios frentes de servicio bajo un dominio principal.Certificados Wildcard multidominio: La opción más versátil, perfecta para organizaciones con múltiples sitios web y subdominios.
Este tipo elimina la necesidad de certificados independientes para cada dominio, lo que simplifica la gestión y el despliegue.

Los proveedores de alojamiento de calidad, reconociendo la importancia de SSL/TLS, suelen incluir certificados SSL gratuitos como parte de sus planes de alojamiento.
Esta inclusión elimina una barrera de entrada para el alojamiento web seguro, facilitando a los propietarios de sitios web la adopción de HTTPS.
Por ejemplo, proveedores como 10Web ofrecen certificados SSL gratuitos de Let’s Encrypt y aprovechan la integración con Cloudflare.
Estos paquetes de alojamiento incluyen ventajas adicionales, como medidas de seguridad mejoradas, infraestructura de velocidad optimizada y herramientas avanzadas de supervisión del rendimiento.

Para quienes tengan requisitos específicos o prefieran una autoridad de certificación diferente, adquirir un certificado SSL personalizado de entidades de confianza como Comodo o DigiCert es otra vía viable.
Independientemente de la fuente, los pasos críticos posteriores a la adquisición incluyen instalar correctamente el certificado SSL en tu servidor y asegurarte de que funciona correctamente para mantener el estado seguro de tu sitio.

En esencia, la integración de SSL/TLS en el protocolo de seguridad de tu sitio web no es sólo una buena práctica, sino un requisito fundamental en el panorama digital actual.
No sólo protege los datos de tus usuarios, sino que también aumenta la credibilidad y fiabilidad de tu sitio a los ojos tanto de los visitantes como de los motores de búsqueda.
Tanto si optas por la comodidad del SSL gratuito de un proveedor de alojamiento como por la personalización de un certificado comprado, la clave reside en una instalación y un mantenimiento diligentes para garantizar la seguridad y el rendimiento continuos.

Variaciones de la cuestión

Este problema de relación de confianza SSL/TLS puede manifestarse en diversos entornos y plataformas, como navegadores web, clientes de correo electrónico, conexiones API y cualquier software que dependa de conexiones seguras a través de Internet.
El mensaje de error puede variar ligeramente según el contexto o el software que estés utilizando, pero la esencia sigue siendo la misma.
Algunas variaciones comunes son:

  • Se cerró la conexión subyacente: No se pudo establecer una relación de confianza para el canal seguro SSL/TLS.
  • Ha fallado la relación de confianza entre la estación de trabajo y el dominio primario.
  • Error: No se ha podido establecer una relación de confianza para el canal seguro SSL/TLS con la autoridad ‘[Authority Name]’.
  • Problema con el certificado SSL: no se puede obtener el certificado del emisor local.
  • La solicitud fue abortada: No se pudo crear el canal seguro SSL/TLS.

Razones por las que se produce este error

Certificado SSL/TLS caducado: Al igual que tu pasaporte, los certificados SSL/TLS tienen fecha de caducidad.
Si un certificado ha caducado, el cliente se negará a establecer una conexión segura con el servidor.

Certificados autofirmados: Para fines de desarrollo, los servidores suelen utilizar certificados autofirmados.
Sin embargo, las aplicaciones cliente no confían en ellos a menos que se añadan explícitamente al almacén de confianza, lo que provoca este error.

Nombres de dominio no coincidentes: El nombre de dominio del certificado debe coincidir con el nombre de dominio al que se accede.
Si hay una discrepancia, el cliente marcará la conexión como no fiable.

Certificado no emitido por una autoridad de confianza: Los navegadores y las aplicaciones cliente tienen una lista predefinida de CAs de confianza.
Si el certificado del servidor no está emitido por una de estas autoridades, el cliente no establecerá una conexión de confianza.

Faltan certificados intermedios: A veces, el servidor no proporciona la cadena de confianza completa, omitiendo los certificados intermedios.
Los clientes que no puedan verificar la ruta completa rechazarán la conexión.

Resolver el error No se pudo establecer la relación de confianza

Una vez exploradas las razones típicas del error «No se pudo establecer una relación de confianza para el canal seguro SSL/TLS con autoridad», vamos a profundizar en las estrategias para abordarlo y resolverlo.

Identificar la causa del error

En primer lugar, es esencial identificar la causa raíz del error.
El método para hacerlo varía en función del navegador a través del cual accedas al sitio web.

Safari

Información sobre el certificado SSL de Safari

  1. Pulsa el botón «Mostrar detalles» cuando encuentres el error.
    Esta acción revela más información sobre la advertencia de seguridad.
  2. Selecciona esta opción para ver el certificado del sitio web.
    Esta revisión puede revelar que el certificado del sitio está caducado o que utiliza un certificado autofirmado, que no es de confianza por defecto, ya que carece de verificación por terceros.

Cromo

SSL autofirmado Chrome

  1. Haz clic en la advertencia «No seguro» que aparece junto a la URL del sitio web en la barra de direcciones para hacerte una idea general del problema.
  2. Para más detalles, al hacer clic en «El certificado no es válido» se abre una ventana emergente con los datos del certificado, como las fechas de emisión y caducidad, y la Autoridad de Certificación (AC).

Tras identificar la causa raíz, puedes proceder con las siguientes soluciones:

Actualiza o instala un certificado de confianza

  • Si el problema se debe a un certificado autofirmado, plantéate sustituirlo por uno emitido por una CA reconocida.
    Esto garantiza la confianza del navegador y asegura la transferencia de tus datos.
  • Renueva el certificado antes de su fecha de caducidad para evitar problemas de confianza.
    Comprueba regularmente la validez de tus certificados para evitar errores inesperados.

Ajusta la configuración de seguridad de tu navegador

Ve a la configuración de seguridad de tu navegador.
Aunque no se recomienda para la navegación diaria, puedes optar por reducir temporalmente la configuración de seguridad para evitar el error.
Sin embargo, asegúrate de que comprendes los riesgos asociados a la aceptación de certificados no verificados.

Solución general de problemas

Ajustes correctos de fecha y hora

Una de las comprobaciones más sencillas pero cruciales es asegurarte de que los ajustes de fecha y hora de tu dispositivo son correctos.
Una configuración incorrecta puede provocar fallos en la validación de certificados SSL, ya que el sistema podría pensar que el certificado ha caducado cuando no es así.

Mac

Página de fecha y hora en los ajustes del Mac

Ve a Preferencias del Sistema > Fecha y Hora.
Si es necesario realizar cambios, haz clic en el icono del candado de la parte inferior para realizar los ajustes.
Puedes ajustar la hora automáticamente o asegurarte manualmente de que es correcta.

Actualizaciones del sistema y del navegador

El software obsoleto no sólo es un riesgo para la seguridad, sino que también puede causar problemas de compatibilidad con los certificados SSL/TLS.
Es crucial que te asegures de que tu sistema operativo y tu navegador están actualizados.

Actualizar macOS

Ventana de actualización del sistema del Mac

  1. Ve a Preferencias del Sistema > Actualización de Software.
  2. Si hay una actualización disponible, sigue las indicaciones para descargarla e instalarla.

Actualizar Google Chrome

Página de Ayuda de Chrome con las actualizaciones de Chrome seleccionadas

  1. En Chrome, haz clic en los tres puntos de la parte superior derecha para abrir el menú.
  2. Pasa el ratón por encima de Ayuda y selecciona Acerca de Google Chrome.
  3. Chrome buscará actualizaciones automáticamente.
    Si encuentra una actualización, sigue las instrucciones para instalarla y vuelve a iniciar el navegador.

Estos pasos son similares en la mayoría de los navegadores, aunque la navegación exacta puede variar.
Asegúrate siempre de que utilizas la última versión de tu software para evitar problemas innecesarios.

Por qué son importantes estos pasos

Precisión de la fecha y la hora: Los certificados SSL/TLS tienen un periodo de validez determinado.
Si el reloj de tu sistema está mal ajustado, puede provocar falsos errores indicando que un certificado aún no es válido o ha caducado.

Actualizaciones de software: Las actualizaciones suelen incluir parches de seguridad y correcciones de problemas conocidos.
Ejecutar la última versión de tu sistema operativo y navegador garantiza que no te encuentres con errores debidos a vulnerabilidades ya resueltas o problemas de compatibilidad.

Soluciones por error

La forma de solucionar el error depende de lo que se haya identificado como causa del error.
Aquí tienes algunas soluciones basadas en causas comunes.

Nombre incorrecto

Cuando el nombre común de tu certificado SSL no coincide con el dominio al que intentas acceder, los navegadores no te dejarán entrar sin las credenciales correctas.
Esta falta de coincidencia es un problema común pero, afortunadamente, tiene fácil solución.

El nombre común (CN) del certificado SSL actúa como su identidad, indicando a tu navegador que el sitio web al que se está conectando es realmente quien dice ser.
Cuando hay una discrepancia -por ejemplo, el certificado es para
www.example.com pero estás intentando acceder a ejemplo.com-el navegador levanta una bandera roja, dando lugar al error «No se pudo establecer una relación de confianza».

Este problema suele surgir debido al prefijo «www».
Muchos usuarios pueden no incluirlo al escribir una dirección web, por lo que es crucial que el certificado SSL de tu sitio web reconozca ambos.

Alinear tu certificado SSL con tu dominio

Dominio único

Si tu certificado sólo es válido para una versión concreta de tu dominio (con o sin «www»), esto es lo que tienes que hacer:

  1. En primer lugar, confirma la falta de coincidencia comprobando los detalles del certificado.
    La mayoría de los navegadores te permiten ver el certificado haciendo clic en el icono del candado junto a la URL, donde puedes encontrar el nombre común en la sección de detalles o ruta de certificación.
  2. Ponte en contacto con tu autoridad de certificación (CA) o proveedor de SSL para que emita un nuevo certificado que coincida con el nombre de dominio que es más probable que utilicen los usuarios.
    Lo ideal es optar por un certificado que cubra tanto la versión «www» como la versión no www de tu dominio para cubrir todas las bases.

Multidominio

Si tienes la flexibilidad de un certificado multidominio, estarás en mejores condiciones de abordar rápidamente este problema:

Los Nombres Alternativos de Sujeto (SAN) permiten que tu certificado sea válido para varios nombres de dominio.
Puedes añadir la versión «www» de tu dominio (o eliminarla) ajustando los SAN a través del panel de control de tu proveedor de SSL o poniéndote en contacto directamente con él para que te ayude.

Certificado SSL caducado

Utilizar un certificado SSL caducado no sólo pone en riesgo tu credibilidad, sino que también puede exponer a tus visitantes a actividades nefastas, como el robo de datos.
Desglosemos el proceso para proteger tu sitio con un nuevo certificado.

Instalar un certificado SSL válido

Renovar puntualmente tu certificado SSL es primordial para mantener una conexión segura entre tu sitio web y sus usuarios.
A continuación te explicamos cómo hacerlo:

  1. Ponte en contacto con la CA que emitió tu certificado original.
    La mayoría de las CA envían avisos de renovación cuando se acerca la fecha de caducidad, pero si la tuya no lo ha hecho, toma la iniciativa de ponerte en contacto con ellos directamente.
  2. Antes de renovar tu certificado, es posible que tengas que generar una nueva CSR desde tu servidor.
    Este proceso varía en función de tu entorno de alojamiento, así que consulta a tu proveedor de alojamiento o la documentación del servidor para obtener instrucciones específicas.
  3. Una vez que tengas tu CSR, envíalo a tu CA.
    Utilizarán la información del CSR para crear un nuevo certificado SSL para tu sitio web.
  4. Después de que tu CA emita el nuevo certificado, tendrás que instalarlo en tu servidor.
    De nuevo, los pasos exactos dependerán de la configuración de tu alojamiento, así que consulta las directrices de tu proveedor o pide ayuda a su equipo de soporte.

No te limites a suponer que todo funciona; comprueba que tu nuevo certificado está instalado correctamente.
Herramientas como
Prueba SSL de SSL Labs puede ayudarte a confirmar que tu sitio es seguro y que el SSL funciona como se espera.

Configura recordatorios para futuras renovaciones

Olvidar renovar tu certificado SSL puede provocar tiempos de inactividad innecesarios y riesgos para la seguridad.
He aquí cómo evitarlo:

  • Puede parecer básico, pero establecer un recordatorio en el calendario es una forma eficaz de recordar la fecha de renovación.
    Establece el recordatorio entre unas semanas y un mes antes del vencimiento real, para tener tiempo de sobra para actuar.
  • Dependiendo de tu CA, es posible que puedas configurar renovaciones automáticas para tu certificado SSL.
    Este servicio automatiza el proceso de renovación, garantizando que tu certificado esté siempre actualizado sin intervención manual.
  • Utiliza herramientas de supervisión que busquen específicamente la validez del SSL y te avisen cuando se acerque la fecha de caducidad de tu certificado.
    Algunos proveedores de alojamiento web ofrecen esto como parte de su paquete de servicios.

Un certificado SSL actualizado es tu primera línea de defensa contra ciertos tipos de ciberamenazas.
Cifra los datos transmitidos entre tu servidor y los navegadores de tus visitantes, salvaguardando la información sensible de la interceptación.
Además, refuerza la credibilidad de tu sitio, ya que los navegadores muestran advertencias de seguridad para los sitios con certificados caducados, lo que puede disuadir a los visitantes y dañar tu reputación.

Una supervisión periódica y una estrategia de renovación proactiva son fundamentales para mantener este aspecto esencial de la infraestructura de seguridad de tu sitio web.

Añadir certificado al almacén de confianza

Cuando el navegador muestra una advertencia de seguridad debido a una autoridad de certificación (CA) no fiable, añadir el certificado a tu almacén de confianza es una solución habitual, especialmente en entornos en los que se sabe que la CA es segura (como las redes internas).
Veamos cómo puedes hacerlo tanto en Safari para usuarios de Mac como en entornos Windows.

Usuarios de Safari en Mac

Para certificados individuales:

Añadir certificado a tienda de confianza safari

  1. Navega hasta el sitio web que causa el problema de confianza, haz clic en el icono del candado (o un indicador de seguridad similar) situado junto a la URL y selecciona «Ver el certificado».
  2. En la ventana de información del certificado, despliega la sección «Confianza».
    Aquí encontrarás un menú desplegable para «Al utilizar este certificado».
    Ajústalo a «Confiar siempre».

Para todos los certificados:

  1. Utiliza el signo de interrogación o el icono de «ayuda» de la ventana emergente del certificado para iniciar directamente Acceso a Llaveros, o ábrelo manualmente desde Aplicaciones > Utilidades.
  2. En Acceso a Llaveros, en «Raíces del sistema», busca la sección «Certificados».
    Aquí puedes revisar todos los certificados instalados.
  3. Busca el certificado en cuestión, haz clic con el botón derecho y elige «Obtener información».
    Dentro de la sección de confianza de esta ventana de información, puedes modificar la configuración a «Confiar siempre».

Usuarios de Windows

añadir certificado al almacén de confianza windows

  1. Pulsa la tecla de windows y escribe «mmc» en la barra de búsqueda y abre la consola.
  2. Ve a Archivo > Añadir/Quitar complemento, selecciona «Certificados» y haz clic en «Añadir».
    Elige «Cuenta de equipo», luego «Equipo local» y termina con «Aceptar».
  3. Ve a «Autoridades de certificación raíz de confianza».
    Haz clic con el botón derecho, selecciona «Todas las tareas» y luego «Importar».
    El Asistente para la Importación de Certificados te guiará en la selección e importación del archivo de certificado.
  4. Sigue las instrucciones del asistente para localizar e importar el certificado.
    Confirma la acción y cierra MMC.
    Es posible que tengas que reiniciar el navegador o el ordenador para que los cambios surtan efecto.

añadir certificado al almacén de confianza windows 2

Ajustar la configuración de confianza o importar certificados al almacén de confianza es una forma eficaz de gestionar las advertencias de seguridad y los controles de acceso.
Sin embargo, es vital proceder con cautela.

  • Sólo ajusta la configuración de confianza o añade certificados para CAs o sitios web en los que confíes absolutamente.
    Una confianza equivocada puede exponerte a vulnerabilidades de seguridad.
  • Utiliza este método con criterio, principalmente para redes internas o entornos de desarrollo.
    Para sitios de cara al público, asegúrate de que los certificados son emitidos por CAs reconocidas y de confianza.

Los certificados autofirmados pueden ser un arma de doble filo.
Ofrecen una forma rápida y gratuita de cifrar los datos transmitidos entre tu servidor y tus usuarios, lo que los convierte en una opción atractiva para determinados escenarios como el desarrollo y las pruebas.
Sin embargo, los inconvenientes se hacen evidentes cuando te adentras en el mundo más amplio de Internet, donde la confianza y la seguridad son primordiales.

Certificado autofirmado

Un certificado autofirmado es esencialmente un certificado firmado por la persona u organización que lo ha creado, en lugar de por una autoridad de certificación (CA) de confianza.
Esto significa que, aunque puede proporcionar encriptación, carece de la verificación de terceros en la que se basan los navegadores y los usuarios para confiar en la seguridad de la conexión.

Los principales navegadores y sistemas operativos confían en los certificados de CA reconocidas porque estas autoridades tienen procesos de verificación estrictos.
Un certificado autofirmado no ha sido sometido a tal escrutinio, lo que lleva a los navegadores a advertir a los usuarios sobre la seguridad de la conexión, lo que puede disuadir a los visitantes y dañar la credibilidad de tu sitio.

Si un certificado autofirmado se ve comprometido (por ejemplo, se filtra la clave privada), no hay forma de revocarlo.
Las CA de confianza, en cambio, mantienen listas de certificados revocados (CRL y utilizan OCSP), lo que permite a los navegadores comprobar el estado del certificado en tiempo real y bloquear conexiones potencialmente comprometidas.

Transición a un certificado firmado por una CA

Para los sitios web de cara al público, cambiar a un certificado firmado por una CA es crucial para establecer la confianza y la seguridad.
He aquí cómo hacer el cambio:

  • Investiga y selecciona una CA de confianza.
    Hay varias CA de confianza, incluidas algunas que ofrecen certificados gratuitos, como Let’s Encrypt.
  • Esta solicitud contiene tu clave pública y detalles sobre tu organización.
    Normalmente, el software de tu servidor web puede generar una CSR por ti.
  • Una vez que hayas elegido tu CA, tendrás que enviarle tu CSR.
    La CA verificará tu dominio y, potencialmente, otra información organizativa dependiendo del tipo de certificado que solicites (DV, OV o EV).
  • Después de que la CA emita tu certificado, tendrás que instalarlo en tu servidor web.
    El proceso de instalación varía en función del software de tu servidor, así que sigue las instrucciones que te proporcione tu CA o proveedor de alojamiento.
  • Utiliza herramientas como la Prueba de Servidor SSL de SSL Labs para asegurarte de que tu certificado está instalado correctamente y tu sitio es seguro.
  • Si tu CA lo admite (como Let’s Encrypt), configurar la renovación automática garantiza que tu certificado siga siendo válido sin intervención manual, evitando caducidades inesperadas.

Reflexiones finales

A lo largo de este blog, hemos navegado por las complejidades de los errores de los certificados SSL/TLS y cómo pueden afectar a la seguridad de tu sitio web y a la confianza de los usuarios.
Desde la identificación de la causa raíz del error «No se ha podido establecer una relación de confianza» hasta la exploración de escenarios específicos como la falta de coincidencia de certificados, la caducidad, las CA que no son de confianza y el uso de certificados autofirmados, hemos cubierto una serie de soluciones para salvaguardar tu sitio.
Ya sea ajustando la configuración de confianza del navegador, renovando o sustituyendo certificados, o pasando de certificados autofirmados a certificados firmados por CA, la importancia de mantener unas comunicaciones digitales seguras y de confianza ha sido un tema central.
Aplicar estas medidas no sólo mejora la seguridad del sitio, sino que también refuerza la confianza del usuario, garantizando una experiencia de navegación fluida y segura.

Say goodbye to website errors

Share article

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Your email address will never be published or shared. Required fields are marked *

Comment*

Name *