Qué es un certificado SSL comodín y cómo implementarlo [2 métodos]

Puntos clave

• Un certificado SSL comodín protege tu dominio principal y un número ilimitado de sus subdominios utilizando una única clave criptográfica.
• Elimina el trabajo administrativo repetitivo protegiendo automáticamente cualquier nueva zona de montaje o portal que construyas sin necesidad de un nuevo archivo de seguridad.
• Instalar un comodín manualmente requiere ejecutar comandos de terminal y gestionar renovaciones de 90 días, mientras que Cloudways gestiona la verificación y las renovaciones automáticas totalmente en segundo plano.

Hacer crecer un sitio web casi siempre significa añadir subdominios. Creas una tienda, un portal privado o una zona de pruebas para probar cosas. Por sí solas, estas secciones separadas son geniales. Pero si las pones todas juntas, asegurarlas se convierte en un enorme quebradero de cabeza administrativo.

Los archivos SSL básicos sólo bloquean una dirección específica. Eso te obliga a generar, cargar y realizar el seguimiento de un archivo de seguridad completamente distinto para cada nueva sección que crees. Olvídate de un solo ciclo de renovación, y tu tráfico caerá porque los navegadores bloquearán activamente la conexión.

Precisamente ahora es cuando los propietarios de los sitios empiezan a preguntar por los certificados comodín para ver si realmente solucionan el problema.

A continuación te explicamos qué es el SSL comodín y cómo funciona. También te mostramos cómo configurarlo manualmente en un servidor y cómo el complemento Cloudways Cloudflare Enterprise automatiza todo el proceso por ti.

¿Qué es un certificado SSL comodín y cómo funciona?

Un certificado comodín es un tipo único de archivo de seguridad digital. Protege tu sitio web principal y varios subdominios simultáneamente.

Normalmente, tienes que verificar e instalar un archivo distinto para cada punto final de tu servidor. Un certificado ssl comodín evita por completo ese proceso repetitivo. Utiliza una clave criptográfica para verificar toda la estructura de tu dominio de primer nivel a la vez.

Esto cambia la forma en que tu servidor autentica las conexiones y reduce significativamente tu carga de trabajo administrativo diario.

Para entender exactamente cómo funciona un ssl comodín, tienes que fijarte en dos componentes técnicos específicos. Se basa en un carácter asterisco especial para su estructura de nombres y en un campo oculto llamado Nombre Alternativo del Sujeto (SAN) para procesar el código.

Veamos primero cómo gestiona el asterisco el nombramiento.

Automatiza tus renovaciones de SSL Wildcard

Deja de actualizar los registros DNS cada 90 días. Aloja tu aplicación en Cloudways para aprovisionar y renovar automáticamente los certificados comodín de Let’s Encrypt totalmente en segundo plano.

Saber más

Asegurar subdominios con el carácter asterisco (*)

Los archivos SSL normales sólo funcionan para una dirección web exacta. Digamos que compras un certificado para blog.ejemplo.com. Si pones exactamente el mismo archivo en tienda.ejemplo. com, Chrome o Safari bloquearán el sitio.

El navegador ve que los nombres son diferentes y provoca un error.

Un certificado ssl comodín utiliza una ingeniosa solución para corregir este desajuste. Coloca un asterisco en el nombre de dominio para que se lea como *.ejemplo.com. Ese asterisco actúa como un cajón de sastre.

Esencialmente, obliga al navegador web a aceptar cualquier cosa que se encuentre justo delante de tu dominio principal.

Por fin dejas de tener que registrar cada nuevo subdominio que creas. Un archivo protege tu servidor de ensayo activo de hoy y cualquier nuevo portal de cliente que puedas crear el mes que viene. Te ahorras por completo la configuración adicional del servidor.

La Configuración del Nombre Alternativo del Sujeto (SAN)

El asterisco maneja el truco del nombre en la superficie. Sin embargo, el archivo de certificado real debe procesar ese símbolo de estrella a través de un fragmento de código específico. Esto ocurre en el campo Nombre alternativo del sujeto.

Los ingenieros suelen llamarlo simplemente extensión SAN. Los archivos de seguridad antiguos sólo miraban una única línea de código para verificar un sitio web. Los navegadores web modernos exigen un sistema mucho más robusto para comprobar varias direcciones a la vez.

Hoy en día, cuando un proveedor crea un certificado ssl comodín, toda la configuración real tiene lugar dentro de este campo SAN. Programan la extensión para que contenga dos entradas de dominio completamente distintas.

La primera entrada protege tu dominio raíz, como ejemplo.com. La segunda entrada es la versión comodín escrita como *.ejemplo.com.

Ambas entradas son absolutamente necesarias. Un navegador web trata tu dominio desnudo y un subdominio como dos sitios web completamente diferentes.

Al colocar el nombre raíz y el asterisco comodín juntos en el campo SAN, el archivo garantiza que toda tu red pasa la comprobación de seguridad simultáneamente.

Comparación de tipos de SSL: Único, Multidominio y Wildcard

Cuando configuras un SSL, normalmente tienes tres opciones principales entre las que elegir. Un certificado comodín es estupendo para ahorrar tiempo, pero no es la única forma de bloquear un sitio. Mucha gente sigue utilizando archivos estándar de un solo dominio o intenta agruparlo todo en una configuración multidominio.

Para entender por qué un comodín suele ser mejor para los sitios en crecimiento, tienes que ver en qué se quedan cortos los otros dos. Empecemos por ver cómo se compara con un certificado básico de dominio único.

Certificados de dominio único frente a certificados comodín

Un archivo de dominio único hace exactamente lo que su nombre indica. Protege una dirección web exacta. Si proteges ejemplo.com, la cobertura termina ahí. La mayoría de las Autoridades de Certificación incluirán gratuitamente la versión www, pero ése es el límite absoluto.

Si construyes tienda.ejemplo.com más adelante, tu archivo de seguridad original no funcionará. Tendrás que comprar un certificado nuevo e instalarlo desde cero.

Esta regla estricta está perfectamente bien para un blog personal básico. Pero para un sitio en crecimiento, gestionar archivos individuales se convierte rápidamente en una pesadilla. Aquí es exactamente donde gana la configuración comodín:

• Un solo dominio: Requiere una nueva compra, una nueva validación y una nueva configuración del servidor para cada subdominio que crees.
• Comodín: Protege tu sitio principal una vez. Cualquier subdominio nuevo que lances más tarde obtiene protección automática al instante sin ningún trabajo adicional.

Multidominio (SAN) vs. Certificados Wildcard

Los certificados multidominio ofrecen un enfoque ligeramente distinto. Te permiten agrupar varias direcciones web diferentes en un solo archivo. Pero su funcionamiento es bastante estricto.

Cuando compras una, tienes que escribir el nombre exacto de cada una de las direcciones que quieres proteger en ese mismo momento. Si quieres que cubra ejemplo.com, blog.ejemplo.com y un sitio totalmente independiente como otro-sitio.com, debes indicar los tres antes de pasar por caja.

La Autoridad de Certificación introduce esos nombres específicos en el código. Esto crea un enorme dolor de cabeza si tu sitio sigue creciendo:

• Los archivos multidominio te obligan a retroceder. Si el mes que viene creas un nuevo sitio de ensayo, tu archivo actual no lo cubrirá. Tendrás que volver a la Autoridad de Certificación, reemitir todo el certificado con el nuevo nombre y subirlo de nuevo a tu servidor.
• Los certificados comodín te mantienen en movimiento. Gracias al asterisco, cualquier subdominio nuevo obtiene protección instantánea en el momento en que se activa. Nunca tendrás que reeditar el archivo ni tocar la configuración de tu servidor.

Los archivos multidominio tienen sentido si posees sitios web raíz completamente distintos y quieres gestionarlos juntos. Pero si sólo estás añadiendo subdominios a una marca principal, un comodín te ahorra horas de trabajo repetitivo.

Instalar manualmente un certificado SSL comodín en un servidor

Conseguir el certificado comodín es sólo el principio. Para instalarlo en tu servidor tendrás que ensuciarte las manos. Si tu proveedor de alojamiento web no gestiona la seguridad por ti automáticamente, tendrás que realizar la instalación tú mismo.

Eso significa abrir la línea de comandos de tu servidor.

Para este tutorial, utilizaremos el VPS de DigitalOcean. Sin embargo, ten en cuenta que estos mismos pasos son aplicables a casi cualquier servidor Linux estándar.

Para el certificado en sí, utilizaremos Let’s Encrypt. Es una opción completamente gratuita. Para obtener de ellos nuestro archivo comodín, sólo tenemos que ejecutar una herramienta básica de línea de comandos llamada Certbot.

Paso 1: Instala Certbot y Nginx en tu servidor

En primer lugar, inicia sesión en tu servidor como usuario root. Si lo estás haciendo en DigitalOcean, abre la Consola de Lanzamiento desde tu panel de control.

Debes asegurarte de que tu servidor tiene las listas de paquetes más recientes antes de instalar nada. Escribe este comando y pulsa Intro:

sudo apt update

Una vez finalizada esa actualización, instala el programa Certbot:

sudo apt install certbot

A continuación, instala Nginx (el servidor web que utilizaremos para dirigir nuestro tráfico):

sudo apt install nginx

Paso 2: Iniciar la solicitud de comodín

Con Certbot instalado, estás listo para solicitar el certificado comodín.

Ejecuta el siguiente comando en tu consola. Para este tutorial, estamos utilizando nuestro propio dominio, pero asegúrate de cambiarlo por tu nombre de dominio registrado real:

sudo certbot certonly --manual --preferred-challenges=dns -d "*.yourdomain.com"

Nota: El * actúa como comodín, indicando a Let’s Encrypt que quieres proteger todos los subdominios posibles bajo esa raíz.

En cuanto pulses Intro, Certbot te pedirá algunos datos antes de generar tus claves de seguridad:

Dirección de correo electrónico: Escribe tu correo electrónico y pulsa Intro.

Condiciones del servicio: Cuando te pregunte si aceptas los términos, escribe Y y pulsa Intro.

Compartir datos: Puede que te pregunte si quieres compartir tu correo electrónico con la EFF. Escribe N (o Y) y pulsa Intro.

Paso 3: Supera el Desafío DNS

Una vez registrada tu cuenta, Certbot genera el «Desafío DNS». Como estás solicitando un comodín, tienes que demostrar que realmente controlas todo el dominio añadiendo un registro específico a tu configuración DNS.

El terminal se detendrá y mostrará un mensaje parecido a éste:

Certbot te da dos datos cruciales:

• El Nombre: _acme-challenge.whichserversize.net
• El valor: Una cadena larga de caracteres aleatorios (por ejemplo, Okh–KqT…).

No pulses todavía Intro en tu terminal. Si pulsas Intro antes de que el registro esté en directo en Internet, la validación fallará y tendrás que empezar de nuevo.

En su lugar, abre una nueva pestaña del navegador e inicia sesión en tu registrador de dominios o proveedor de DNS. En nuestro ejemplo, el dominio se gestiona a través de Cloudflare.

• Desde tu panel de control de Cloudflare, haz clic en tu dominio.

• Haz clic en Registros DNS.

• Haz clic en el botón + Añadir registro.

• Cambia el desplegable Tipo a TXT.
• Pega el Nombre (_acme-reto) y el Valor exactamente como aparecen en tu terminal.

• Haz clic en Guardar.

Paso 4: Generar los archivos de certificado

Los cambios de DNS suelen tardar uno o dos minutos en propagarse por la web. Dale unos 60 segundos, luego vuelve a tu terminal de DigitalOcean y pulsa Intro.

Certbot se pondrá en contacto con Internet, encontrará ese registro TXT y verificará su propiedad. Una vez superada, verás un mensaje de éxito confirmando que tu certificado está activo.

El mensaje de éxito te indica exactamente dónde viven tus nuevos archivos (normalmente en un directorio como /etc/letsencrypt/live/whichserversize.net/). Ahora tu servidor tiene oficialmente las claves criptográficas necesarias para proteger tu dominio principal y cualquier subdominio.

Paso 5: Actualiza la configuración de tu servidor web

Tener los archivos en tu servidor está muy bien, pero tu sitio web aún no puede utilizarlos. Tienes que decirle a tu servidor web exactamente dónde encontrarlos y asegurarte de que está a la escucha del tráfico seguro.

Abre tu archivo de configuración predeterminado de Nginx en el editor de texto del terminal:

sudo nano /etc/nginx/sites-available/default

Utiliza las flechas del teclado para desplazarte hasta el bloque server { y busca la sección # SSL configuration. Aquí tienes que hacer dos cosas:

1. Añade tus certificados: Pega estas dos líneas justo debajo de la cabecera de configuración SSL:
ssl_certificate /etc/letsencrypt/live/whichserversize.net/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/whichserversize.net/privkey.pem;

2. Abre el puerto 443: Justo debajo de donde has pegado eso, verás dos líneas que indican a Nginx que escuche el tráfico SSL. Están «comentadas» con un símbolo #. Borra el # para que queden así:
listen 443 ssl default_server;
listen [::]:443 ssl default_server;

Pulsa Ctrl+O y pulsa Intro para guardar, luego pulsa Ctrl+X para salir del editor.

Por último, prueba tu configuración, abre el cortafuegos y reinicia el servidor:

sudo nginx -t

Si la prueba se realiza correctamente, reinicia Nginx (sudo systemctl restart nginx). Tu certificado comodín está ahora totalmente instalado y protegiendo tu red.

Paso 6: Verifica tu SSL comodín en el navegador

Para comprobar si tu certificado comodín funciona, tenemos que salir del terminal y dirigirnos a nuestro navegador.

Como hemos instalado un comodín(*.cualservidor.net), ahora podemos inventarnos cualquier subdominio que queramos, apuntarlo a la dirección IP de nuestro servidor y será seguro al instante.

Para probarlo, vamos a

• Ve a la configuración DNS en Cloudflare.
• Añade un registro A.
• Establece el Nombre como prueba (o cualquier subdominio que desees).
• Apunta a la dirección IP de tu servidor. Nosotros lo apuntaremos a la IPV4 de nuestro droplet de DigitalOcean. (Nota: Si utilizas Cloudflare, cambia el estado del Proxy a«Sólo DNS» / Nube Gris para que puedas ver directamente el certificado Let’s Encrypt).

• Ahora iremos a https://test.whichserversize.net. Y como podemos ver ese icono de candado seguro junto a nuestra URL, enhorabuena, esto significa que nuestra configuración manual de SSL comodín se ha completado al 100%.

Automatizar la instalación de SSL Wildcard con Cloudways

Aunque el método manual cumple su cometido, tiene un gran inconveniente oculto: los certificados comodín manuales no se renuevan automáticamente.

Cada 90 días, debes iniciar sesión en tu servidor, ejecutar Certbot, actualizar tus DNS de Cloudflare y reiniciar Nginx. Si te saltas esa ventana, todos los subdominios que poseas mostrarán instantáneamente una advertencia de«No seguro» a tus visitantes.

Gestionar la infraestructura de servidores cada tres meses es un enorme quebradero de cabeza.

En Cloudways, sustituimos ese complejo proceso terminal por un sencillo panel de control. Nos encargamos de la validación de Let’s Encrypt, configuramos tu servidor y automatizamos esas renovaciones de 90 días completamente en segundo plano.

A continuación te explicamos cómo implementar un SSL comodín en tu servidor Cloudways con sólo unos clics.

Paso 1: Ve a Gestión de SSL

Accede a tu cuenta de Cloudways y abre la aplicación donde está alojado tu sitio web.

En la barra lateral izquierda, haz clic en Certificado SSL.

Paso 2: Solicitar el Certificado Wildcard

Nos integramos directamente con Let’s Encrypt para proporcionar certificados gratuitos directamente desde el panel de control.

• Asegúrate de que Let’s Encrypt está seleccionado en el menú desplegable.
• Introduce tu dirección de correo electrónico.
• Introduce tu nombre de dominio con el prefijo comodín (por ejemplo, *.whichserversize.net).
• Marca la casilla que dice Aplicar comodín.

Detente ahí y no pulses ningún botón todavía. Justo debajo de la casilla de verificación, la pantalla muestra el registro CNAME exacto que necesitas para configurar tus DNS. Te da el Nombre (_acme-challenge) y la URL de Destino específica (la URL de tu aplicación Cloudways). Deja abierta esta pestaña del navegador.

Paso 3: Añadir el registro CNAME a Cloudflare

Ahora, cambia a tu proveedor de dominio para añadir ese registro CNAME a tu configuración DNS. Nosotros utilizamos Cloudflare.

• Abre tu panel de control de Cloudflare y ve a tus Registros DNS.
• Añade un nuevo registro CNAME.
• Establece el Nombre como _acme-desafío.
• Pega la URL de destino proporcionada en tu pantalla de Cloudways en el campo Valor/Objetivo.
• Crucial: Si utilizas Cloudflare, asegúrate de que el estado del Proxy está configurado como «Sólo DNS» (Nube Gris) para este registro específico.
• Haz clic en Guardar.

¿Por qué un CNAME?

Al apuntar este registro a Cloudways de forma permanente, das permiso a nuestros servidores para responder al desafío DNS de Let’s Encrypt. Esto nos permite renovar automáticamente tu certificado comodín en segundo plano.

Paso 4: Verificar el DNS y finalizar la instalación

Vuelve a tu panel de control de Cloudways. Deja que los DNS se propaguen durante unos 60 segundos y, a continuación, haz clic en el botón Verificar DNS.

Una vez verificado el DNS, verás que aparece una notificación de éxito en la esquina superior derecha. También te darás cuenta de que el botón Instalar certificado ahora es azul y está activo.

Haz clic en Instalar certificado.

Entre bastidores, nos comunicamos instantáneamente con Let’s Encrypt, descargamos tus claves criptográficas y configuramos tu servidor automáticamente.

Una vez finalizada la instalación, el panel de control se actualizará para mostrar tu certificado activo y su próxima fecha de caducidad. Lo más importante es que verás que la renovación automática está activada por defecto.

Mientras dejes ese registro CNAME en tu configuración DNS, tu dominio principal y todos los subdominios actuales o futuros seguirán siendo completamente seguros, y nunca más tendrás que renovar manualmente el certificado.

Descarga de Wildcard SSL en el perímetro con Cloudflare Enterprise

El método Let’s Encrypt anterior automatiza los SSL comodín directamente en tu servidor de origen. A medida que tus subdominios generan más tráfico, gestionar cada conexión segura localmente consume recursos de tu servidor.

Si gestionas subdominios críticos para tu negocio, puedes descargar por completo este trabajo utilizando el complemento Cloudways Cloudflare Enterprise.

En lugar de procesar los apretones de manos SSL localmente, el complemento despliega un SSL comodín de nivel empresarial en el borde de la red. Esto asegura tus subdominios más cerca de tus usuarios, haciendo que las conexiones sean más rápidas y reduciendo la carga de procesamiento en tu servidor de origen.

Además de SSL comodín, el complemento aplica instantáneamente un cortafuegos de aplicaciones web (WAF) empresarial, optimización global de imágenes y limitación de velocidad para proteger tu ancho de banda de los scrapers maliciosos.

También utiliza Argo Smart Routing para encaminar tu tráfico por las rutas más rápidas disponibles, al tiempo que proporciona una mitigación avanzada contra varios tipos de ataques DDoS para mantener toda tu red en línea.

Acudir directamente a Cloudflare para estas funciones empresariales requiere un contrato anual personalizado que suele costar miles de dólares al mes.

Gracias a nuestra integración, tendrás acceso a esta infraestructura por una fracción del precio estándar de Cloudflare Enterprise, a partir de sólo 4,99 $ por dominio al mes directamente desde tu panel de control de Cloudways.

Nota: Tenemos una guía detallada que te guía a través de los pasos completos para habilitar el addon Cloudflare Enterprise en Cloudways.

Descarga el procesamiento SSL al borde de la red

Deja de malgastar recursos del servidor en apretones de manos SSL locales. Enruta tus subdominios a través del complemento Cloudways Cloudflare Enterprise para obtener cifrado de borde, WAF avanzado y mitigación de DDoS.

Saber más

¡Terminando!

Proteger un sitio web en crecimiento no tiene por qué significar gestionar una enorme hoja de cálculo de certificados SSL. Utilizando un certificado comodín, puedes proteger tu dominio raíz y un número ilimitado de subdominios con una sola clave criptográfica.

Aunque puedes instalar certificados Let’s Encrypt manualmente en un VPS, el ciclo de renovación de 90 días se convierte rápidamente en una carga administrativa repetitiva. Olvidar actualizar un registro DNS TXT significa advertencias instantáneas de «No seguro» en toda tu red.

Alojando tu aplicación en Cloudways, eliminas ese riesgo por completo. Nuestra plataforma se encarga de la verificación DNS, configura el servidor y automatiza tus renovaciones comodín en segundo plano. Obtendrás seguridad de nivel empresarial para toda tu red sin tener que tocar nunca una línea de comandos.