Esta guía explica cómo interpretar correctamente la información detallada proporcionada por Qualys SSL Labs (https://www.ssllabs.com/ssltest/) que a veces puede parecer técnica o alarmante sin el contexto adecuado.

Prólogo

• Qualys SSL Labs es una herramienta de análisis ampliamente utilizada para evaluar la configuración SSL/TLS de los sitios web.
• Las advertencias en sus informes suelen ser solo detalles técnicos sin impacto en la seguridad o el SEO del sitio.

Certificados múltiples en los informes de SSL Labs

Cuando SSL Labs analiza un sitio, puede mostrar varios certificados numerados (certificado #1, certificado #2, etc.). Esto ocurre por varias razones:

1. Certificado principal (#1): El certificado presentado cuando se utiliza el SNI (Server Name Indication).
   • El SNI es una extensión TLS que permite a un servidor alojar varios certificados SSL para diferentes dominios en la misma dirección IP. Cuando un navegador se conecta, indica el nombre de dominio al que desea unirse.
2. Certificado secundario (#2): El certificado presentado cuando el SNI no se utiliza o durante una conexión directa por IP.

Una indicación "No SNI" en el certificado #2 no es un error. Simplemente significa que SSL Labs ha probado qué sucede cuando un cliente se conecta sin proporcionar información SNI. En este caso:

• El servidor proporciona un certificado de respaldo (a menudo un certificado genérico o de previsualización).
• Esta situación solo afecta a clientes muy obsoletos que no soportan el SNI.
• Los navegadores modernos utilizan todos el SNI y recibirán por lo tanto el certificado #1.

Problemas de cadena de certificados

"Problemas de cadena: Orden incorrecto, Certificados adicionales, Contiene ancla"

Estas advertencias no significan necesariamente que el certificado esté defectuoso:

• Incorrect order: Los certificados intermedios no se presentan en el orden óptimo.
• Extra certs: Se incluyen certificados adicionales no necesarios.
• Contains anchor: El certificado raíz está incluido en la cadena.

El protocolo TLS permite omitir el certificado raíz porque normalmente ya está presente en los almacenes de certificados de los navegadores. Incluirlo no es un error, sino una redundancia.

“Nombre alternativo no coincide”

Para el certificado de respaldo (#2), la advertencia "MISMATCH" es normal porque:

• Este certificado está diseñado para otro dominio (preview.infomaniak.website).
• Solo se presenta cuando SNI no se utiliza.
• El navegador que recibe este certificado lo identificaría como no correspondiente al dominio solicitado, pero esto no afecta las conexiones normales con SNI.

En cuanto a las preocupaciones SEO:

• Google y otros motores de búsqueda utilizan navegadores modernos que soportan SNI.
• Ellos reciben el certificado #1 que es válido para su dominio.
• Las advertencias sobre el certificado #2 no afectan el posicionamiento en los motores de búsqueda.
• Solo los problemas con el certificado principal (#1) podrían afectar el SEO.

Esta configuración es perfecta para un alojamiento compartido donde varios sitios comparten la misma infraestructura, con un certificado de previsualización que actúa como solución de respaldo.