Aquí hay un pequeño milagro cotidiano: tu navegador confía en el certificado de millones de sitios que nunca ha visto, sin preguntarle a nadie, en milisegundos. ¿Cómo? No es fe ciega ni una lista gigante de sitios buenos. Es un sistema elegante llamado cadena de confianza, apoyado en las autoridades de certificación (CA). Entenderlo explica por qué a veces el candado aparece "roto" aunque el certificado sea válido, y qué hace realmente una autoridad.
Qué es una autoridad de certificación
Una autoridad de certificación (CA, Certificate Authority) es una organización cuyo trabajo es emitir certificados tras verificar quién los pide. Cuando solicitas un certificado para tu dominio, la CA comprueba —según el nivel— que de verdad controlas ese dominio (o que tu empresa existe), y entonces firma tu certificado con su propia llave. Esa firma es la clave de todo: es la CA diciendo "yo doy fe de que este certificado es legítimo".
La pregunta natural: ¿y por qué habría de confiar el mundo en esa CA? Porque hay un puñado de CAs cuyos certificados raíz vienen preinstalados en tu navegador y tu sistema operativo. Esa lista —el "almacén de confianza" (trust store)— es la base de todo. Confías en esas CAs raíz porque tu software ya las trae, tras un proceso estricto de auditoría para ser incluidas.
La cadena: raíz, intermedio, tu certificado
En la práctica, la confianza no salta directo del raíz a tu sitio. Hay tres eslabones:
- Certificado raíz (Root CA). El más valioso y protegido. Vive preinstalado en tu navegador. Por su importancia, las CAs lo mantienen guardado casi bajo llave y rara vez lo usan directamente.
- Certificado intermedio. El raíz firma uno o más intermedios, y son estos los que trabajan a diario firmando los certificados de los clientes. Es una capa de protección: si un intermedio se compromete, se revoca sin tocar el raíz.
- Tu certificado (el de tu sitio). Firmado por el intermedio. Es el que instalas en tu servidor.
Cuando tu navegador visita tu sitio, recibe tu certificado y sigue la cadena de firmas hacia arriba: tu certificado fue firmado por este intermedio, que fue firmado por este raíz... y ese raíz está en mi lista de confianza. Cadena verificada, candado verde. Si en cualquier punto la firma no cuadra o falta un eslabón, la cadena se rompe y el navegador desconfía.
El error clásico: el intermedio olvidado
Este es uno de los problemas de certificados más comunes y desconcertantes. Instalas tu certificado, es perfectamente válido, y aun así algunos visitantes ven una advertencia de "no seguro" mientras otros no. La causa suele ser que olvidaste instalar el certificado intermedio junto al tuyo. Sin el intermedio, algunos navegadores no pueden completar la cadena hasta el raíz —les falta el eslabón del medio— y por eso desconfían. Lo confuso es que otros navegadores lo resuelven solos (tienen el intermedio en caché), y de ahí el "a unos les sale bien y a otros no". La solución: instalar la cadena completa (tu certificado + el intermedio).
Los niveles de validación
No todas las CAs verifican lo mismo. Hay tres niveles: DV (validación de dominio), que solo comprueba que controlas el dominio —es el más rápido, automático y a menudo gratuito—; OV (validación de organización), que además verifica que tu empresa existe; y EV (validación extendida), con la verificación más rigurosa de identidad corporativa. Importante: los tres cifran exactamente igual de bien. Lo que cambia es cuánta identidad respaldan, no la fortaleza técnica. Para la mayoría de los sitios, un DV es todo lo que se necesita; los niveles superiores tienen sentido en contextos donde probar la identidad de la organización aporta valor.
Todo esto conecta con la lección de fondo del candadito: el candado te dice que la cadena de confianza está intacta y la conexión cifrada, no que el dueño del sitio sea honesto. La cadena garantiza que hablas con quien controla ese dominio, no que ese alguien tenga buenas intenciones.