Decodificador de certificados

Paste Certificate Text

Acerca de Decodificador de certificados

Un decodificador de certificados SSL convierte el texto codificado de un certificado digital en informacion legible. En vez de ejecutar comandos OpenSSL a mano, pegas el contenido del certificado y obtienes al instante datos como el dominio, la autoridad emisora y las fechas de validez.

Algo que cualquier administrador de sistemas o desarrollador web necesita hacer mas veces de las que quisiera.

El decodificador de certificados de ToolsPivot simplifica este proceso. Solo necesitas copiar el bloque PEM de tu certificado, pegarlo en el campo de texto y pulsar un boton. En segundos tienes un desglose completo de todos los campos del certificado, sin instalar nada ni tocar la linea de comandos.

Para que sirve un decodificador de certificados

Un decodificador de certificados extrae y presenta la informacion contenida en un certificado SSL/TLS de forma estructurada. Cuando recibes un certificado de tu proveedor (Let's Encrypt, DigiCert, GlobalSign, Sectigo), lo que tienes es un archivo con una cadena de caracteres en Base64.

Empieza con -----BEGIN CERTIFICATE----- y termina con -----END CERTIFICATE-----. A simple vista, eso no dice nada.

Lo que hace la herramienta es leer esa cadena codificada y mostrar cada campo por separado: el Common Name (CN), la organizacion, el pais, el numero de serie, el periodo de validez, el tipo de clave publica, los Subject Alternative Names (SANs) y las extensiones X.509.

Todo esto es informacion que necesitas verificar antes de instalar el certificado en tu servidor o despues de instalarlo, para confirmar que todo esta en orden.

Y aqui viene lo que muchos pasan por alto: no basta con instalar un certificado y olvidarse. Si el CN no coincide con tu dominio, si la fecha de caducidad esta proxima o si falta algun SAN, tu sitio mostrara advertencias de seguridad.

Un decodificador te permite detectar estos problemas antes de que los vean tus usuarios.

Quien lo necesita y por que

Los perfiles que mas usan esta herramienta son administradores de sistemas, desarrolladores web, responsables de hosting y equipos de seguridad informatica. Pero tambien freelancers que gestionan servidores de clientes en plataformas como Workana.

Agencias de marketing digital en Madrid o Buenos Aires que necesitan verificar los certificados de los sitios que administran tambien recurren a ella con frecuencia.

En el contexto hispanohablante, donde muchas pymes gestionan su propio hosting con cPanel o Plesk, saber interpretar un certificado no es un lujo. Es una necesidad practica que evita horas de soporte tecnico.

Si tu tienda en WooCommerce o PrestaShop muestra el temido mensaje de "conexion no segura", probablemente el certificado sea el culpable.

Ventajas principales

Decodificacion instantanea. Pega tu certificado PEM y obtiene los resultados en menos de dos segundos, sin esperas ni procesamiento en cola.

Sin instalacion de software. No necesitas tener OpenSSL instalado ni saber ejecutar comandos como openssl x509 -in cert.pem -text -noout. La herramienta hace exactamente lo mismo, pero desde el navegador.

Compatible con multiples formatos. Funciona con certificados codificados en PEM (Base64), que es el formato mas habitual en servidores Apache, Nginx y la mayoria de paneles de control como cPanel.

Verificacion de todos los campos. Muestra el Common Name, la organizacion emisora, el algoritmo de firma (SHA-256, SHA-384), el tamano de clave (RSA 2048, 4096 o EC), los SANs y las extensiones del certificado.

Deteccion de problemas antes de instalar. Puedes comprobar que el certificado corresponde al dominio correcto y que las fechas de validez son las esperadas antes de subirlo al servidor.

Acceso gratuito y sin registro. No hace falta crear cuenta ni facilitar datos personales. En ToolsPivot entras, pegas el certificado y listo.

Privacidad del certificado. La decodificacion se realiza sin almacenar el contenido del certificado, algo especialmente relevante cuando trabajas con certificados de clientes o entornos de produccion.

Funcionalidades clave

Lectura de campos X.509. Extrae version, numero de serie, algoritmo de firma, emisor (Issuer), sujeto (Subject) y periodo de validez del certificado.

Visualizacion de SANs. Muestra todos los Subject Alternative Names incluidos en el certificado. Esto es critico si usas certificados multidominio o wildcard.

Informacion de clave publica. Indica el tipo de clave (RSA o Elliptic Curve), el tamano en bits y el algoritmo asociado. Si tu hosting requiere un minimo de RSA 2048, aqui lo verificas.

Detalles del emisor. Muestra la Autoridad de Certificacion (CA) que firmo el certificado: DigiCert, Let's Encrypt, Sectigo, GlobalSign, Comodo o cualquier otra. Util para confirmar que el certificado viene de donde deberia.

Extensiones del certificado. Presenta los campos extendidos como Key Usage, Extended Key Usage, Basic Constraints, CRL Distribution Points y Authority Information Access.

Huella digital (Fingerprint). Genera el hash SHA-1 y SHA-256 del certificado, que puedes comparar con el que proporciona tu CA para verificar la integridad.

Fecha de caducidad destacada. Resalta el campo Not After para que veas de un vistazo cuando expira tu certificado. Eso si, no te fies solo de la herramienta: monta alertas automaticas para renovaciones.

Validacion de formato. Detecta si el texto pegado tiene el formato PEM correcto, con las etiquetas BEGIN y END en su sitio. Evita errores tipicos de copiar y pegar incompletos.

Como funciona

Paso 1. Abre el decodificador de certificados de ToolsPivot en tu navegador.

Paso 2. Copia el contenido completo de tu certificado SSL, incluyendo las lineas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----.

Paso 3. Pega el texto en el campo de entrada de la herramienta.

Paso 4. Pulsa el boton de decodificar y revisa la informacion extraida: dominio, emisor, validez, algoritmo y campos adicionales.

Paso 5. Compara los datos obtenidos con lo que esperas. Si el CN no coincide con tu dominio o faltan SANs, sabras que hay un problema antes de instalar nada.

Cuando usar el decodificador de certificados

Esta herramienta resulta util en cualquier momento del ciclo de vida de un certificado SSL/TLS. Desde que lo recibes hasta que lo renuevas, hay situaciones concretas donde decodificar el certificado te ahorra problemas.

Antes de instalar un certificado nuevo. Verifica que el dominio, los SANs y la CA son correctos antes de configurar Apache o Nginx.

Despues de una renovacion. Cuando renuevas con Let's Encrypt o cualquier otra CA, conviene comprobar que el nuevo certificado incluye todos los dominios que necesitas. Mas de una vez hemos visto certificados renovados que pierden un SAN por un error en el script de Certbot.

Al migrar de servidor. Si trasladas tu sitio a otro hosting, necesitas verificar que el certificado exportado mantiene toda la informacion original. El verificador de hosting puede complementar esta comprobacion.

Para auditorias de seguridad. Equipos de seguridad que revisan la configuracion SSL de multiples dominios necesitan decodificar certificados a diario.

Cuando recibes un certificado de un tercero. Si un cliente o proveedor te envia un certificado para configurar su sitio, lo primero es decodificarlo y confirmar que los datos son coherentes.

Al diagnosticar errores de navegador. Cuando Chrome, Firefox o Safari muestran advertencias de certificado, decodificar el certificado es el primer paso para identificar el problema. Puedes combinar esta revision con una consulta al estado del servidor para descartar problemas de infraestructura.

Para verificar certificados wildcard. Si usas un certificado *.tudominio.com, decodificalo para confirmar que la extension wildcard esta presente en los SANs.

Casos de uso practicos

Administrador de sistemas en una pyme

Situacion: Un sysadmin gestiona 12 dominios con certificados Let's Encrypt en un VPS con cPanel. Tras la renovacion automatica, uno de los sitios muestra "certificado no valido" en Chrome.

Como lo resuelve:

• Exporta el certificado del dominio afectado desde cPanel.
• Lo pega en el decodificador de certificados online.
• Descubre que el certificado renovado solo cubre el dominio principal, no el subdominio www que faltaba en el SAN.

Resultado: Identifica el problema en menos de 3 minutos, regenera el certificado con los SANs correctos y el sitio vuelve a funcionar sin advertencias.

Desarrollador freelance en Workana

Situacion: Un desarrollador web recibe un proyecto para migrar una tienda WooCommerce de un hosting compartido a un VPS. El cliente le envia el certificado SSL en un archivo .pem.

Como lo resuelve:

• Decodifica el certificado para verificar que corresponde al dominio de la tienda.
• Comprueba que el algoritmo de firma es SHA-256 y la clave RSA es de 2048 bits o superior.
• Verifica la fecha de caducidad para saber si necesita renovacion antes de la migracion.

Resultado: Confirma que el certificado es valido para la migracion y ahorra una semana de posibles ida y vuelta con el cliente sobre problemas de SSL.

Agencia de marketing digital en Ciudad de Mexico

Situacion: La agencia gestiona 35 sitios web de clientes en WordPress y Shopify. Necesitan hacer una auditoria trimestral de certificados SSL para cumplir con los requisitos de seguridad de sus contratos.

Como lo resuelve:

• Para cada sitio, extraen el certificado y lo decodifican.
• Verifican que todos los certificados tienen al menos SHA-256, que ningun certificado esta a menos de 30 dias de caducar y que los SANs incluyen todas las variantes del dominio.
• Documentan los resultados con capturas de la herramienta para el informe al cliente.

Resultado: Completan la auditoria de los 35 sitios en una sola manana. Detectan 3 certificados proximos a caducar y 1 con un SAN incorrecto. Gracias a la revision con el analizador de cabeceras HTTP, tambien identifican que 2 sitios no redirigen correctamente de HTTP a HTTPS.

Estudiante de ingenieria informatica preparando TFG

Situacion: Un estudiante de la Universidad Complutense esta redactando su TFG sobre seguridad en aplicaciones web y necesita explicar la estructura de un certificado X.509 con ejemplos reales.

Como lo resuelve:

• Decodifica varios certificados de sitios publicos para mostrar las diferencias entre certificados DV, OV y EV.
• Captura la informacion decodificada como material de apoyo para su trabajo.
• Compara los campos del certificado con la especificacion teorica del estandar X.509.

Resultado: Obtiene ejemplos practicos reales que enriquecen la parte tecnica de su TFG y demuestran conocimiento aplicado, no solo teorico.

Que informacion revela un certificado decodificado

Al decodificar un certificado SSL, obtienes acceso a un conjunto de campos definidos por el estandar X.509. Cada uno tiene su funcion y relevancia, y conocerlos te ayuda a interpretar correctamente los resultados.

El campo Subject contiene la identidad del titular del certificado. Aqui encuentras el Common Name (CN), que normalmente es el dominio protegido, junto con datos opcionales como la organizacion (O), la unidad organizativa (OU), la ciudad (L), la provincia (ST) y el pais (C).

El campo Issuer identifica a la Autoridad de Certificacion que emitio y firmo el certificado. Si ves "Let's Encrypt Authority X3" o "DigiCert SHA2 Extended Validation Server CA", sabes exactamente quien respalda ese certificado.

El periodo de validez marca dos fechas: Not Before (desde cuando es valido) y Not After (cuando expira). A partir de 2026, la tendencia apunta a reducir la validez maxima de los certificados TLS a periodos cada vez mas cortos, asi que este campo gana importancia.

Las extensiones proporcionan informacion adicional sobre el uso permitido del certificado, los puntos de distribucion de CRL para verificar revocaciones y los metodos de acceso a la informacion de la CA (AIA). Para configuraciones avanzadas, como verificar que una solicitud de firma incluyo los datos correctos, estos campos son indispensables.

Diferencia entre decodificar un certificado y una CSR

Una confusion habitual es mezclar el decodificador de certificados con el decodificador de CSR. Son herramientas distintas que trabajan con archivos diferentes, aunque comparten una logica parecida.

La CSR (Certificate Signing Request) es la solicitud que envias a la CA para obtener tu certificado. Contiene tu clave publica y los datos de identidad que quieres que aparezcan en el certificado final. Un decodificador de CSR verifica que estos datos son correctos antes de enviar la solicitud.

El certificado, en cambio, es lo que recibes de vuelta de la CA: un documento firmado digitalmente que vincula tu clave publica con tu identidad verificada. Decodificarlo te permite confirmar que la CA incluyo toda la informacion que pediste en la CSR.

Tambien revela campos adicionales como el numero de serie, la firma de la CA y las extensiones.

Si quieres verificar que tu clave privada corresponde al certificado recibido, eso es otra operacion distinta que puedes resolver con un verificador de coincidencia de claves.

Formatos de certificado compatibles

El formato mas comun para certificados SSL es PEM (Privacy Enhanced Mail), que usa codificacion Base64. Es el que generan la mayoria de CAs y el que esperan servidores Apache, Nginx y paneles como cPanel, Plesk o DirectAdmin. Lo reconoces porque empieza con -----BEGIN CERTIFICATE-----.

Tambien existe el formato DER, que es binario y se usa mas en entornos Java y algunas aplicaciones de Windows. Y el formato PFX/PKCS#12, que empaqueta el certificado junto con la clave privada y la cadena de confianza en un solo archivo protegido por contrasena.

Si necesitas pasar de un formato a otro, un conversor SSL te resuelve la papeleta.

Eso si, el decodificador online trabaja principalmente con PEM. Si tienes un archivo .der o .pfx, primero tendras que convertirlo.

Errores comunes al decodificar certificados

No copiar el certificado completo es el error mas frecuente. Si te dejas la linea -----BEGIN CERTIFICATE----- o -----END CERTIFICATE-----, la herramienta no podra procesarlo. Parece obvio, pero pasa mas de lo que imaginas, sobre todo cuando copias desde terminales con scroll limitado.

Otro error tipico: pegar la clave privada en lugar del certificado. La clave privada empieza con -----BEGIN PRIVATE KEY----- o -----BEGIN RSA PRIVATE KEY-----. Nunca, bajo ninguna circunstancia, pegues tu clave privada en una herramienta online. La clave privada debe quedarse en tu servidor y punto.

Tambien ocurre que algunos usuarios pegan el certificado intermedio junto con el certificado del servidor en el mismo campo. Si el decodificador solo espera un certificado, mostrara unicamente el primero y podrias pensar que te falta informacion.

Y un detalle que genera confusiones: si tu verificacion de CSR muestra unos datos y el certificado decodificado muestra otros ligeramente distintos, no siempre es un error. La CA puede haber modificado algunos campos (como la organizacion en certificados DV) segun sus politicas de emision.

Buenas practicas de seguridad con certificados

Decodificar tu certificado es solo parte de mantener una configuracion SSL saludable. Tambien conviene revisar periodicamente la cadena de confianza completa y asegurarte de que tu servidor no soporta protocolos obsoletos como SSLv3 o TLS 1.0.

Configurar correctamente los registros DNS es otro paso que no debes saltarte. Una consulta rapida al buscador de DNS te confirma que los registros apuntan donde deben.

Igualmente, revisa que tu dominio esta correctamente registrado y operativo. El verificador WHOIS te da informacion sobre el propietario y la fecha de expiracion del dominio, algo relevante cuando trabajas con certificados OV o EV que requieren validacion de organizacion.

Si administras multiples sitios, monta un calendario de renovaciones. Los certificados de Let's Encrypt duran 90 dias; los comerciales suelen durar un ano. Con la reduccion de plazos que se avecina, tener un sistema de alertas no es opcional.

Mas alla de decodificar: un flujo de trabajo completo

La decodificacion de certificados es solo un paso dentro de un proceso mas amplio de gestion SSL. Antes de llegar aqui, probablemente generaste una CSR con el generador de CSR y verificaste su contenido con el decodificador de CSR.

Despues de decodificar el certificado, el siguiente paso logico es confirmar que la clave privada coincide usando el verificador de claves. Y una vez instalado, conviene pasar el verificador SSL para asegurarte de que todo esta configurado correctamente.

Si en algun momento necesitas cambiar entre formatos PEM, DER o PFX, el conversor SSL de ToolsPivot te ahorra tener que memorizar los comandos de OpenSSL.

Preguntas frecuentes

Que es un decodificador de certificados SSL?

Es una herramienta online que lee el texto codificado en Base64 de un certificado digital y extrae su informacion en formato legible. Muestra datos como el dominio, el emisor, las fechas de validez, el algoritmo de firma y los SANs.

Es seguro pegar mi certificado en una herramienta online?

El certificado SSL es un documento publico; no contiene informacion secreta. Lo que nunca debes pegar online es tu clave privada. El certificado en si puede compartirse sin riesgo.

Que formatos de certificado puedo decodificar?

La herramienta trabaja con certificados en formato PEM (Base64), que es el mas extendido. Si tienes un certificado en formato DER o PFX, conviertelo primero a PEM usando un conversor SSL.

Cual es la diferencia entre decodificar un certificado y una CSR?

La CSR es la solicitud que envias a la CA para pedir un certificado. El certificado es lo que recibes de vuelta, firmado por la CA. Decodificar uno u otro te muestra informacion distinta, aunque ambos comparten campos como el CN y la clave publica.

Que hago si el Common Name no coincide con mi dominio?

Eso significa que el certificado fue emitido para otro dominio. Tendras que solicitar uno nuevo con el CN correcto. Revisa tambien los SANs, porque en certificados modernos el navegador usa los SANs, no el CN, para verificar el dominio.

Como se si mi certificado esta a punto de caducar?

Al decodificarlo, busca el campo "Not After" o "Valido hasta". Si la fecha esta dentro de los proximos 30 dias, es hora de renovar. No esperes al ultimo momento; un certificado caducado bloquea el acceso a tu sitio.

Puedo decodificar un certificado wildcard?

Si. Al decodificarlo veras que el SAN o el CN muestra algo como *.tudominio.com. Eso confirma que cubre todos los subdominios de un nivel.

Que significa el campo Key Usage en un certificado?

Define los usos permitidos para la clave publica del certificado. Por ejemplo, "Digital Signature" indica que se puede usar para firmar, y "Key Encipherment" que se puede usar para cifrar claves de sesion. No todos los certificados tienen los mismos usos habilitados.

Que es el campo Subject Alternative Name (SAN)?

El SAN es una extension que lista todos los dominios y subdominios protegidos por el certificado. En la practica, es el campo que realmente usan los navegadores para verificar si el certificado corresponde al sitio que estas visitando.

Sirve esta herramienta para certificados autofirmados?

Si, puedes decodificar cualquier certificado en formato PEM, incluidos los autofirmados. La diferencia es que en el campo Issuer veras el mismo nombre que en el Subject, porque no hay una CA externa que lo haya firmado.

Necesito conocimientos tecnicos para usar el decodificador?

No para usar la herramienta en si. Pegas el certificado y obtienes los datos. Ahora bien, interpretar campos como las extensiones X.509 o los algoritmos de firma si requiere cierto conocimiento tecnico. Para lo basico (dominio, fechas, emisor), cualquier persona puede entenderlo.

Con que frecuencia deberia decodificar mis certificados?

Al menos cada vez que instales o renueves un certificado. Tambien despues de migraciones de servidor, cambios de hosting o si detectas cualquier advertencia de seguridad en el navegador. Si gestionas muchos sitios, una revision trimestral es razonable.