Cómo Gestionar AutoSSL para una Seguridad Óptima del Sitio Web

AutoSSL es una función de cPanel que aprovisiona y renueva automáticamente certificados SSL/TLS para todos los dominios de una cuenta de alojamiento, utilizando una Autoridad de Certificación de confianza como Let's Encrypt o Sectigo, sin necesidad de intervención manual. Cuando un certificado se acerca a su vencimiento, AutoSSL lo reemite silenciosamente, manteniendo HTTPS ininterrumpido en cada dominio y subdominio que gestiona.

Para cualquier administrador de servidor que ejecute sitios en un VPS con cPanel, AutoSSL elimina la causa más común de fallos inesperados de HTTPS: las renovaciones manuales olvidadas. Esta guía cubre el ciclo de vida operativo completo — habilitación, configuración, resolución de problemas y refuerzo de AutoSSL — con la profundidad técnica necesaria para gestionarlo de forma fiable en producción.

Qué hace AutoSSL realmente bajo el capó

AutoSSL no es simplemente un cron job que llama a Certbot. Es un subsistema nativo de cPanel con su propia arquitectura de plugins de proveedor. Cuando se activa, realiza la siguiente secuencia:

1. Descubrimiento de dominios — escanea todos los dominios, subdominios y nombres de host de correo asociados a la cuenta de cPanel.
2. Análisis de brechas de certificados — compara los certificados existentes con la lista completa de dominios e identifica cualquier nombre de host no cubierto por un certificado válido y de confianza.
3. DCV (Validación de Control de Dominio) — demuestra la propiedad del dominio utilizando uno de dos métodos: validación de archivo basada en HTTP (colocando un token en /.well-known/pki-validation/) o validación basada en DNS mediante un registro TXT.
4. Emisión de certificados — solicita un nuevo certificado a la CA configurada (Let's Encrypt por defecto en la mayoría de los hosts, Sectigo en servidores con licencia WHM con un acuerdo de Sectigo).
5. Instalación — instala el certificado en la configuración del host virtual de Apache o LiteSpeed y actualiza el almacén de certificados de cPanel.
6. Programación de renovación — AutoSSL se ejecuta en un programa cron a nivel de servidor (normalmente cada 24 horas) y comienza los intentos de renovación cuando un certificado tiene menos de 15 días restantes.

Comprender este proceso es esencial para diagnosticar fallos, ya que un problema en cualquier etapa produce una clase de error diferente.

AutoSSL vs. Certificados manuales vs. Certbot: Una comparación directa

Para la gran mayoría de sitios web que se ejecutan en un entorno compartido o VPS, AutoSSL cubre todos los requisitos. Certbot es preferible cuando se necesitan certificados comodín o se opera fuera de un entorno cPanel. Los certificados de pago siguen siendo necesarios únicamente para requisitos de validación OV/EV, como instituciones financieras o mandatos de cumplimiento empresarial.

Requisitos previos antes de habilitar AutoSSL

Antes de ejecutar AutoSSL, verifique que se cumplen las siguientes condiciones. Omitir esta lista de verificación es la principal razón por la que las configuraciones iniciales fallan.

Resolución DNS

• Cada dominio y subdominio que desee cubrir debe resolverse a la dirección IP del servidor. El HTTP DCV de AutoSSL fallará si un dominio apunta a otro lugar.
• Compruebe con: dig +short yourdomain.com A

Accesibilidad del servidor web

• El puerto 80 debe estar abierto y sirviendo contenido. El desafío HTTP de Let's Encrypt requiere una respuesta HTTP no autenticada en el puerto 80, incluso si posteriormente redirige todo a HTTPS.
• Verifique: curl -I http://yourdomain.com/.well-known/pki-validation/

Sin certificados de terceros en conflicto

• Si un dominio ya tiene un certificado instalado manualmente que no ha expirado, AutoSSL no lo sobreescribirá a menos que lo excluya o elimine explícitamente.

Proveedor AutoSSL de WHM configurado (administradores de servidor)

• En WHM, navegue a SSL/TLS > Gestionar AutoSSL y confirme que hay un proveedor seleccionado y activo. En el Alojamiento VPS de AlexHost con cPanel, Let's Encrypt suele estar preconfigurado.

Cómo habilitar AutoSSL en cPanel: paso a paso

Paso 1: Acceder a la interfaz de estado SSL/TLS

Inicie sesión en su cuenta de cPanel. En la sección Seguridad, haga clic en Estado SSL/TLS. Este panel muestra cada dominio y subdominio de la cuenta, codificados por colores según el estado del certificado:

• Candado verde — certificado válido instalado
• Advertencia amarilla — certificado presente pero próximo a expirar o que utiliza una CA autofirmada/no confiable
• X roja — sin certificado válido

Paso 2: Seleccionar dominios para la cobertura de AutoSSL

Revise la lista de dominios. Por defecto, todos los dominios son elegibles. Si desea excluir subdominios específicos (entornos de prueba, herramientas internas o dominios servidos intencionalmente por HTTP), marque sus casillas de verificación y haga clic en Excluir de AutoSSL. Los dominios excluidos no serán modificados por el proceso de AutoSSL.

Paso 3: Ejecutar AutoSSL

Haga clic en el botón Ejecutar AutoSSL. cPanel iniciará inmediatamente el proceso de DCV y emisión. Para cuentas con muchos dominios, esto puede tardar varios minutos. La interfaz se actualiza en tiempo real, mostrando el estado por dominio.

También puede activar AutoSSL mediante programación a través de la API de cPanel:

/usr/local/cpanel/bin/autossl_check --user=cpanelusername

O desde WHM para todas las cuentas del servidor:

/usr/local/cpanel/bin/autossl_check_all_users

Paso 4: Verificar la instalación del certificado

Una vez que AutoSSL haya finalizado, vuelva a Estado SSL/TLS y confirme que todos los dominios objetivo muestran un candado verde. También puede verificarlo desde la línea de comandos:

echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates -issuer

Esto muestra la ventana de validez del certificado y la CA emisora, confirmando que el certificado correcto está activo.

Configuración de notificaciones de AutoSSL

Los fallos de AutoSSL son silenciosos por defecto a menos que configure alertas. En WHM, navegue a SSL/TLS > Gestionar AutoSSL > Configuración de notificaciones y habilite alertas por correo electrónico para:

• Fallos en la emisión de certificados
• Fallos de DCV
• Certificados que expiran dentro de un umbral configurable (recomendado: 20 días)

A nivel de cuenta de cPanel, asegúrese de que la dirección de correo electrónico de contacto en Preferencias > Información de contacto esté actualizada. Los eventos de AutoSSL se registran en /var/cpanel/logs/autossl/ en el servidor, con un archivo de registro por ejecución, con marca de tiempo para facilitar la correlación.

Resolución de problemas de AutoSSL: causas raíz y soluciones

Fallos de validación de dominio (DCV)

Los fallos de DCV son el error más común de AutoSSL. La entrada del registro suele indicar: DCV failed for domain "sub.example.com".

Causas raíz y resoluciones:

• DNS no propagado — Si recientemente apuntó un dominio a este servidor, la propagación DNS puede estar incompleta. Espere hasta 48 horas o verifique con dig @8.8.8.8 yourdomain.com A.
• Dominio detrás de un proxy (Cloudflare, etc.) — Si el proxy de Cloudflare (nube naranja) está activo, el HTTP DCV de AutoSSL puede fallar porque el archivo de desafío se sirve desde el borde de Cloudflare, no desde el origen. Desactive temporalmente el proxy (nube gris) durante la emisión, o cambie al DCV basado en DNS si su proveedor lo admite.
• .htaccess bloqueando /.well-known/ — Algunas configuraciones de .htaccess de WordPress o con seguridad reforzada bloquean el acceso a directorios ocultos. Añada la siguiente excepción:

RewriteRule ^.well-known/ - [L]

• Puerto 80 bloqueado por firewall — Confirme que el puerto 80 está abierto en su firewall (iptables -L -n | grep 80 o mediante el gestor de firewall CSF/WHM).

Advertencias de contenido mixto tras la activación de HTTPS

Después de que AutoSSL aprovisione un certificado, los navegadores pueden seguir mostrando una advertencia de “No seguro” o un candado con un triángulo de advertencia. Esto se debe al contenido mixto — recursos (imágenes, scripts, hojas de estilo, iframes) cargados mediante http:// en una página que de otro modo sería HTTPS.

Solución para WordPress:

Instale el plugin Really Simple SSL, que reescribe las URL internas y establece la variable de servidor HTTPS. Alternativamente, añada esto a wp-config.php:

define('FORCE_SSL_ADMIN', true);
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}

Solución a nivel de servidor (Apache/LiteSpeed):

Añada una redirección global de HTTP a HTTPS en su host virtual o .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Después de aplicar la redirección, utilice una herramienta como Why No Padlock o las DevTools del navegador (pestaña Red, filtrar por esquema) para identificar los recursos HTTP restantes.

Fallos en la renovación de certificados

Si AutoSSL no puede renovar un certificado que anteriormente era válido, compruebe el registro de AutoSSL para ver el fallo específico:

ls -lt /var/cpanel/logs/autossl/ | head -5
cat /var/cpanel/logs/autossl/LATEST_LOG_FILE

Causas comunes de fallos en la renovación:

• DNS modificado — El dominio ahora apunta a un servidor diferente. AutoSSL en el servidor anterior ya no puede completar el HTTP DCV.
• Límites de velocidad de Let's Encrypt — Let's Encrypt aplica un límite de 5 certificados duplicados por semana por dominio. Si ha estado activando AutoSSL manualmente de forma repetida durante las pruebas, puede alcanzar este límite. Compruebe en crt.sh las emisiones recientes.
• Licencia WHM expirada — En servidores que utilizan Sectigo como proveedor de AutoSSL, una licencia WHM expirada bloqueará las nuevas emisiones. Verifique el estado de la licencia en WHM en Configuración del servidor > Gestor de licencias.
• Incompatibilidad de versión de cPanel — Asegúrese de que cPanel esté actualizado. Ejecute upcp desde el shell del servidor para aplicar actualizaciones.

Persistencia de certificados autofirmados o no confiables

Si un dominio muestra un certificado autofirmado a pesar de que AutoSSL se ejecutó correctamente, puede que un certificado instalado manualmente esté tomando precedencia. En cPanel, navegue a SSL/TLS > Gestionar sitios SSL y elimine cualquier certificado instalado manualmente para el dominio afectado, luego vuelva a ejecutar AutoSSL.

Configuración avanzada: AutoSSL con dominios comodín

AutoSSL no emite certificados comodín de forma nativa (*.example.com). Si su aplicación requiere un comodín — por ejemplo, subdominios generados dinámicamente para una plataforma SaaS — tiene dos opciones:

Opción 1: Usar Certbot con desafío DNS

certbot certonly --dns-cloudflare 
  --dns-cloudflare-credentials ~/.secrets/cloudflare.ini 
  -d "*.example.com" -d "example.com"

Luego instale el certificado resultante manualmente mediante la interfaz Gestionar sitios SSL de cPanel o a través de la API de cPanel.

Opción 2: Adquirir un certificado DV comodín

Los certificados DV comodín de proveedores como Sectigo o DigiCert están disponibles a un coste razonable y pueden instalarse mediante la gestión de Certificados SSL. Esta es la opción más sencilla para usuarios no técnicos que necesitan cobertura comodín sin gestionar Certbot.

AutoSSL y consideraciones sobre el alojamiento de correo electrónico

AutoSSL también protege los nombres de host relacionados con el correo: mail.yourdomain.com, smtp.yourdomain.com, imap.yourdomain.com y webmail.yourdomain.com. Estos se incluyen automáticamente en la lista SAN (Nombre Alternativo del Sujeto) del certificado emitido.

Si está ejecutando Alojamiento de correo electrónico en el mismo servidor, verifique que el nombre de host del servidor de su cliente de correo coincida con uno de los SAN del certificado. Una discrepancia entre el nombre de host configurado en Outlook o Thunderbird y la lista SAN del certificado producirá errores SSL en los clientes de correo, incluso si el sitio web en sí muestra un candado válido.

Compruebe la lista SAN completa de un certificado instalado:

echo | openssl s_client -connect mail.yourdomain.com:993 2>/dev/null | openssl x509 -noout -text | grep -A1 "Subject Alternative Name"

Refuerzo de seguridad más allá de AutoSSL

AutoSSL gestiona el aprovisionamiento de certificados, pero la mera presencia de un certificado no constituye una configuración TLS reforzada. Después de habilitar AutoSSL, aplique los siguientes pasos de refuerzo.

Aplicar solo TLS 1.2 y 1.3

En WHM, en Configuración del servicio > Configuración de Apache > Configuración global, deshabilite TLS 1.0 y 1.1. Para LiteSpeed, navegue a Consola WebAdmin > Listeners > SSL > Versión del protocolo.

Habilitar HSTS (HTTP Strict Transport Security)

Añada el siguiente encabezado a su host virtual o .htaccess después de confirmar que HTTPS es estable:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

No habilite preload hasta que esté seguro de que todos los subdominios están cubiertos por certificados válidos y tiene intención de mantener HTTPS de forma permanente. La precarga de HSTS es irreversible a corto plazo.

Deshabilitar conjuntos de cifrado débiles

En la configuración de Apache de WHM, establezca la directiva SSLCipherSuite con una lista de cifrado moderna. Una línea base segura:

ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384

Probar su configuración

Ejecute su dominio a través de SSL Labs Server Test después de aplicar los cambios. Apunte a una calificación A o A+. AutoSSL por sí solo suele obtener una calificación B en las configuraciones predeterminadas de cPanel; el refuerzo de cifrado y protocolo anterior la eleva a A+.

Mejores prácticas para la gestión de AutoSSL en producción

Mantenga cPanel y WHM actualizados. La integración de AutoSSL con Let's Encrypt depende del cliente ACME incluido con cPanel. Las versiones desactualizadas pueden fallar ante los cambios en la API de Let's Encrypt. Ejecute actualizaciones mediante WHM o prográmelas con:

/scripts/upcp --force

Mantenga registros DNS precisos. Cualquier cambio de DNS — migración de servidores de nombres, cambio de IP, activación de CDN — puede interrumpir el DCV. Antes de migrar un dominio a un nuevo servidor o CDN, planifique la reemisión de AutoSSL como parte de la lista de verificación de migración.

No dependa únicamente de los registros de AutoSSL. Configure monitorización externa de certificados utilizando herramientas como certspotter, la monitorización SSL de Uptime Robot, o un cron personalizado que le alerte si el vencimiento de un certificado cae por debajo de 20 días:

#!/bin/bash
DOMAIN="yourdomain.com"
EXPIRY=$(echo | openssl s_client -connect ${DOMAIN}:443 -servername ${DOMAIN} 2>/dev/null 
  | openssl x509 -noout -enddate | cut -d= -f2)
EXPIRY_EPOCH=$(date -d "${EXPIRY}" +%s)
NOW_EPOCH=$(date +%s)
DAYS_LEFT=$(( (EXPIRY_EPOCH - NOW_EPOCH) / 86400 ))
if [ "$DAYS_LEFT" -lt 20 ]; then
  echo "WARNING: ${DOMAIN} certificate expires in ${DAYS_LEFT} days" | mail -s "SSL Alert" admin@yourdomain.com
fi

Utilice certificados separados para dominios de alto valor. Para dominios que gestionan pagos o datos sensibles de usuarios, considere complementar el certificado DV de AutoSSL con un certificado OV o EV de pago instalado manualmente. AutoSSL y los certificados gestionados manualmente pueden coexistir en el mismo servidor — AutoSSL simplemente omite los dominios que ya tienen un certificado válido y de confianza instalado.

Audite periódicamente los dominios excluidos. Los dominios excluidos de AutoSSL son fáciles de olvidar. Programe una revisión trimestral de la lista de exclusiones en Estado SSL/TLS para asegurarse de que los dominios de prueba o desarrollo no hayan pasado accidentalmente a producción sin cobertura de certificado.

Matriz de decisión: cuándo AutoSSL es y no es suficiente

Conclusiones técnicas clave

• AutoSSL se ejecuta en un programa cron a nivel de servidor y comprueba todas las cuentas diariamente; los activadores manuales están disponibles mediante WHM o la API de cPanel para la emisión inmediata.
• El HTTP DCV requiere que el puerto 80 esté abierto y que la ruta /.well-known/pki-validation/ sea accesible públicamente — este es el error de configuración más común.
• El modo de proxy de nube naranja de Cloudflare bloquea el HTTP DCV; cambie a nube gris durante la emisión inicial o utilice DCV basado en DNS.
• AutoSSL no emite certificados comodín; utilice Certbot con un plugin DNS o un certificado comodín adquirido para ese requisito.
• HSTS solo debe habilitarse después de confirmar que AutoSSL es estable en todos los subdominios; una implementación prematura de HSTS con un certificado incompleto puede impedir el acceso de los usuarios a los subdominios.
• La monitorización externa de certificados es imprescindible en producción — las alertas internas de AutoSSL son un complemento, no un sustituto, de la monitorización independiente de vencimientos.
• Para servidores que requieren un control más granular sobre la configuración TLS, aprovisionar un Servidor Dedicado proporciona acceso completo a la pila SSL del servidor web sin las restricciones de un entorno compartido.
• Los Paneles de control VPS distintos de cPanel (Plesk, DirectAdmin, CyberPanel) tienen sus propios equivalentes de AutoSSL con diferentes rutas de configuración pero la misma mecánica subyacente del protocolo ACME.

Preguntas frecuentes

¿Funciona AutoSSL si mi dominio está detrás de Cloudflare?

Solo si Cloudflare está en modo solo DNS (nube gris). Cuando el proxy de nube naranja está activo, Cloudflare intercepta las solicitudes HTTP, impidiendo que Let's Encrypt acceda al archivo de token DCV en su servidor de origen. Desactive temporalmente el proxy durante la emisión o configure el modo SSL de Cloudflare en “Full (Strict)” y utilice en su lugar un Certificado de origen de Cloudflare.

¿Con qué frecuencia intenta AutoSSL renovar los certificados?

El cron de AutoSSL se ejecuta cada 24 horas a nivel de servidor. Comienza los intentos de renovación cuando un certificado tiene 15 o menos días restantes. Los certificados de Let's Encrypt tienen un período de validez de 90 días, por lo que la renovación suele producirse alrededor del día 75.

¿Puede AutoSSL coexistir con un certificado SSL de pago instalado manualmente?

Sí. AutoSSL omite cualquier dominio que ya tenga un certificado válido y de confianza instalado. Si instala un certificado de pago manualmente mediante el gestor SSL de cPanel, AutoSSL no lo sobreescribirá. Una vez que el certificado de pago expire, AutoSSL intervendrá y emitirá un certificado de Let's Encrypt en su próxima ejecución programada, siempre que el dominio supere el DCV.

¿Por qué mi cliente de correo muestra un error SSL aunque el sitio web tenga un certificado AutoSSL válido?

El cliente de correo se está conectando a un nombre de host (p. ej., mail.yourdomain.com) que puede no estar incluido en la lista SAN del certificado, o hay un certificado diferente instalado en los puertos de correo (993, 587, 465). Ejecute el comando openssl s_client contra el puerto de correo y verifique que la lista SAN coincide con el nombre de host que su cliente está configurado para usar.

¿Qué ocurre si AutoSSL no renueva el certificado y este expira?

Los navegadores mostrarán una advertencia a pantalla completa de “Su conexión no es privada”, y la mayoría de los usuarios no continuarán. Los rastreadores de motores de búsqueda también pueden marcar el sitio. Si tiene HSTS habilitado, el navegador se negará a conectarse por completo sin opción de omisión. Monitorice el vencimiento de forma proactiva con herramientas externas y configure alertas por correo electrónico en WHM para detectar fallos de renovación antes de que lleguen al vencimiento.