GlobalSign Blog

¿Qué es un error de falta de coincidencia de nombre común SSL y cómo puedo solucionarlo?

¿Qué es un error de falta de coincidencia de nombre común SSL y cómo puedo solucionarlo?

Nota del editor: Este blog fue publicado originalmente en abril de 2017 y ha sido actualizado recientemente.

Alguna vez ha llegado a un sitio web y ha recibido un error como este?

Chrome: ‘This server could not prove that it is example.com; its security certificate is from example.com. This may cause a misconfiguration or an attacker intercepting your connection’

Chrome: 'Este servidor no ha podido demostrar que es ejemplo.com; su certificado de seguridad es de ejemplo.com. Esto puede provocar una configuración errónea o que un atacante intercepte su conexión'

 Internet Explorer: ‘The security certificate presented by this website was issues for a different website’s address. Security certificate problems may indicate an attempt to fool you or intercept any data you send to the server.’

Internet Explorer: 'El certificado de seguridad presentado por este sitio web fue emitido para la dirección de otro sitio web. Los problemas de certificados de seguridad pueden indicar un intento de engañarle o de interceptar los datos que envía al servidor".

Hay varias formas diferentes de presentar esto, dependiendo del navegador y de la versión del navegador que esté utilizando. Sin embargo, tanto si es un visitante del sitio web como el propietario del mismo, un error como éste no es algo que quiera ver.

Así que empecemos por explicar lo que significa este error.

Un error de falta de coincidencia de nombre común se produce cuando el nombre común o SAN de su certificado SSL/TLS no coincide con el dominio o la barra de direcciones del navegador. Esto puede ocurrir simplemente visitando https://example.com en lugar de https://www.example.com si el certificado no tiene ambos listados en el SAN del certificado.

Lo primero es lo primero, si usted no es el propietario del sitio web, necesita ponerse en contacto con alguien que pueda solucionar el problema. De todos modos, NO siga adelante y continúe. Es muy posible que el error se muestre porque un hacker o phisher está tratando de hacer pasar un sitio web impostor como el sitio web que está tratando de visitar.

Si es el propietario del sitio web o del dominio y quiere resolver este error, aquí tienes algunos consejos que debe seguir:

Cómo resolver un error de falta de coincidencia de nombre común

Este problema puede deberse a varios motivos, por lo que se debe comenzar con un análisis exhaustivo. Comience por introducir el dominio de su sitio web en el comprobador SSL de GlobalSign.

entering the domain of your website into GlobalSign’s SSL checker.

Figura 1 Resultados del uso de SSL Checker en un sitio web con error de desajuste

Lo primero que hay que buscar al hacer esta comprobación es averiguar qué certificado está actualmente configurado para un dominio o dirección IP en el servidor. Esto normalmente le ayudará a identificar por qué está recibiendo el error, ya que puede haber bastantes razones.

Lo principal es recordar que no hay nada malo con el certificado SSL/TLS o con su sitio web en sí. En algún momento entre que alguien visita un dominio y alguien llega a su sitio web, se está presentando el certificado equivocado.

Es posible que tenga que ponerse en contacto con su departamento de TI para averiguar dónde se instaló el certificado y dónde se está configurando.

La dirección del sitio web no se incluyó en su nombre común por error

Puede ser tan simple como el ejemplo mencionado anteriormente. Ha adquirido un certificado con el nombre común www.example.com, pero no ha añadido example.com como SAN al certificado.

Asegúrate de hacer clic en "Ignorar la falta de coincidencia de certificados" en el SSL Checker de GlobalSign y le llevará a un análisis completo del certificado SSL/TLS de ese dominio. Puede ver en la sección Nombre común y SAN si se incluyen los dominios e IPs correctos.

 correct IPs and SANs listed in certificate - common name mismatch error

Figura 2 Resultados cuando se sigue la opción "Ignorar falta de coincidencia de certificados" y se inspecciona el certificado completo

Cuando pida un certificado a GlobalSign con su nombre común como www.example.com, le daremos example.com gratis si lo valida en example.com. Si pone ejemplo.com como nombre común, tenemos la opción UC SAN para que pueda añadir www.example.com de forma gratuita durante el proceso de pedido. También puede añadirlo después de la emisión editando sus opciones de SAN.

El sitio web no utiliza SSL pero comparte una dirección IP con un sitio que sí lo hace

Si su sitio web comparte una dirección IP con otros sitios, esto puede importar o no y las soluciones pueden variar.

Es posible que esté en un host compartido. Algunas empresas de alojamiento requieren una dirección IP dedicada para soportar SSL. Si uno de los clientes que comparten esa dirección IP ha instalado un certificado SSL/TLS en esa IP compartida, podría interferir con los otros sitios.

También podría ser que el cliente que se conecta o el servidor que se aloja (o ambos) no soportan la Indicación de Nombre de Servidor (SNI).

Un ejemplo de esto sería si usted tiene example.com (sitio por defecto) y example.org alojados en la misma IP. Tiene certificados para ambos y ambos están configurados. Si el servidor no soporta SNI, solo servirá el certificado SSL por defecto. Si el cliente no soporta SNI, sólo verá el certificado del sitio por defecto.

Si el servidor y el cliente soportan SNI, se mostrará el certificado correcto cada vez. Casi todos los clientes y servidores modernos soportan SNI, pero puede causar problemas con los sistemas heredados.

Así que como solución, pueda que tenga que soportar SNI u obtener una IP dedicada (lo que implica cambios en la configuración de DNS).

El sitio web ya no existe, pero el nombre de dominio sigue apuntando a la antigua dirección IP, donde ahora está alojado algún otro sitio

La configuración de los DNS también le ayudará en este caso. Asegúrese de que los DNS apuntan a la nueva IP y no a la antigua.

El proveedor de alojamiento con el que selecciona tiene ajustes preconfigurados que anulan la instalación de tu certificado

Su proveedor de alojamiento puede tener algunos ajustes preconfigurados que fuerzan el SSL en cada uno de sus dominios. Si adquiere un certificado SSL/TLS de otra autoridad de certificación y lo instala, verá un error de desajuste.

Al igual que en el caso anterior, vaya a "Ignorar la falta de coincidencia de certificados" en el SSL Checker de GlobalSign para ver los detalles completos del certificado. Si el nombre común o SAN incluye el nombre de su proveedor de alojamiento, es probable que esto sea lo que está ocurriendo.

Tiene que ponerse en contacto con su proveedor de alojamiento y pedirle que elimine su certificado para que pueda instalar el suyo. Si le dicen que no lo harán, cambie de proveedor de alojamiento, ya que es una mala práctica. Debería poder obtener un certificado SSL/TLS de donde quiera.

Configuraciones de su servidor o firewall

Debe prestar atención a la configuración de su firewall y equilibrador de carga. Un firewall, en particular, puede estar configurado para obtener un certificado de un servidor aunque apunte a varios servidores, por lo que debe asegurarse de que está configurado correctamente.

Lamentablemente, en esta situación, usted es el único que puede arreglar el problema y debería tener algunos conocimientos de informática o, al menos, tener a alguien contratado que pueda ayudarle con la informática.

Resumen

En resumen, es importante que toda la información sea correcta durante el proceso de pedido y que su servidor esté instalado y configurado correctamente. Si no está seguro de cómo añadir un SAN o incluir su dominio base en el proceso de pedido, llámenos hoy mismo.

Si cree que el problema radica en la configuración de su servidor, debe hablar con su equipo de TI o con su empresa de alojamiento.

Share this Post

Recent Blogs