SSL gestionado reduce carga operativa y renueva automáticamente. Para wildcard o EV puede hacer falta traer el suyo. Asegure que las claves privadas queden en su servidor y no se exporten. HSTS y cifrados fuertes siguen siendo su responsabilidad.
Ventajas del SSL gestionado
- Sin preocupación por renovación: El proveedor emite y renueva certificados (a menudo Let's Encrypt). Sin certbot manual ni recordatorios.
- Renovación automática: Antes de caducar el proveedor renueva. Reduce riesgo de cert caducado y HTTPS roto.
- Simplicidad: Una cosa menos que gestionar.
Límites y cuándo traer el suyo
- Wildcard: No todas las ofertas gestionadas incluyen wildcard (*.ejemplo.com). Puede hacer falta traer el suyo o usar DNS challenge con Let's Encrypt usted mismo.
- EV: Suele requerir cert propio de una CA; los planes gestionados suelen hacer solo DV.
- Claves privadas: Asegure que las claves se generan y guardan en su servidor. Algunos setups "gestionados" guardan claves en el proveedor—aceptable para unos, no para cumplimiento estricto.
Seguridad sigue siendo su responsabilidad
- HSTS: Active la cabecera Strict-Transport-Security. El SSL gestionado no siempre la define; añádala en la app o proxy reverso.
- Cifrados fuertes: Deshabilite TLS 1.0/1.1; prefiera 1.2/1.3. Configure en proxy o app.
- Cadena: Asegure que el proveedor sirva cadena completa.
Resumen
SSL gestionado simplifica emisión y renovación. Para wildcard o EV puede necesitar su propio cert. Asegure control de las claves privadas; aun así active HSTS y cifrados fuertes.
