MacroSeguridad

Jerarquía de Certificados Sectigo

Este diagrama muestra la estructura de confianza de Sectigo, incluyendo certificados raíz, intermedios y certificados finales utilizados en TLS/SSL.

¿Cómo funciona la cadena de certificados?

En una conexión TLS/SSL, el navegador o aplicación intenta construir una cadena de confianza desde el certificado del servidor hasta un certificado raíz confiable.

Certificado del servidor: el que instala en su sitio (certificado de dominio)
Certificado/s intermedio/s: conectan el servidor con la raíz
Certificado raíz: normalmente ya está en el sistema operativo, navegador o trust store

Si falta algún certificado intermedio, el navegador/aplicación puede fallar en validar la conexión.

Cross Certificates (compatibilidad)

Los cross-certificates existen para mantener compatibilidad con dispositivos antiguos y aplicaciones legacy.

Si un cliente no reconoce un certificado raíz moderno, puede confiar en uno antiguo que firma ese mismo certificado.

Inclusión de Certificados Raíz (Root Inclusion / Ubiquity)

Plataforma	AAA Certificate Services	USERTrust ECC / RSA	Sectigo Root E/R46
Apple	iOS 3 macOS 10.4	iOS 10 macOS 10.12.1	iOS 17 macOS 14.4
Otros Navegadores	Opera (desde 2012)	360 Browser SE 10.1 Extreme Browser 11.0	No incluído
Java (Oracle)	JRE 1.5.0_08	JRE 8u51	No incluído
Mozilla (Firefox)	Firefox 1.0	Firefox 36	Firefox 117
Microsoft (Windows)	Windows XP y superior	Windows XP y superior Windows Vista+ (ECC)	Windows XP y superior Windows Vista+ (ECC)
Android / Google	Android 2.3	Android 5.1 Chrome 38	Android 15 Chrome 121

Importante:
Los dispositivos, sistemas operativos o aplicaciones que estén en versiones anteriores a las indicadas en la tabla NO incluyen estos certificados raíz en su almacén de confianza.

En estos casos, es obligatorio instalar los cross-certificates (certificados intermedios adicionales) en el servidor para garantizar la compatibilidad.

De lo contrario, el cliente (navegador, app, sistema) puede no confiar en el certificado SSL/TLS y la conexión fallará.

A continuación haga click en la opción deseada para acceder a la descarga de los certificados intermedios y raíz de Sectigo

Sectigo ha renovado sus certificados raíz e intermedios para reforzar la seguridad y cumplir con los lineamientos del CA/B Forum.

Este cambio implica un nuevo procedimiento de instalación. En el servidor únicamente debe importarse el archivo .pfx sin las propiedades extendidas, ya que estas incluyen intermedios y raíces que no deben cargarse directamente.
Las raíces e intermedios a importar son los que se encuentran en el archivo .zip entregado junto a su certificado de dominio, y deben importarse en las carpetas correspondientes del servidor.

En la tabla debajo encontrará, disponible para descarga, la cadena de acuerdo al tipo de certificado.
Además, haciendo click en el botón podrá acceder a un instructivo detallado de verificación.

Instructivo - Cómo instalar raíz y certificados intermedios NUEVOS

Tabla para descarga de Certificados Intermedios y Raíz:

Certificado	Archivos	Cadena de certificación RSA	Cadena de certificación ECC
EV Certificados EV EV SSL EV Multidominio SSL	Raíz Intermedio 1 Intermedio 2 CA-Bundle Su certificado	USERTrustRSACertificationAuthority.crt SectigoPublicServerAuthenticationRootR46.crt SectigoPublicServerAuthenticationCAEVR36.crt CA-Bundle Certificado de Dominio ↓ Descargar EV RSA	USERTrustECCCertificationAuthority.crt SectigoPublicServerAuthenticationRootE46.crt SectigoPublicServerAuthenticationCAEVE36.crt CA-Bundle Certificado de Dominio ↓ Descargar EV ECC
OV Certificados OV Instant SSL SSL UCC Multidominio Wildcard Premium	Raíz Intermedio 1 Intermedio 2 CA-Bundle Su certificado	USERTrustRSACertificationAuthority.crt SectigoPublicServerAuthenticationRootR46.crt SectigoPublicServerAuthenticationCAOVR36.crt CA-Bundle Certificado de Dominio ↓ Descargar OV RSA	USERTrustECCCertificationAuthority.crt SectigoPublicServerAuthenticationRootE46.crt SectigoPublicServerAuthenticationCAOVE36.crt CA-Bundle Certificado de Dominio ↓ Descargar OV ECC
DV Certificados DV PositiveSSL Wildcard Free	Raíz Intermedio 1 Intermedio 2 CA-Bundle Su certificado	USERTrustRSACertificationAuthority.crt SectigoPublicServerAuthenticationRootR46.crt SectigoPublicServerAuthenticationCADVR36.crt CA-Bundle Certificado de Dominio ↓ Descargar DV RSA	USERTrustECCCertificationAuthority.crt SectigoPublicServerAuthenticationRootE46.crt SectigoPublicServerAuthenticationCADVE36.crt CA-Bundle Certificado de Dominio ↓ Descargar DV ECC

Certificado	Archivos	Cadena de certificación RSA
Certificados EV EV SSL EV Multidominio SSL	- Raíz - Intermedio 1 - Intermedio 2 - CA-Bundle - Su certificado	AAACertificateServices.crt USERTrustRSA-AAACA-xSign.crt SectigoRSAExtendedValidationSecureServerCA.crt CA-Bundle Certificado de Dominio
		Descargar EV
Certificados OV Instant SSL SSL UCC* Multidominio Wildcard Premium	- Raíz - Intermedio 1 - Intermedio 2 - CA-Bundle - Su certificado	AAACertificateServices.crt USERTrustRSA-AAACA-xSign.crt SectigoRSAOrganizationValidationSecureServerCA.crt CA-Bundle Certificado de Dominio
		Descargar OV
Certificados DV ComodoSSL ComodoSSL Wildcard ComodoSSL UCC* Essential SSL PositiveSSL PositiveSSL Wildcard PositiveSSL Multidominio Free Certificate	- Raíz - Intermedio 1 - Intermedio 2 - CA-Bundle - Su certificado	AAACertificateServices.crt USERTrustRSA-AAACA-xSign.crt SectigoRSADomainValidationSecureServerCA.crt CA-Bundle Certificado de Dominio
		Descargar DV
Certificados CodeSigning	- Raíz - Intermedio 1 - Intermedio 2 - CA-Bundle - Su certificado	AAACertificateServices.crt USERTrustRSA-AAACA-xSign.crt SectigoRSACodeSigningCA.crt Su certificado de Code Signing
		Descargar

Certificado	Archivos	Cadena de certificación RSA
Certificados EV EV SSL EV Multidominio SSL	- Intermedio 1 - Intermedio 2 - Su certificado	AAACertificateServices.crt SectigoRSAExtendedValidationSecureServerCA.crt ComodoRSAExtendedValidationSecureServerCA.crt Certificado de Dominio
		Descargar EV
Certificados OV Instant SSL SSL UCC* Multidominio Wildcard Premium	- Intermedio 1 - Intermedio 2 - Su certificado	SectigoRSAOrganizationValidationSecureServerCA.crt ComodoRSAOrganizationValidationSecureServerCA.crt Certificado de Dominio
		Descargar OV
Certificados DV ComodoSSL ComodoSSL Wildcard ComodoSSL UCC* Essential SSL PositiveSSL PositiveSSL Wildcard PositiveSSL Multidominio Free Certificate	- Intermedio 1 - Intermedio 2 - Su certificado	SectigoRSADomainValidationSecureServerCA.crt ComodoRSADomainValidationSecureServerCA.crt Certificado de Dominio
		Descargar DV

A tener en cuenta:

IIS 4.x y superior pueden utilizar archivos .cer. El archivo contiene: Root, Intermedios y el certificado de dominio incluido en un solo archivo.
IIS 6.x y superior aceptará un archivo .crt (certificado de dominio), pero el Certificado Root y el/los certificados Intermedio(s) deberán instalarse manualmente.
Apache utiliza un archivo ca-bundle. Este archivo contiene en si mismo el/los certificado(s) intermedio(s) y a veces el certificado Root.

Cómo instalar raíz e intermedias en Linux

Cómo instalar raíz e intermedias en Windows Server 2016 o superior

Click aquí para acceder a la documentación que explica como instalar la cadena de certificación en todas las plataformas

Comodo/Sectigo actualización SHA-3 y ECC (Curvas elípticas)

Eliminación de Certificados Raíz (Removal Timeline)

15 Abril 2025

AAA Certificate Services
Eliminado de confianza en Chrome y Mozilla.

Los navegadores modernos dejan de confiar en este root. Dispositivos antiguos pueden seguir aceptándolo.

15 Junio 2026 (aprox.)

USERTrust RSA / ECC (Chrome)
Chrome dejará de confiar en estos certificados.

Certificados ya emitidos seguirán funcionando hasta su expiración.

15 Abril 2027

USERTrust RSA / ECC (Mozilla)
Mozilla elimina completamente la confianza.

Incluso certificados válidos dejarán de funcionar si no existe otra cadena de confianza.