Si de pronto tu iPhone o iPad empieza a mostrar avisos de conexión no segura, errores SSL o certificados no fiables, es normal que cunda un poco el pánico: dejas de entrar a webs, tu correo falla y algunas apps ni siquiera cargan. Tranquilo, la enorme mayoría de estos problemas tiene solución desde el propio dispositivo o ajustando bien el servidor; y, si sospechas un ataque, consulta nuestra guía sobre suplantación de identidad en iOS.
En esta guía completa vas a ver cómo funcionan los certificados en iOS y iPadOS, cómo actualizarlos, cómo detectar los errores de seguridad más comunes y qué pasos seguir, tanto si el fallo está en tu dispositivo como si viene del servidor (web, correo, VPN, etc.). Iremos desde lo más básico hasta los trucos más avanzados, para que puedas volver a navegar y usar tus apps con total seguridad.
Qué es un certificado digital y cómo lo usa tu iPhone o iPad
Un certificado digital, también llamado certificado de clave pública o certificado X.509, es un archivo que sirve para identificar de forma segura a un servidor, a una persona o incluso a una app, y que permite cifrar la comunicación entre tu dispositivo y ese destino.
Cuando visitas una web con HTTPS o te conectas a un servicio seguro, Safari y el propio sistema realizan una comprobación del certificado de seguridad del servidor: verifican que ha sido emitido por una autoridad de certificación (CA) reconocida, que no está caducado ni revocado y que el nombre del servidor coincide con el certificado.
En esa verificación, tu iPhone o iPad utiliza la lista de certificados raíz de confianza que trae de serie el sistema (iOS, iPadOS, macOS, tvOS, visionOS, watchOS). Si el certificado que presenta la web o el servicio forma parte de una cadena que termina en uno de esos certificados raíz, la conexión se considera segura y se cifra con algoritmos robustos, como AES de hasta 256 bits.
Los certificados no solo se usan para webs; también son clave para cifrar correos (S/MIME), autenticarte en redes Wi‑Fi corporativas (802.1X, EAP‑TLS), firmar perfiles de configuración, establecer VPN seguras o validar la identidad del remitente en ciertas apps y servicios.
Cuando el sistema detecta que la cadena de confianza no se puede validar (por ejemplo, porque la CA no es de confianza o el certificado está mal emitido), iOS te muestra avisos de certificado no válido, no fiable o error de conexión SSL, bloqueando o poniendo en cuarentena la conexión para proteger tus datos.
Tipos de certificados e identidades que admite iOS y iPadOS
En el ecosistema de Apple, un concepto muy importante es el de identidad digital: la combinación de un certificado y su clave privada asociada. El certificado (con su clave pública) se puede distribuir sin problema, pero la clave privada debe permanecer siempre protegida.
En iPhone, iPad y Mac se aceptan de forma nativa varios formatos de archivo para trabajar con certificados e identidades. A nivel práctico, te encontrarás principalmente con:
- Certificados de servidor o de CA: extensiones .cer, .crt, .der, normalmente certificados X.509 con claves RSA u otros algoritmos admitidos.
- Identidades personales o de cliente: archivos .pfx o .p12 que contienen el certificado más la clave privada cifrada con una contraseña.
Las identidades en formato PKCS #12 (.p12, .pfx) se utilizan para autenticarte como usuario en redes, firmar y cifrar correos S/MIME o acceder a portales que exigen certificado personal (por ejemplo, sedes electrónicas de administraciones o bancos corporativos).
Certificados raíz de confianza en dispositivos Apple
Todos los dispositivos de Apple incluyen de fábrica una colección de certificados raíz de distintas autoridades de certificación, cuidadosamente seleccionados y auditados. iOS, iPadOS, macOS y el resto de sistemas solo confiarán de manera automática en certificados que se encadenen correctamente hasta una de esas raíces.
Cuando la raíz de una CA que emite un certificado para tu web o tu servidor de correo no está en la lista de confianza, el sistema considera ese certificado como no fiable. Es lo que pasa a menudo con autoridades internas de empresas o certificados autofirmados que no proceden de una CA pública reconocida.
Para que un entorno corporativo funcione bien, lo habitual es instalar el certificado raíz (y los intermedios necesarios) en el dispositivo, normalmente mediante un perfil de configuración distribuido por un servicio de gestión de dispositivos (MDM). Ese perfil establece un «ancla de confianza» para que el resto de servicios que dependan de esa CA funcionen sin avisos.
En infraestructuras de clave pública con varios niveles, a veces no basta con instalar solo el certificado raíz; suele ser necesario añadir también los certificados intermedios para que la cadena se valide correctamente en Safari, Mail y el resto de apps.
Lo más recomendable a nivel de administración es agrupar todos los certificados de empresa en un único perfil, que se pueda actualizar desde el MDM sin tocar otros perfiles o servicios del dispositivo.
Actualización automática de certificados de confianza en iPhone y iPad
Apple ha previsto que, si se detecta un problema de seguridad grave con alguno de los certificados raíz preinstalados, los dispositivos puedan actualizar la información de confianza de forma inalámbrica. Esta actualización llega vía Internet, sin que tengas que hacer nada, y ajusta la lista de certificados de confianza y sus políticas.
En entornos gestionados, esa actualización automática se puede controlar con una restricción de MDM llamada, de forma aproximada, “Permitir actualización automática de ajustes de certificados de confianza”. Si se desactiva, el dispositivo dejará de recibir esos cambios, tanto por Wi‑Fi como por Ethernet (en el caso de algunos Mac).
Para un usuario doméstico o de pequeña empresa, lo más sensato es mantener activa esa actualización automática, ya que es una capa de seguridad extra que te protege de certificados comprometidos o CA que dejan de ser fiables.
Instalar y activar certificados raíz manualmente en iPhone y iPad
Cuando instalas un certificado raíz manualmente en tu iPhone o iPad mediante un perfil (por ejemplo, uno proporcionado por tu empresa o por un proveedor de servicios), el sistema muestra un aviso muy claro indicando que ese certificado se añadirá a la lista de confianza del dispositivo.
Tras instalar el perfil, el certificado raíz no se considera confiable automáticamente para todo, sino que debes ir a Ajustes > General > Información > Ajustes de confianza de los certificados y activar manualmente la confianza total para ese certificado raíz concreto.
Este paso extra se introduce para que el usuario sea plenamente consciente de que está dando un gran nivel de poder a ese certificado, ya que cualquier web o servicio que se encadene a él pasará a ser considerado de confianza por el sistema.
Gestión de certificados en macOS: raíz, intermedios y S/MIME
En el Mac, la gestión de certificados es algo más detallada, porque cuentas con la app Acceso a Llaveros, donde puedes ver, añadir y eliminar certificados raíz, intermedios y personales, así como configurar sus niveles de confianza.
Cuando instalas un certificado mediante un perfil de configuración en macOS, el usuario debe ir a Ajustes > General > Perfiles, seleccionar el perfil descargado, revisar la información y pulsar en «Instalar». Es posible que se solicite usuario y contraseña de administrador para completar la operación.
Los certificados intermedios emitidos por una CA raíz suelen caducar antes que los propios certificados raíz. Muchas organizaciones los usan para que los navegadores confíen en sitios asociados, manteniendo separado el certificado raíz principal. Si un intermedio caduca, verás errores SSL a pesar de que el certificado de la web parezca estar en fecha.
En Acceso a Llaveros, dentro del llavero del sistema, puedes localizar certificados intermedios caducados y sustituirlos o eliminarlos según las políticas de tu organización.
Con los certificados S/MIME en el Mac hay que ir con cuidado: si borras uno de esos certificados de tu llavero, dejarás de poder leer los correos antiguos que estuvieran cifrados con él, porque ya no tendrás la clave necesaria para descifrarlos.
Problemas de certificados en el correo de iPhone y iPad
Uno de los casos más habituales que se encuentran los usuarios es que, de repente, la cuenta de correo del iPhone o iPad deja de funcionar y aparece un aviso del tipo «certificado de seguridad no fiable» o «no se puede verificar la identidad del servidor».
Esto suele deberse a la renovación anual del certificado SSL del servidor de correo (POP, IMAP o SMTP). Cuando el proveedor emite un nuevo certificado, las aplicaciones de correo (Outlook, Thunderbird, Mail de Apple, etc.) normalmente muestran un aviso para que confirmes que confías en ese nuevo certificado.
En muchas apps de escritorio es tan sencillo como aceptar el nuevo certificado y seguir adelante. El problema es que, en las versiones recientes de iOS y iPadOS, cuando ya existía un certificado anterior para ese servidor, a veces el sistema no muestra el botón para aceptar el certificado renovado, o muestra un mensaje pero no deja confiar definitivamente en él.
Esto provoca que miles de usuarios de iPhone y iPad se encuentren con errores persistentes en su correo, especialmente cuando el certificado del servidor de correo no coincide exactamente con el nombre del servidor configurado en la cuenta.
Soluciones típicas al problema de certificados en el correo (hosting propio)
Si gestionas tu correo en un hosting tipo cPanel (por ejemplo, proveedores que ofrecen certificados gratuitos con Let’s Encrypt), hay varias maneras de evitar los avisos de certificado no fiable en iOS cuando usas direcciones del tipo mail.midominio.com.
1. Emitir un certificado SSL específico para mail.midominio.com
La solución más limpia es emitir un certificado SSL para el subdominio de correo (mail.midominio.com) desde el panel de control del hosting. Casi todos los planes con Let’s Encrypt permiten hacerlo en unos pocos clics.
En un panel típico como cPanel, entrarías en la sección de Seguridad > Let’s Encrypt™ SSL y, en la zona de emisión de nuevos certificados, seleccionarías tu dominio principal y los subdominios relevantes, en particular mail.midominio.com (y normalmente también www.midominio.com).
En ocasiones verás varias entradas del tipo dominio.com, mail.dominio.com, www.dominio.com; basta con marcar las que uses realmente. Algunas configuraciones también exigen seleccionar un tipo de validación (por ejemplo, DNS‑01), lo que implica que el registro DNS debe apuntar correctamente al servidor donde se emite el certificado.
Una vez emitido el certificado SSL para el servidor de correo, al configurar la cuenta en el iPhone o iPad usando mail.midominio.com como servidor entrante y saliente, iOS verá un certificado perfectamente válido, sin desajustes de nombre, y dejarán de aparecer los molestos avisos (o, si aparece el aviso inicialmente, tendrás opción clara de «Confiar»).
2. Borrar la cuenta y volver a crearla
Si no puedes emitir un certificado nuevo y correcto, otra opción más agresiva es eliminar la cuenta de correo del iPhone o iPad y volver a configurarla desde cero. Esto obliga al sistema a olvidar cualquier certificado antiguo asociado a ese servidor.
Antes de hacerlo, debes asegurarte de dos cosas clave: tener ubicada la contraseña de la cuenta y saber si la cuenta estaba configurada como POP sin copia de mensajes en el servidor. En ese caso, podrías perder correos que solo existen en el dispositivo.
Si tu proveedor te ofrece IMAP con copia en el servidor, esta opción es menos arriesgada, aunque sigue siendo un paso más drástico que simplemente emitir un certificado SSL correcto para el servidor de correo.
3. Usar el hostname real del servidor en lugar de mail.midominio.com
Cuando el certificado SSL está emitido para el nombre interno del servidor (hostname) del proveedor y no para tu subdominio de correo, una solución práctica es cambiar en la configuración de la cuenta de iOS el servidor entrante/saliente de mail.midominio.com al hostname real, por ejemplo host53.tuproveedor.com.
De este modo, el nombre del servidor que usas en la cuenta coincide con el que figura en el certificado, y el error de identidad deja de producirse. El inconveniente es que, si en algún momento el proveedor migra tus cuentas a otro servidor con hostname distinto, tendrás que cambiar manualmente la configuración en todos tus dispositivos y cuentas.
4. Caso especial: dominio web en un proveedor y correo en otro
Hay usuarios que tienen la web alojada en un proveedor y el correo en otro. En estos escenarios, los certificados de Let’s Encrypt que se emiten en el hosting de correo no siempre pueden incluir el dominio principal si el DNS apunta a otro lado.
Si el dominio principal no apunta a la IP del hosting de correo, el intento de emitir un certificado que cubra dominio.com y mail.dominio.com fallará, y no podrás tener un SSL válido asociado al subdominio de correo de forma automática.
Una forma de resolverlo es crear expresamente un subdominio mail.dominio.com en el cPanel del hosting de correo y emitir el certificado de Let’s Encrypt solo para ese subdominio, sin incluir el dominio principal. Como ese registro sí apunta a la IP correcta, la validación saldrá bien.
Una vez hecho esto, tu iPhone ya podrá usar mail.dominio.com como servidor con un certificado completamente válido, evitando nuevos avisos de seguridad al utilizar la app Mail.
Errores SSL 403 y certificados personales en iOS
Otro escenario muy frecuente, sobre todo en sedes electrónicas oficiales, bancos o intranets, es el del error 403 (acceso prohibido) cuando intentas entrar con un certificado digital personal en tu iPhone o iPad.
Lo primero es comprobar si realmente tienes un certificado personal instalado y vigente en el dispositivo. Desde iOS 15 en adelante, puedes ir a Ajustes > General > VPN y gestión de dispositivos > Perfiles de configuración y revisar si aparece algún perfil con tu certificado.
Seleccionando el certificado y pulsando en «Más detalles» verás datos como la fecha de validez y la entidad emisora. Si el certificado está caducado, revocado, dañado o proviene de una copia incorrecta (.cer en lugar de un .p12 con clave privada), tendrás que importar una copia válida.
Para comprobar que todo funciona correctamente, muchas entidades, como la FNMT, ofrecen páginas de verificación. Accediendo con Safari a su herramienta de test y seleccionando tu certificado, deberías ver un mensaje del tipo «Su certificado acaba de ser verificado. Está en posesión de un certificado digital válido y no revocado». Si no es así, algo falla en la instalación o en el propio certificado.
Navegadores compatibles con certificados en iOS
En iOS hay un detalle importante que mucha gente desconoce: no todos los navegadores gestionan certificados personales. A día de hoy, el navegador soportado para trabajar con certificados instalados en el sistema es Safari.
Navegadores como Google Chrome o Mozilla Firefox en iOS no usan el almacén de certificados de usuario de la misma forma, por lo que, aunque tengas tu certificado correctamente instalado, es posible que no lo puedan utilizar para identificarse frente a una web.
Si estás tratando de acceder a un portal que exige certificado digital, asegúrate de hacerlo siempre desde Safari, y no desde otros navegadores, para evitar errores innecesarios.
Pasos básicos para forzar la selección de certificado y limpiar errores
Cuando Safari se queda «atascado» y no vuelve a mostrar la ventana de selección de certificado, puede ayudarte cerrar completamente el navegador y borrar datos temporales.
Para cerrar Safari por completo, usa el cambiador de aplicaciones: en dispositivos sin botón físico, desliza desde la parte inferior de la pantalla hacia el centro y mantén un segundo para que aparezcan las apps abiertas; en modelos con botón de inicio, haz doble clic en el botón. Después, desliza Safari hacia arriba para cerrarlo.
También es buena idea borrar el historial y los datos de sitios web desde Ajustes > Safari > Borrar historial y datos de sitios web. Esto elimina cookies, caché y otros datos que podrían estar manteniendo una sesión o una selección de certificado incorrecta.
Si tras hacer esto sigues teniendo el mismo error 403 o el mismo aviso de certificado, es probable que tengas que reinstalar el certificado personal: exportarlo desde tu ordenador en un archivo .p12, enviártelo por correo o usar AirDrop, e instalarlo de nuevo en el iPhone o iPad siguiendo las indicaciones de la entidad emisora.
Errores SSL generales en iPhone y iPad: causas habituales
Más allá del correo y de los certificados personales, hay una serie de errores SSL genéricos en iOS que pueden afectar a la navegación, a apps como Dropbox o Apple Music, o incluso a servicios de terceros integrados en el sistema.
Estos errores se presentan con mensajes del tipo «no se puede establecer una conexión segura», «error de conexión SSL» o «no se ha podido verificar la identidad del servidor». Las causas más frecuentes son:
- Ajustes de fecha y hora incorrectos en el dispositivo, que hacen que los certificados parezcan caducados o no válidos.
- Certificados caducados o mal configurados en el servidor al que te conectas (web, API, correo, etc.).
- Certificados no válidos o autofirmados emitidos por CA no reconocidas por iOS.
- Versión de iOS o de una app desactualizada, sin soporte para los protocolos TLS más modernos.
- Ajustes de red corruptos (DNS, proxy, cortafuegos o apps de seguridad que interfieren).
En todos estos casos, hay una batería de pasos que se pueden seguir para ir descartando problemas en el lado del dispositivo antes de concluir que el error está exclusivamente en el servidor.
Métodos para corregir errores de conexión SSL en iOS y iPadOS
Si estás sufriendo errores SSL repetidos en tu iPhone o iPad, conviene seguir un orden lógico de comprobaciones. Te dejamos los métodos más útiles, muchos de ellos rápidos, para intentar arreglar la situación desde tu lado:
1. Reiniciar el dispositivo
Los fallos temporales del sistema pueden provocar comportamientos raros en la validación de certificados o en el manejo de conexiones cifradas. Reiniciar el iPhone o iPad suele ser la prueba más sencilla y efectiva para descartar estos problemas.
Ve a Ajustes > General y desplázate hasta la opción «Apagar». Apaga el dispositivo, espera unos segundos y vuelve a encenderlo. Después, prueba de nuevo a acceder a la web o app problemática.
2. Activar y desactivar modo Avión
El modo Avión es una herramienta rápida para forzar un reinicio de las conexiones de red (Wi‑Fi, datos móviles, Bluetooth, etc.). Pequeñas inconsistencias en la red pueden acabar manifestándose como errores SSL, sobre todo si hay problemas puntuales de DNS.
Abre Ajustes, activa el Modo Avión, espera unos segundos y desactívalo. Esto reinicia las conexiones y, en ocasiones, basta para que las peticiones SSL vuelvan a funcionar correctamente.
3. Restablecer ajustes de red
Si el fallo persiste, un siguiente paso es restablecer toda la configuración de red, lo que borra redes Wi‑Fi guardadas, ajustes de operador, VPN y configuraciones de DNS personalizadas.
Ve a Ajustes > General > Transferir o restablecer iPhone/iPad > Restablecer y elige «Restablecer configuración de red». El dispositivo se reiniciará y tendrás que volver a introducir tus claves Wi‑Fi, pero es una buena forma de descartar que el problema venga de un ajuste corrupto.
4. Comprobar fecha y hora
Los certificados SSL tienen un periodo de validez muy estricto; si tu iPhone tiene la fecha adelantada o atrasada, creerá que el certificado está caducado o aún no es válido.
Entra en Ajustes > General > Fecha y hora y activa la opción «Establecer automáticamente». Asegúrate de que el dispositivo tiene conexión a Internet para sincronizar bien. Después, cierra la app problemática y vuelve a abrirla.
5. Actualizar iOS y las aplicaciones
Un sistema operativo o una app desactualizados pueden no soportar las versiones más recientes de TLS o tener bugs que afecten precisamente a la verificación de certificados.
Para iOS/iPadOS, ve a Ajustes > General > Actualización de software y, si hay una versión nueva, toca en «Descargar e instalar». Para las apps, entra en App Store > tu perfil y actualiza las que tengan nuevas versiones disponibles.
6. Cerrar y volver a abrir la app que da error
A veces el problema está exclusivamente en la app que estás usando (por ejemplo, Dropbox, Apple Music o una app bancaria), que puede tener la sesión o el manejador de conexiones SSL en un estado inestable.
Ciérrala completamente desde el cambiador de aplicaciones (igual que hicimos con Safari) y vuelve a abrirla. En muchos casos, la app reconstruye la sesión y vuelve a negociar las conexiones SSL correctamente.
7. Borrar cookies y caché de Safari
Si el error se produce navegando, es probable que algún dato de caché o cookie antigua esté interfiriendo con la conexión segura.
Desde Ajustes > Safari, toca en «Borrar historial y datos de sitios web» y confirma. Con esto limpiarás cookies, caché y otros datos. Después, cierra Safari desde el cambiador de apps y vuelve a intentarlo.
8. Restablecer todos los ajustes
En casos extremos, puedes optar por restablecer todos los ajustes del dispositivo (sin borrar tus datos ni apps). Esto devuelve a valores por defecto gran parte de la configuración del sistema, incluidos muchos parámetros de red y seguridad.
Ve a Ajustes > General > Transferir o restablecer iPhone/iPad > Restablecer y elige «Restablecer todos los ajustes». El proceso tardará unos minutos y tendrás que reconfigurar algunas preferencias, pero es una opción antes de plantearte medidas más radicales.
9. Cambiar la configuración DNS
En ocasiones, los errores SSL están asociados a problemas con el servidor DNS (no resuelve bien, devuelve IPs incorrectas o es demasiado lento). Cambiar a DNS públicos conocidos ayuda a descartar este punto.
En Ajustes > Wi‑Fi, toca el icono «i» de tu red y entra en «Configurar DNS». Puedes dejarlo en Automático para que use los DNS del router, o cambiar a Manual y añadir servidores como 1.1.1.1 (Cloudflare), 8.8.8.8 y 8.8.4.4 (Google) o 208.67.222.222 y 208.67.220.220 (OpenDNS).
10. Activar servicios de localización si la web/app lo necesita
Algunas aplicaciones y sitios web usan la localización del dispositivo como parte de sus medidas de seguridad. Si tienes los servicios de localización desactivados por completo, determinados flujos de autenticación pueden fallar.
Desde Ajustes > Privacidad > Servicios de localización, activa el interruptor general y, si quieres, ajusta app por app qué acceso a la ubicación permites. Después, prueba otra vez la app o web problemática.
Cuándo el problema está en el servidor y no en tu iPhone o iPad
Si tras todas las comprobaciones anteriores sigues viendo avisos como certificado caducado, certificado no válido o CA desconocida, es muy probable que el origen esté en el servidor al que intentas conectarte.
En esos casos, poco puedes hacer desde tu dispositivo más allá de no introducir datos sensibles en ese sitio o app y contactar con el responsable técnico. Si tienes contacto con el administrador del sistema o el soporte del servicio:
- Envía capturas de pantalla del error que aparece en tu iPhone o iPad.
- Indica el dominio o servidor concreto al que intentas conectarte.
- Pregunta si han renovado recientemente el certificado o cambiado de proveedor de hosting/seguridad.
Los administradores pueden usar herramientas como SSL Labs para analizar el estado del certificado, la cadena de confianza y las versiones de protocolo, y así detectar si falta un intermedio, si el certificado ha caducado o si existe alguna incompatibilidad con iOS.
Conociendo cómo funcionan los certificados en el ecosistema de Apple, qué tipos admite iOS y iPadOS, y aplicando todos estos pasos (desde revisar la fecha y la caché de Safari hasta emitir certificados válidos para tu servidor de correo o cambiar la configuración DNS), es mucho más fácil localizar el origen de los errores SSL y recuperar rápidamente conexiones seguras en tu iPhone o iPad sin renunciar a la seguridad que ofrecen.
