Skip to main content

Let's Encrypt

Lets Encript Logo

¿Qué es Let's Encrypt?

Let's Encrypt es una autoridad certificadora (CA) gratuita, automatizada y abierta que proporciona certificados SSL/TLS para habilitar HTTPS en sitios web. Lanzado en 2016 por Internet Security Research Group (ISRG), el proyecto no solo revolucionó la forma en que obtenemos y gestionamos certificados digitales, sino que también democratizó el acceso a HTTPS, haciendo la web más segura para todos.

Características principales:

  • Gratuito: 100% sin costos para certificados DV (Domain Validated)
  • Automatizado: Emisión y renovación vía protocolo ACME
  • Abierto: Software open-source y procesos transparentes
  • Seguro: Confiable por todos los principales navegadores y sistemas operativos
  • Simple: Proceso de validación rápido y sencillo

Let's Encrypt emite solo certificados de 90 días. El motivo es reducir el riesgo de clave comprometida e incentivar la renovación automatizada vía ACME, y no existe opción de pago, premium o "especial" para aumentar este plazo.

Si necesitas períodos mayores (1 año), solo migrando a una CA comercial (ej.: DigiCert, GlobalSign). Pero, para el 99% de los casos, la automatización resuelve completamente.

¿Cómo funciona?

Let's Encrypt utiliza el protocolo ACME (Automatic Certificate Management Environment) para automatizar la emisión y renovación de certificados. El proceso involucra tres etapas principales:

  1. Validación de Control del Dominio - Demostrar que controlas el dominio
  2. Generación y Firma del Certificado - Let's Encrypt emite el certificado
  3. Renovación Automática - Renovación antes de expirar (90 días)

En la etapa 1, existen 3 métodos diferentes para demostrar control del dominio (elige uno):

MétodoCómo funcionaCuándo usar
HTTP-01Token en el puerto 80Caso más común
DNS-01Registro TXT en DNSWildcards, servidores internos
TLS-ALPN-01Handshake TLS en el puerto 443Puerto 80 bloqueado

Las etapas 2 y 3 son idénticas independientemente del método elegido. Ve detalles de cada método en los artículos anteriores.

¿Cuándo Usar?

Casos de Uso Ideales

Let's Encrypt es altamente recomendado para:

1. Sitios y Aplicaciones Web en Producción

  • Sitios web públicos: Blogs, portafolios, landing pages
  • E-commerce: Tiendas virtuales (con consideraciones para certificados EV)
  • APIs REST/GraphQL: Comunicación segura entre servicios
  • Aplicaciones SaaS: Plataformas multi-tenant

2. Ambientes de Desarrollo y Staging

  • Ambientes de homologación: Certificados válidos sin costos
  • Pruebas de integración: Simular ambiente de producción real
  • Pipelines CI/CD: Certificados temporales para pruebas

3. Infraestructura Moderna

  • Kubernetes/Docker: Certificados para Ingress controllers
  • Microservicios: TLS entre servicios (service mesh)
  • Load balancers: Terminación SSL/TLS en proxies reversos
  • CDN: Integración con Cloudflare, AWS CloudFront

4. Proyectos Open Source y Educativos

  • Documentación: GitHub Pages, Read the Docs
  • Proyectos personales: Sin costo para experimentación
  • Ambientes educativos: Enseñanza de HTTPS y PKI

Ventajas en Producción

¡Sí, vale mucho la pena usarlo en producción!

  • Costo cero: Ahorro significativo comparado con CAs comerciales
  • Automatización completa: Reduce error humano y overhead operacional
  • Seguridad equivalente: Mismo cifrado que certificados pagos
  • Confianza universal: Confiable por 99%+ de los navegadores
  • Renovación automática: Elimina riesgos de expiración
  • Rate limits generosos: 50 certificados/dominio/semana

Casos en que Let's Encrypt No es Utilizado

1. Requisitos legales, compliance o auditoría

Algunas empresas necesitan certificados con garantías formales, soporte contratado o validación corporativa.

Certificados EV (Extended Validation) y OV (Organization Validation)

Let's Encrypt emite solo certificados DV (Domain Validation), que validan solo el control del dominio. Si necesitas validación de la organización, existen dos tipos de certificados comerciales:

OV - Organization Validation (Validación de Organización)

Certificado intermedio que valida tanto el dominio como la organización que lo posee:

  • Qué valida: Dominio + datos de la empresa (identificación fiscal, razón social, dirección)
  • Proceso: CA verifica documentos de la empresa manualmente
  • Tiempo de emisión: 1-3 días
  • Costo: $50-200/año
  • Muestra en el certificado: Nombre de la empresa, ubicación, país
  • Uso típico: Sitios corporativos, intranets, portales B2B
EV - Extended Validation (Validación Extendida)

Certificado premium con auditoría rigurosa de la organización:

  • Qué valida: Todo de OV + auditoría completa de la empresa
  • Proceso: Verificación extensiva de existencia física, propiedad legal, autoridad del solicitante
  • Tiempo de emisión: 1-2 semanas
  • Costo: $150-1000/año
  • Muestra en el navegador: Nombre de la empresa destacado (navegadores modernos eliminaron la barra verde)
  • Uso típico: Bancos, e-commerce de gran porte, instituciones financieras

Comparación visual del certificado:

DV (Let's Encrypt):
  Common Name: ejemplo.com

OV (CA Comercial):
  Common Name: ejemplo.com
  Organization: Empresa S.A.
  Locality: Madrid
  Country: ES

EV (CA Comercial Premium):
  Common Name: ejemplo.com
  Organization: Banco Ejemplo S.A.
  Business Category: Private Organization
  Serial Number: B12345678
  Locality: Madrid
  Country: ES

Importante: El cifrado es idéntico en los tres tipos. La diferencia está solo en el nivel de verificación de la identidad de la organización, no en la seguridad de la conexión.

Let's Encrypt no ofrece soporte dedicado, SLA contractual o garantías financieras.

2. Ambientes donde ACME no está permitido

Algunas infraestructuras no permiten automatización o no pueden demostrar control de dominio de la forma exigida:

  • Ambientes offline/air-gapped: Let's Encrypt exige validación pública del dominio
  • Equipos embebidos o IoT: Dispositivos que no pueden renovar certificados cada 90 días
  • Certificados wildcard con DNS bloqueado: Para obtener certificados wildcard (*.dominio.com), es necesario demostrar control a través del desafío DNS-01, lo que puede no ser posible en ambientes con DNS restringido o sin automatización

3. Certificados con parámetros específicos que Let's Encrypt no ofrece

Certificados de largo plazo

  • Let's Encrypt: Máximo de 90 días (fijo, sin excepciones)
  • CAs comerciales: 1 a 2 años (algunos casos especiales hasta 3 años)
  • Cuándo importa: Ambientes legacy sin automatización o dispositivos que no pueden renovar automáticamente

SANs (Subject Alternative Names) en gran cantidad

Subject Alternative Names permiten que un único certificado cubra múltiples dominios y subdominios:

Certificado con SANs:
  Common Name: ejemplo.com
  SANs:
    - ejemplo.com
    - www.ejemplo.com
    - api.ejemplo.com
    - admin.ejemplo.com
    - blog.ejemplo.com

Límites de Let's Encrypt:

  • Máximo de 100 SANs por certificado (límite técnico)
  • Rate limit de 50 certificados/semana por dominio registrado
  • Para empresas con cientos de subdominios, puede ser limitante

Ejemplo de escenario problemático:

Empresa con 500 subdominios:
  - cliente1.saas.com
  - cliente2.saas.com
  - cliente3.saas.com
  ...
  - cliente500.saas.com

Necesitaría 5 certificados (100 SANs cada uno)
Mejor solución: certificado wildcard (*.saas.com)

Code Signing (Firma de Código)

Certificados para firmar digitalmente software, drivers, ejecutables y scripts, demostrando autenticidad e integridad del código.

Uso típico:

  • Firma de ejecutables Windows (.exe, .msi, .dll)
  • Drivers de kernel (obligatorio en Windows)
  • Aplicaciones macOS e iOS
  • Scripts PowerShell
  • Extensiones de navegador

Por qué Let's Encrypt no lo ofrece:

  • Requiere validación rigurosa de la identidad del desarrollador/empresa
  • Proceso manual de verificación (EV para code signing)
  • Responsabilidad legal sobre el código firmado
  • Referencia oficial

S/MIME (Secure/Multipurpose Internet Mail Extensions)

Certificados para firmar y cifrar correos electrónicos, garantizando autenticidad del remitente y confidencialidad del mensaje.

Cómo funciona:

Correo firmado con S/MIME:
  From: [email protected] (Verificado ✓)
  Subject: Reporte Financiero

  [Firma digital del remitente]
  [Contenido cifrado - solo el destinatario puede leer]

Beneficios:

  • Autenticidad: El destinatario sabe que el correo realmente vino de ti
  • Integridad: Detecta si el mensaje fue alterado en el camino
  • Confidencialidad: Contenido cifrado (solo el destinatario puede leer)
  • No repudio: El remitente no puede negar haber enviado

Uso típico:

  • Comunicaciones corporativas sensibles
  • Contratos y documentos legales por correo
  • Sectores regulados (salud, financiero, gobierno)
  • Compliance GDPR/LGPD

Por qué Let's Encrypt no lo ofrece:

  • Requiere validación de identidad personal o corporativa
  • Proceso manual (no puede ser totalmente automatizado)
  • Gestión de claves privadas del usuario (no del servidor)

4. Empresas que exigen auditoría formal o integración con PKI interna

  • PKI corporativa: Organizaciones que operan PKI propia y necesitan integrar certificados con HSM, sellos de tiempo certificados o cadenas raíz específicas
  • Compliance gubernamental: Gobiernos que exigen estándares específicos.

Solo necesitas CA comercial cuando existe:

  • Exigencia formal de compliance o auditoría
  • Necesidad de soporte corporativo con garantía
  • Validación más allá de DV (como EV u OV)
  • Certificados de largo plazo
  • Casos especiales (code signing, S/MIME, PKI cerrada)

Si no tienes nada de eso, Let's Encrypt es suficiente y hasta más seguro debido a la renovación automática.

Let's Encrypt no emite certificados para:

  • Direcciones IP (públicas o privadas, como 192.168.0.10)
  • Dominios internos (.local, .internal, .lan)
  • Servidores sin DNS público