Qué es Let's Encrypt — la CA gratuita que automatiza HTTPS

Let's Encrypt es una CA gratuita que emite certificados TLS/SSL. ACME verifica el control del dominio automáticamente, así emisión y renovación van solas; los certificados duran 90 días para forzar la automatización. Cómo funciona y cómo evitar el incidente n.º 1: una renovación atascada que caduca.

Publicado 2026-06-29 Actualizado 2026-06-29 4 min de lectura

«Quiero HTTPS, pero los certificados parecen caros y engorrosos»: Let's Encrypt cambió esa premisa. Es gratuito, y todo el proceso —desde la emisión hasta la renovación— puede automatizarse por completo. Así funciona, desde el punto de vista de quien defiende.

Cómo funciona: probar el control del dominio, automáticamente (ACME)

Los certificados tradicionales implicaban solicitar, presentar papeleo de identidad y esperar, todo a mano. Let's Encrypt sustituye eso por ACME (Automatic Certificate Management Environment), un protocolo que convierte todo el intercambio en pasos de máquina a máquina.

1. Desafío: la CA dice «si controlas este dominio, puedes colocar este valor en un lugar concreto»

2. Probar: el servidor coloca el valor en una ruta web (HTTP-01) o en un registro DNS (DNS-01)

3. Emitir: una vez verificado, la CA emite el certificado. Al acercarse la caducidad, los pasos 2 y 3 se repiten automáticamente

Lo básico de ACME: tu servidor prueba en el acto que controla el dominio y recibe un certificado automáticamente.

El punto clave: solo verifica el control del dominio (validación de dominio, DV). No comprueba la existencia legal de una empresa, por eso el proceso es lo bastante ligero para automatizarse por completo. El cifrado en sí no es más débil que el de un certificado de pago.

La vida de 90 días fuerza la automatización

Los certificados de Let's Encrypt son válidos durante 90 días. La ventana corta es deliberada.

Reducir el radio de impacto de una clave filtrada

Si la clave privada de un servidor llega a filtrarse, un certificado de vida corta acota la ventana en que se puede abusar de ella; y aunque la revocación se retrase, caduca por sí solo.

Hacer de la renovación automática lo predeterminado

Renovar a mano cada 90 días es poco práctico, así que los operadores tienen que automatizar, lo que empujó a todo el sector hacia «los certificados son algo que se rota automáticamente». En la práctica, las herramientas de renovación empiezan a intentarlo unos 30 días antes de la caducidad.

Por eso la verdadera tarea es vigilar

La renovación automática puede detenerse en silencio: un cron roto, permisos cambiados, una comprobación de dominio que ya no pasa. Si no te das cuenta, 90 días después caduca. El hábito defensivo es vigilar el éxito de la renovación y los días restantes.

Nuestra opinión: nosotros lo hacemos así (TLS automático)

Este sitio funciona sobre el servidor web Caddy, que emite y renueva los certificados de Let's Encrypt automáticamente con solo apuntar un dominio a él (apenas hay configuración de certificados). «No tener que pensar en los certificados» es el objetivo: cuantos menos sitios toque una persona a mano, menos incidentes de caducidad por un cambio olvidado. Si en cambio ejecutas certbot con un cron, lo prudente es vigilar si ese cron sigue funcionando de verdad, no dar por hecho que sí.

El incidente n.º 1: una renovación atascada y luego la caducidad

Lo que los equipos más a menudo se encuentran en torno a HTTPS no es un ataque, sino un certificado caducado. Al caducar, el navegador muestra un aviso a página completa y los visitantes casi siempre se marchan. La causa casi siempre es «la automatización de la renovación se había roto y nadie se dio cuenta».

Por eso justamente conviene tener una forma de revisar periódicamente la caducidad de tu propio certificado. La auditoría de seguridad del sitio de este sitio comprueba el certificado TLS (días restantes, caducidad, protocolos obsoletos) en un sitio que hayas verificado como tuyo, junto con las demás comprobaciones. Automatiza la renovación y luego verifica desde fuera que la automatización sigue viva: ese hábito de dos capas evita casi por completo los incidentes de caducidad.

Lee a continuación

Aprende de un incidente: Heartbleed (un fallo de TLS/OpenSSL que amenazó claves en todo el mundo)
Revisa tu propio sitio: auditoría de seguridad del sitio (certificado TLS, cabeceras y archivos expuestos en un solo informe)
Construye los cimientos: la lista de comprobación de seguridad básica para desarrolladores indie

FAQ

Q¿Let's Encrypt es realmente gratis y en qué se diferencia de un certificado de pago?

La emisión y la renovación son ambas gratuitas. Let's Encrypt solo hace validación de dominio (DV): comprueba automáticamente que controlas el dominio. La fuerza del cifrado es idéntica a la de un certificado de pago, y los navegadores muestran el mismo candado. La diferencia es que no hay un paso de validación de organización/extendida (OV/EV) que verifique la identidad legal de una empresa, y no incluye garantía. Para sitios personales y servicios pequeños, un certificado DV gratuito casi siempre basta para servir HTTPS.

Q¿Por qué los certificados solo son válidos 90 días? ¿No es una molestia?

La vida corta es una decisión de diseño, no una debilidad. Limita cuánto tiempo se puede abusar de una clave privada filtrada y fuerza una cultura en la que la renovación está automatizada. Para evitar la molestia, automatizas la renovación (la mayoría de las herramientas renuevan automáticamente a partir de unos 30 días antes de la caducidad). El verdadero riesgo es lo contrario: cambiar los certificados a mano una vez al año, olvidarte y dejar que uno caduque.

Q¿Qué herramientas uso para configurarlo?

Las habituales son certbot (muy usado con Apache/Nginx) y Caddy (un servidor web que sirve HTTPS y renueva automáticamente sin configurar certificados). acme.sh y Traefik también hablan ACME. Si necesitas un certificado comodín (*.example.com), lo obtienes con el método DNS-01, colocando un valor de verificación en un registro DNS.