¿Qué es Let's Encrypt y cómo funciona el SSL gratuito?

Qué es Let's Encrypt es una pregunta con la que tarde o temprano se topa casi todo el que quiere llevar su web a HTTPS. En resumen, Let's Encrypt es la autoridad de certificación gratuita más utilizada del mundo y emite certificados SSL/TLS para millones de dominios cada día. En este artículo explicamos paso a paso qué es Let's Encrypt, cómo funciona el SSL gratuito y por qué todo el proceso está tan automatizado.

Qué es Let's Encrypt

Let's Encrypt es una autoridad de certificación (CA) gratuita, automatizada y abierta operada por la organización sin fines de lucro ISRG (Internet Security Research Group). Tiene una sola misión: cifrar toda la web con HTTPS. Los certificados son gratuitos porque la ISRG financia el proyecto mediante patrocinadores y donaciones, pagando la infraestructura de forma colectiva en lugar de cobrar por certificado.

Let's Encrypt emite únicamente certificados DV (validación de dominio). Es decir, el certificado prueba que controlas el dominio; no verifica la identidad de tu empresa ni tu entidad legal. Para la gran mayoría de blogs, webs corporativas y tiendas online, eso es más que suficiente.

Cómo funciona (ACME + validación)

La magia está en el protocolo ACME (Automatic Certificate Management Environment). ACME es un estándar abierto que automatiza por completo la solicitud, validación y entrega de certificados. Se comunica entre un cliente y los servidores de Let's Encrypt sin intervención humana.

Antes de emitir un certificado, debes demostrar que realmente controlas el dominio. Hay dos métodos principales de validación:

  • HTTP-01: Let's Encrypt te entrega un token que colocas como archivo en una ruta concreta de tu servidor (/.well-known/acme-challenge/). Let's Encrypt lee ese archivo por HTTP y confirma que el dominio está bajo tu control.
  • DNS-01: añades un valor que te dan como registro TXT en tu zona DNS. Let's Encrypt consulta ese registro para validar. Este método es obligatorio cuando no puedes colocar un archivo en el servidor y para los certificados wildcard.

Cuando la validación tiene éxito, Let's Encrypt firma y entrega el certificado. Un flujo ACME típico es así:

1. Crear cuenta / generar clave
2. Enviar solicitud (order) del certificado
3. Validar: archivo HTTP-01 o registro TXT DNS-01
4. Let's Encrypt verifica
5. Certificado firmado y descargado

Para quien prefiera no hacerlo a mano, nuestro asistente SSL gratuito completa el proceso en minutos; solo introduces tu dominio y confirmas la validación.

Por qué 90 días

Los certificados de Let's Encrypt son válidos solo 90 días. Puede parecer poco, pero es una decisión de seguridad deliberada:

  1. Fomenta la automatización: una vida corta hace que la renovación manual sea poco práctica y empuja a todos hacia la automatización. Un certificado que se renueva solo es mucho más seguro que uno que caduca porque alguien lo olvidó.
  2. Limita el impacto de una clave filtrada: si tu clave privada se ve comprometida, el daño dura como mucho 90 días. Con certificados anuales esa ventana de riesgo es mucho mayor.
Los certificados de vida corta no son una debilidad para la salud de internet; al contrario, son un pilar de la seguridad moderna.

¿Es de confianza?

Sí. Los certificados de Let's Encrypt son de confianza para todos los grandes navegadores (Chrome, Firefox, Safari, Edge) y sistemas operativos. Esto se debe a que los certificados raíz de Let's Encrypt están incluidos en los almacenes de confianza (trust stores) de esas plataformas. Ofrecen la misma fuerza de cifrado (por lo general los mismos estándares TLS) que un certificado de pago, y el candado de la barra de direcciones se ve exactamente igual.

Sus límites (DV, wildcard, sin OV/EV)

Let's Encrypt es potente, pero no lo hace todo. Conocer sus límites importa:

  • Solo emite certificados DV; no ofrece OV ni EV (validación de organización/extendida). Si necesitas mostrar el nombre de la empresa en el navegador, debes acudir a una CA comercial.
  • Los certificados wildcard (*.ejemplo.com) solo se obtienen con validación DNS-01; HTTP-01 no funciona para wildcards.
  • No incluye extras comerciales como seguros, garantías o una barra de direcciones verde.

Resumen

Let's Encrypt es una autoridad de certificación DV gratuita operada por la ISRG y totalmente automatizada mediante el protocolo ACME. Valida la propiedad del dominio con HTTP-01 y DNS-01, refuerza la seguridad con certificados de vida corta de 90 días y goza de la confianza de todos los grandes navegadores. Su única desventaja es que las herramientas de línea de comandos pueden resultar complejas para principiantes. Ahí es justo donde entra nuestro asistente SSL gratuito: sin necesidad de registro, introduces tu dominio, completas la validación y descargas tus archivos CRT, KEY, CA Bundle, fullchain y PFX en un único ZIP. Aprovecha toda la potencia de Let's Encrypt en minutos, sin necesidad de conocimientos técnicos.