Cómo renovar un certificado de Let's Encrypt

Los certificados de Let’s Encrypt son válidos por 90 días. Deberías renovar antes del día 60 para darte un margen de seguridad. Aquí te mostramos cómo renovar con GetHTTPS (manual) y Certbot (automático).

Método 1: Renovar con GetHTTPS (manual)

Repite los mismos pasos que usaste para obtener el certificado original:

1. Ve a gethttps.com/app/setup
2. Introduce los mismos dominios
3. Completa un desafío HTTP-01 o DNS-01 (igual que antes)
4. Descarga los nuevos archivos del certificado
5. Reemplaza los archivos antiguos en tu servidor:

   sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem
   sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem
   sudo systemctl reload nginx  # o apache2/httpd

Tiempo: 2-3 minutos una vez que lo has hecho antes.

Cuándo usarlo: No tienes acceso al servidor para instalar Certbot, gestionas un número pequeño de dominios o prefieres no instalar software.

Método 2: Renovación automática con Certbot

Si Certbot está instalado en tu servidor, las renovaciones ocurren automáticamente:

# Verificar si la renovación automática está configurada
sudo systemctl list-timers | grep certbot

# Prueba en seco manual
sudo certbot renew --dry-run

# Forzar renovación ahora
sudo certbot renew

El timer de systemd de Certbot (o cron job) se ejecuta dos veces al día y renueva certificados dentro de los 30 días antes del vencimiento.

Cuándo usarlo: Tienes acceso root al servidor y quieres renovaciones sin intervención.

Cómo verificar cuándo expira tu certificado

# Verificar desde el servidor
openssl x509 -noout -enddate -in /etc/ssl/gethttps/fullchain.pem

# Verificar remotamente
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate

Ejemplo de salida: notAfter=Aug 5 12:00:00 2026 GMT

Configura un recordatorio

• Día 0: Certificado emitido (válido 90 días)
• Día 60: Renovar (recomendado — margen de seguridad de 30 días)
• Día 90: El certificado expira — el sitio muestra advertencia de seguridad

Configura un recordatorio en el calendario para el día 60. Si gestionas múltiples dominios, usa un servicio de monitoreo para alertar sobre vencimientos próximos.

Paso a paso: renovación con GetHTTPS

Aquí está el proceso exacto para la renovación manual:

1. Verifica el vencimiento actual (opcional pero buena práctica):

   echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate

2. Ve a gethttps.com/app/setup

3. Introduce los mismos dominios que el certificado original

4. Completa el desafío — igual que la primera vez:

   • HTTP-01: coloca el nuevo archivo de token en tu servidor
   • DNS-01: actualiza el registro TXT _acme-challenge con el nuevo valor

5. Descarga los nuevos archivos del certificado

6. Reemplaza en tu servidor:

   sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem
   sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem

7. Recarga el servidor web (no reiniciar — recargar aplica los nuevos archivos sin cortar conexiones existentes):

   sudo systemctl reload nginx    # Nginx
   sudo systemctl reload apache2  # Apache/Debian
   sudo systemctl reload httpd    # Apache/CentOS

8. Verifica que el nuevo certificado esté activo:

   echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates

Tiempo total: 2-3 minutos una vez que lo has hecho antes.

Comparación de renovación: manual vs automática

Para servidores en producción con acceso root, configura Certbot para renovación automática. Para entornos sin acceso root, la renovación manual con GetHTTPS es la única opción.

El futuro de 47 días

El CA/Browser Forum votó reducir la validez máxima de certificados:

Para 2029, necesitarás renovar aproximadamente cada 30-35 días. Esto hace que la renovación automática (Certbot) sea cada vez más importante. Para flujos de trabajo manuales (GetHTTPS), considera configurar recordatorios más frecuentes.

Preguntas frecuentes

¿Puedo renovar antes de que expire el certificado?

Sí. Let’s Encrypt permite la renovación en cualquier momento. El nuevo certificado comienza con un nuevo período de validez de 90 días. La renovación anticipada no desperdicia el tiempo restante; simplemente reemplaza el certificado anterior.

¿Necesito volver a hacer el desafío cada vez?

Sí. Cada renovación requiere un nuevo desafío de validación de dominio. Esta es una medida de seguridad: confirma que aún controlas el dominio.

¿La renovación causará tiempo de inactividad?

No, si se hace correctamente. Sube los nuevos archivos y recarga (no reinicies) el servidor web. nginx -s reload y apachectl graceful aplican los nuevos certificados a las nuevas conexiones sin interrumpir las existentes.

¿Puedo usar GetHTTPS para el primer certificado y Certbot para las renovaciones?

Sí. Los archivos del certificado son formato PEM estándar. Puedes generar el primer certificado con GetHTTPS, luego instalar Certbot para renovación automática continua. No entran en conflicto. Comparativa detallada →

¿Qué pasa si me pasé de la fecha de renovación y mi certificado expiró?

Tu sitio muestra una advertencia de seguridad del navegador, pero la solución es simple: ve a GetHTTPS, obtén un nuevo certificado, reemplaza los archivos, recarga el servidor. Tarda 5 minutos. No hay penalización de Let’s Encrypt por dejar que un certificado expire; simplemente obtén uno nuevo.

¿Necesito usar el mismo par de claves al renovar?

No. GetHTTPS genera un nuevo par de claves cada vez, lo cual es una mejor práctica de seguridad (rotación de claves). Al servidor no le importa si el nuevo certificado usa una clave diferente; simplemente reemplaza tanto fullchain.pem como privkey.pem juntos.

¿Cómo renuevo un certificado comodín?

El mismo proceso que la emisión inicial: visita GetHTTPS, introduce *.example.com, añade el nuevo registro TXT _acme-challenge en DNS, verifica, descarga. Necesitas acceso DNS cada vez porque los certificados comodín requieren DNS-01.