Let’s Encrypt es una Autoridad Certificadora gratuita, automatizada y sin ánimo de lucro (CA) que emite certificados SSL/TLS sin costo. Es la CA más grande del mundo con una cuota de mercado del 63,9% y ha emitido más de mil millones de certificados desde su lanzamiento en 2016.
Let’s Encrypt es operada por el Internet Security Research Group (ISRG), con el apoyo de Mozilla, Google, EFF, Facebook y otros.
Cómo funciona Let’s Encrypt
Let’s Encrypt usa el protocolo ACME (Automated Certificate Management Environment, RFC 8555) para automatizar la emisión de certificados:
- Probar la propiedad del dominio — Completar un desafío (HTTP-01 o DNS-01) para demostrar que controlas el dominio
- Enviar un CSR — Tu cliente ACME envía una Solicitud de Firma de Certificado con tu clave pública
- Recibir el certificado — Let’s Encrypt firma y devuelve la cadena de certificados
- Instalar y renovar — Desplegar el certificado; renovar cada 90 días
Todo el proceso es automatizado — sin correos, sin papeleo, sin pagos. Los clientes ACME como GetHTTPS, Certbot y acme.sh manejan el protocolo por ti.
Por qué es gratuito
La misión de Let’s Encrypt es hacer HTTPS universal. Modelo de ingresos:
- Patrocinado por grandes empresas tecnológicas (Google, Mozilla, Meta, Cisco, EFF, etc.)
- Los costos operativos son modestos — casi todo está automatizado
- Sin personal de soporte para usuarios individuales — solo foro comunitario
- Solo emite certificados DV — sin verificación de identidad compleja que realizar
Esto no es «gratis como en freemium». No hay niveles de pago, no hay ventas adicionales, no hay límites diseñados para empujarte a un plan de pago. Es gratis porque el cifrado debería ser una línea base, no un lujo.
Límites de tasa
Let’s Encrypt tiene límites de tasa para prevenir abuso, pero son lo suficientemente generosos para cualquier uso legítimo:
| Límite | Valor | Notas |
|---|---|---|
| Certificados por dominio registrado | 50 por semana | Cubre example.com y todos los subdominios |
| Certificados duplicados | 5 por semana | Mismo conjunto exacto de nombres de dominio |
| Validaciones fallidas | 5 por hora | Por cuenta, por nombre de host |
| Nuevos registros | 10 por IP cada 3 horas | Creación de cuenta ACME |
| Autorizaciones pendientes | 300 por cuenta | Desafíos incompletos concurrentes |
Para pruebas, usa el entorno de staging de Let’s Encrypt — tiene límites mucho más altos y emite certificados de prueba (no confiables por navegadores).
Lo que Let’s Encrypt no ofrece
- Certificados OV/EV — solo Validación de Dominio (DV)
- Soporte dedicado — solo foro comunitario
- Garantía — sin garantía financiera contra emisión incorrecta
- Panel de gestión de certificados — para eso están los clientes ACME
- Certificados de más de 90 días — por diseño (la validez corta limita la exposición si una clave se ve comprometida)
Para la mayoría de los sitios web, nada de esto es necesario. Los certificados DV proporcionan el mismo cifrado que OV/EV. Consulta nuestra comparación de Let’s Encrypt vs SSL de pago.
Cómo usar Let’s Encrypt
No interactúas con Let’s Encrypt directamente — usas un cliente ACME:
| Cliente | Cómo funciona | Ideal para |
|---|---|---|
| GetHTTPS | Basado en navegador, sin instalación, clave permanece local | Certificados rápidos sin acceso al servidor |
| Certbot | Herramienta CLI, renovación automática, integración con servidor | Servidores de producción con acceso root |
| acme.sh | Script shell, sin necesidad de root | Alternativa CLI ligera |
| Caddy | ACME integrado, HTTPS automático | Usuarios del servidor web Caddy |
Comparación completa de herramientas SSL gratuitas →
Preguntas frecuentes
¿Let’s Encrypt es seguro?
Sí. Los certificados de Let’s Encrypt usan los mismos estándares criptográficos que los certificados de pago. Son confiables para todos los navegadores y sistemas operativos principales. Más de 300 millones de certificados activos protegen una parte significativa de la web.
¿Por qué certificados de 90 días?
La validez corta limita el daño si una clave privada se ve comprometida — un atacante solo puede usar una clave robada hasta que el certificado expire. También fomenta la automatización, que es más confiable que la renovación manual. Nota: el CA/Browser Forum está moviendo a todas las CAs hacia una validez de 47 días para 2029.
¿Puedo usar Let’s Encrypt para sitios web comerciales?
Sí. No hay restricción de uso comercial. Los certificados de Let’s Encrypt son usados por grandes empresas, productos SaaS y sitios de comercio electrónico. La licencia no impone limitaciones de uso.
¿Qué pasa si Let’s Encrypt se cae?
Los certificados existentes siguen funcionando hasta que expiran — no llaman a casa. Simplemente no puedes emitir ni renovar durante una interrupción. Let’s Encrypt tiene un sólido historial de tiempo de actividad y está respaldado por patrocinadores bien financiados. Si te preocupa, mantén los certificados renovados bien antes del vencimiento (día 60 de 90).
¿Let’s Encrypt soporta certificados comodín?
Sí. Los certificados comodín (*.example.com) son soportados vía el desafío DNS-01. Necesitas añadir un registro TXT al DNS de tu dominio para probar la propiedad.
Let’s Encrypt en números
| Métrica | Valor |
|---|---|
| Certificados activos | Más de 300 millones |
| Cuota de mercado global de CAs | 63,9% |
| Certificados emitidos en total | Más de mil millones |
| Tipo de certificado | Solo DV |
| Validez | 90 días |
| Costo | Gratis |
| Patrocinadores | Google, Mozilla, Meta, Cisco, EFF, Akamai y otros |
| Fundado | 2013 (ISRG), lanzamiento público 2016 |
| Protocolo | ACME (RFC 8555) |
| CA raíz | ISRG Root X1 |
Por qué algunas personas desconfían de Let’s Encrypt (y por qué están equivocadas)
«Gratis = menos seguro» — La fortaleza del cifrado está definida por la especificación TLS, no por la CA. Todas las CAs usan los mismos algoritmos. Comparación gratuito vs de pago →
«Sin garantía = riesgoso» — Las garantías de las CA cubren errores de emisión incorrecta de la CA, no que tu sitio sea hackeado. Ningún pago significativo de garantía se ha documentado públicamente.
«Certificados de 90 días = poco confiable» — La validez corta es una característica de seguridad, no una limitación. La renovación automatizada (Certbot) hace esto invisible.
«Los sitios de phishing usan Let’s Encrypt» — Cierto, pero los sitios de phishing también usan certificados de pago. Los certificados DV verifican el control del dominio, no la legitimidad del sitio. Esto es por diseño — el cifrado protege los datos en tránsito independientemente de la intención del sitio.