Let's Encrypt es una autoridad de certificación sin fines de lucro administrada por el Grupo de Investigación de Seguridad en Internet (ISRG) que proporciona certificados X.509 para el cifrado de Seguridad de la Capa de Transporte (TLS) sin cobrar tarifas. Es la autoridad de certificación más grande del mundo, [ 3 ] utilizada por más de 700 millones de sitios web , [ 4 ] con el objetivo de crear una web más segura y respetuosa con la privacidad a través de la adopción generalizada de HTTPS . El Grupo de Investigación de Seguridad en Internet , el proveedor del servicio, es una organización de beneficio público . [ 5 ] Entre los principales patrocinadores del ISRG se encuentran la Electronic Frontier Foundation (EFF), la Fundación Mozilla , OVHcloud , Cisco Systems , Facebook , Google Chrome , la Internet Society , AWS , Nginx y la Fundación Gates . [ 6 ] Otros socios incluyen la autoridad de certificación IdenTrust , [ 7 ] la Universidad de Michigan , [ 8 ] y la Linux Foundation . [ 9 ]
Descripción general


La misión de la organización es crear una World Wide Web más segura y respetuosa de la privacidad mediante la promoción de la adopción generalizada de HTTPS. [ 10 ] Los certificados Let's Encrypt son válidos por 90 días por defecto, durante los cuales se puede renovar en cualquier momento. [ 11 ] Opcionalmente, se pueden emitir certificados válidos por 45 días (perfil tlsserver) y 6 días (perfil shortlifed). [ 12 ] [ 13 ] Esto se gestiona mediante un proceso automatizado diseñado para superar la creación, validación , firma , instalación y renovación manual de certificados para sitios web seguros. [ 14 ] [ 15 ] El proyecto afirma que su objetivo es hacer que las conexiones cifradas a los servidores de la World Wide Web sean omnipresentes. [ 16 ] Al eliminar el pago, la configuración del servidor web, la gestión del correo electrónico de validación y las tareas de renovación de certificados, se pretende reducir significativamente la complejidad de configurar y mantener el cifrado TLS. [ 17 ]
En un servidor web Linux , la ejecución de solo dos comandos es suficiente para configurar el cifrado HTTPS y adquirir e instalar certificados. [ 18 ] [ 19 ] Con ese fin, se incluyó un paquete de software en los repositorios oficiales de software de Debian y Ubuntu . [ 20 ] [ 21 ] Las iniciativas actuales de los principales desarrolladores de navegadores, como Mozilla y Google, para desaprobar el HTTP sin cifrar , cuentan con la disponibilidad de Let's Encrypt. [ 22 ] [ 23 ] Se reconoce que el proyecto tiene el potencial de lograr conexiones cifradas como el caso predeterminado para toda la Web. [ 24 ]
El servicio solo emite certificados con validación de dominio , ya que pueden automatizarse por completo. Los certificados de validación de organización y de validación extendida requieren la validación humana de cualquier registrante y, por lo tanto, Let's Encrypt no los ofrece. [ 25 ] La compatibilidad con ACME v2 y los certificados comodín se agregó en marzo de 2018. [ 26 ] La validación de dominio (DV) utilizada por Let's Encrypt data de 2002 y fue inicialmente controvertida cuando la introdujo GeoTrust antes de convertirse en un método ampliamente aceptado para la emisión de certificados SSL. [ 27 ]
Al ser lo más transparente posible, la organización espera proteger su propia confiabilidad y evitar ataques e intentos de manipulación. Para ello, publica regularmente informes de transparencia, [ 28 ] registra públicamente todas las transacciones de ACME (por ejemplo, mediante el uso de Certificate Transparency ) y utiliza estándares abiertos y software libre en la medida de lo posible. [ 18 ]
Historia
El proyecto Let's Encrypt fue iniciado en 2012 por dos empleados de Mozilla, Josh Aas y Eric Rescorla, junto con Peter Eckersley de la Electronic Frontier Foundation y J. Alex Halderman de la Universidad de Michigan . Internet Security Research Group , la empresa detrás de Let's Encrypt, se constituyó en mayo de 2013. [ 8 ]
Let's Encrypt se anunció públicamente el 18 de noviembre de 2014. [ 29 ]
El 28 de enero de 2015, el protocolo ACME se presentó oficialmente al IETF para su estandarización. [ 30 ] El 9 de abril de 2015, el ISRG y la Linux Foundation declararon su colaboración. [ 9 ] Los certificados raíz e intermedios se generaron a principios de junio. [ 31 ] El 16 de junio de 2015, se anunció el calendario de lanzamiento final del servicio, con la expectativa de que el primer certificado se emitiera en algún momento de la semana del 27 de julio de 2015, seguido de un período de emisión limitado para probar la seguridad y la escalabilidad. La disponibilidad general del servicio estaba prevista inicialmente para comenzar en algún momento de la semana del 14 de septiembre de 2015. [ 32 ] El 7 de agosto de 2015, el calendario de lanzamiento se modificó para disponer de más tiempo para garantizar la seguridad y la estabilidad del sistema, y el primer certificado se emitiría en la semana del 7 de septiembre de 2015, seguido de la disponibilidad general en la semana del 16 de noviembre de 2015. [ 33 ]
El 14 de septiembre de 2015, Let's Encrypt emitió su primer certificado, que correspondía al dominio helloworld.letsencrypt.org .
El 19 de octubre de 2015, los certificados intermedios pasaron a estar firmados de forma cruzada por IdenTrust , lo que provocó que todos los certificados emitidos por Let's Encrypt fueran de confianza para todos los navegadores principales. [ 7 ]
El 12 de noviembre de 2015, Let's Encrypt anunció que la disponibilidad general se retrasaría y que la primera beta pública comenzaría el 3 de diciembre de 2015. [ 35 ] La beta pública se desarrolló desde el 3 de diciembre de 2015 [ 36 ] hasta el 12 de abril de 2016. [ 37 ] Se lanzó el 12 de abril de 2016. [ 38 ] [ 39 ] [ 5 ]
El 3 de marzo de 2020, Let's Encrypt anunció que tendría que revocar más de 3 millones de certificados el 4 de marzo, debido a una falla en su software de Autoridad de Certificación. [ 40 ] Al trabajar con proveedores de software y contactar a los operadores de sitios, Let's Encrypt logró que 1,7 millones de los certificados afectados se renovaran antes de la fecha límite. Finalmente, decidieron no revocar los certificados afectados restantes, ya que el riesgo de seguridad era bajo y los certificados expirarían en los próximos 90 días. [ 41 ] El evento de revocación masiva aumentó significativamente la tasa de revocación global. [ 42 ]
En marzo de 2020, Let's Encrypt recibió el premio anual de la Free Software Foundation a los proyectos de beneficio social. [ 43 ]
El 27 de febrero de 2020, Let's Encrypt anunció haber emitido mil millones de certificados. [ 44 ]
En abril de 2022, Let's Encrypt recibió el Premio Levchin por “mejoras fundamentales al ecosistema de certificados que proporcionan certificados gratuitos para todos”. [ 45 ]
A partir de 2025, Let's Encrypt presta servicios a más de 700 millones de sitios web en todo el mundo, lo que la convierte en la mayor autoridad de certificación del mundo. [ 4 ]
En enero de 2025, Let's Encrypt anunció la retirada de sus notificaciones gratuitas de caducidad de certificados por correo electrónico y recomendó Red Sift Certificates Lite como su servicio de monitorización de certificados. [ 46 ] [ 47 ]
Tecnología
Cadena de confianza
ISRG Root X1 (RSA)
En junio de 2015, Let's Encrypt anunció la generación de su primer certificado raíz RSA , ISRG Root X1. [ 48 ] El certificado raíz se utilizó para firmar dos certificados intermedios , [ 48 ] que también están firmados de forma cruzada por la autoridad de certificación IdenTrust . [ 7 ] [ 49 ] Uno de los certificados intermedios se utiliza para firmar los certificados emitidos, mientras que el otro se mantiene fuera de línea como copia de seguridad en caso de problemas con el primer certificado intermedio. [ 48 ] Debido a que el certificado IdenTrust ya era ampliamente confiable para los principales navegadores web, los certificados de Let's Encrypt normalmente pueden ser validados y aceptados por las partes confiables [ 31 ] incluso antes de que los proveedores de navegadores incluyan el certificado raíz ISRG como un ancla de confianza .
ISRG Root X2 (ECDSA)
Los desarrolladores de Let's Encrypt planearon generar una clave raíz ECDSA en 2015, [ 48 ] pero luego pospusieron el plan a principios de 2016, luego a 2019 y finalmente a 2020. El 3 de septiembre de 2020, Let's Encrypt emitió seis nuevos certificados: una nueva raíz ECDSA llamada "ISRG Root X2", cuatro intermedios y una firma cruzada. El nuevo ISRG Root X2 está firmado cruzadamente con ISRG Root X1, el certificado raíz propio de Let's Encrypt. Let's Encrypt no emitió un respondedor OCSP para los nuevos certificados intermedios y, en su lugar, planea depender únicamente de las listas de revocación de certificados (CRL) para recuperar los certificados comprometidos y períodos de validez cortos para reducir el riesgo de compromiso de certificados. [ 50 ]
Protocolo ACME
El protocolo de desafío-respuesta utilizado para automatizar el registro ante la autoridad de certificación se denomina Entorno Automático de Gestión de Certificados (ACME). Este protocolo puede consultar servidores web o servidores DNS controlados por el dominio cubierto por el certificado que se va a emitir. En función de si las respuestas resultantes coinciden con las expectativas, se garantiza el control del dominio por parte del solicitante (validación de dominio). El software cliente de ACME puede configurar un servidor TLS dedicado que recibe consultas del servidor de la autoridad de certificación ACME mediante solicitudes con Indicación de Nombre de Servidor (Validación de Dominio mediante Indicación de Nombre de Servidor, DVSNI), o bien puede utilizar ganchos para publicar las respuestas en servidores web y DNS existentes.
Los procesos de validación se ejecutan varias veces a través de rutas de red independientes. La comprobación de si las entradas DNS están configuradas se realiza desde múltiples ubicaciones geográficas distintas para dificultar los ataques de suplantación de DNS .
Las interacciones ACME se basan en el intercambio de documentos JSON a través de conexiones HTTPS. [ 51 ] La especificación desarrollada por el Grupo de Trabajo de Ingeniería de Internet (IETF) es un estándar propuesto, RFC 8555. [ 52 ]
Antes de la finalización y publicación de la RFC 8555, Let's Encrypt implementó un borrador preestándar del protocolo ACME. La RFC 8555 introdujo cambios incompatibles y, por ello, se la denominó ACMEv2. Let's Encrypt implementó la nueva versión y comenzó a impulsar a los clientes existentes a actualizarse. Esta estrategia se implementó mediante interrupciones intermitentes del servicio de la API ACMEv1. El fin de su ciclo de vida se anunció con fechas y fases en el documento "Plan de fin de ciclo de vida para ACMEv1". [ 53 ] Desde el 8 de noviembre de 2019, ACMEv1 ya no acepta nuevos registros de cuentas. Desde junio de 2020, ACMEv1 dejó de aceptar nuevas validaciones de dominio. A partir de enero de 2021, ACMEv1 sufrió interrupciones de servicio de 24 horas . La API ACMEv1 se desactivó por completo el 1 de junio de 2021. [ 54 ]
Implementación de software

La autoridad de certificación consiste en un software llamado Boulder, escrito en Go , que implementa el lado del servidor del protocolo ACME . Se publica como software libre con código fuente bajo los términos de la versión 2 de la Licencia Pública de Mozilla (MPL). [ 55 ] Proporciona una API RESTful a la que se puede acceder a través de un canal cifrado con TLS.
Un programa de gestión de certificados Python con licencia Apache [ 56 ] llamado certbot (anteriormente letsencrypt ) se instala en el lado del cliente (el servidor web de un inscrito). Este se utiliza para solicitar el certificado, realizar el proceso de validación del dominio, instalar el certificado, configurar el cifrado HTTPS en el servidor HTTP y, posteriormente, renovar el certificado periódicamente. [ 18 ] [ 57 ] Después de la instalación y de aceptar la licencia de usuario, basta con ejecutar un solo comando para obtener un certificado válido instalado. También se pueden habilitar opciones adicionales como OCSP stapling o HTTP Strict Transport Security (HSTS). [ 51 ] La configuración automática inicialmente solo funciona con Apache y nginx .
Let's Encrypt emite certificados válidos por 90 días. La razón aducida es que estos certificados "limitan los daños derivados de la vulneración y la emisión errónea de claves" y fomentan la automatización. [ 58 ]
Inicialmente, Let's Encrypt desarrolló su propio cliente ACME , Certbot , como implementación oficial. Este se transfirió a Electronic Frontier Foundation y su nombre, "letsencrypt", se cambió a "certbot". Existe una amplia selección de clientes y proyectos ACME para diversos entornos desarrollados por la comunidad. [ 59 ]
Véase también
Lecturas adicionales
- Barnes, R.; Hoffman-Andrews, J.; McCarney, D.; Kasten, J. (marzo de 2019). Entorno de gestión automática de certificados (ACME) RFC 8555. IETF .
Referencias
- ↑ Aas, Josh (31 de diciembre de 2019). "Esperando con ansias el 2019" . Let's Encrypt . Recuperado el 26 de enero de 2019 .
- ↑ "Construyendo una mejor Internet - Informe anual de ISRG 2023" (PDF) . Grupo de Investigación en Seguridad de Internet . 27 de diciembre de 2023. Consultado el 27 de mayo de 2024 .
- ↑ "Por una mejor Internet - Informe anual de ISRG 2020" (PDF) . Grupo de Investigación sobre Seguridad en Internet . 17 de noviembre de 2020. Consultado el 11 de mayo de 2021 .
- 1 2 "Estadísticas de Let's Encrypt - Let's Encrypt - Certificados SSL/TLS gratuitos" . letsencrypt.org . Consultado el 20 de marzo de 2026 .
- 1 2 "Acerca de Let's Encrypt" . Let's Encrypt.
- ↑ "Patrocinadores y financiadores actuales" . Let's Encrypt.
- 1 2 3 Aas, Josh (19 de octubre de 2015). "Let's Encrypt es confiable" .
- 1 2 Aas, Josh (18 de noviembre de 2014). "Let's Encrypt | Boom Swagger Boom" . Boomswaggerboom.wordpress.com. Archivado del original el 8 de diciembre de 2015. Recuperado el 6 de enero de 2016 .
- 1 2 Kerner, Sean Michael (9 de abril de 2015). "Let's Encrypt se convierte en un proyecto colaborativo de la Fundación Linux" . eWeek . QuinStreet Enterprise.
- ↑ "Let's Encrypt - Preguntas frecuentes" . Let's Encrypt . Consultado el 11 de mayo de 2021 .
- ↑ "¿Por qué noventa días de validez para los certificados? - Let's Encrypt" . letsencrypt.org . 9 de noviembre de 2015. Consultado el 5 de septiembre de 2021 .
- ↑ Matthew, McPherrin (2 de diciembre de 2025). "Reducción de la duración de los certificados a 45 días" . Let's Encrypt . Consultado el 3 de marzo de 2026 .
- ↑ Matthew, McPherrin (15 de enero de 2026). "Los certificados de 6 días y de dirección IP están generalmente disponibles" . Let's Encrypt . Consultado el 3 de marzo de 2026 .
- ↑ Kerner, Sean Michael (18 de noviembre de 2014). "La iniciativa Let's Encrypt busca mejorar la seguridad en Internet" . eWeek.com . Quinstreet Enterprise. Archivado del original el 13 de diciembre de 2016. Consultado el 27 de febrero de 2015 .
- ↑ Eckersley, Peter (18 de noviembre de 2014). "Lanzamiento en 2015: Una autoridad de certificación para cifrar toda la web" . Electronic Frontier Foundation . Consultado el 27 de febrero de 2015 .
- ↑ "Cómo funciona" . Let's Encrypt . Consultado el 9 de julio de 2016 .
- ↑ Tung, Liam (19 de noviembre de 2014). "EFF y Mozilla lanzarán cifrado de sitios web gratuito con un solo clic" . ZDNet . CBS Interactive.
- ^ Fabián Scherschel (19 de noviembre de 2014) . "Let's Encrypt: Mozilla und die EFF mischen den CA-Markt auf" (en alemán). heise.de.
- ↑ Marvin, Rob (19 de noviembre de 2014). "La EFF quiere que HTTPS sea el protocolo predeterminado" . Software Development Times . BZ Media. Archivado del original el 17 de junio de 2016. Recuperado el 27 de mayo de 2019 .
- ↑ Marier, Francois (1 de enero de 2015). "ITP: letsencrypt – Cliente Let's Encrypt que puede actualizar las configuraciones de Apache" . Registros de informes de errores de Debian .
- ↑ "python-letsencrypt" . Rastreador de paquetes de Debian . 27 de mayo de 2015.
- ↑ Barnes, Richard (30 de abril de 2015). "Descontinuando HTTP no seguro" . Blog de seguridad de Mozilla . Mozilla.
- ↑ "Marcar HTTP como no seguro" . Los proyectos de Chromium .
- ↑ Moody, Glyn (25 de noviembre de 2014). "La próxima guerra contra el cifrado, Tor y las VPN" . Computerworld UK . IDG UK.
- ↑ Vaughan-Nichols, Steven J. (9 de abril de 2015). "Protegiendo la web de una vez por todas: El proyecto Let's Encrypt" . ZDNet . CBS Interactive.
- ↑ Aas, Josh (13 de marzo de 2018). "ACME v2 y la compatibilidad con certificados comodín ya están disponibles" . Let's Encrypt . Consultado el 24 de mayo de 2018 .
- ↑ "Hay certificados y certificados: VeriSign critica a sus rivales" . www.theregister.com . Consultado el 20 de agosto de 2020 .
- ↑ Zorz, Zeljka (6 de julio de 2015). "Let's Encrypt CA publica informe de transparencia antes de su primer certificado" . Help Net Security .
- ↑ Joseph Tsidulko (18 de noviembre de 2014). "Let's Encrypt, una autoridad de certificación gratuita y automatizada, sale del modo sigiloso" . crn.com . Consultado el 26 de agosto de 2015 .
- ↑ Historial de draft-barnes-acme
- ^ Reiko Kaps (5 de junio de 2015). "Let's Encrypt: Meilenstein zu kostenlosen SSL-Zertifikaten für alle" (en alemán). heise.de.
- ↑ Josh Aas (16 de junio de 2015). "Calendario de lanzamiento de Let's Encrypt" . letsencrypt.org . Let's Encrypt . Consultado el 19 de junio de 2015 .
- ↑ "Calendario de lanzamiento actualizado de Let's Encrypt" . 7 de agosto de 2015.
- ↑ Michael Mimoso (15 de septiembre de 2015). "Se lanza el primer certificado gratuito de Let's Encrypt" . Threatpost.com, Kaspersky Labs . Consultado el 16 de septiembre de 2015 .
- ↑ "Beta pública: 3 de diciembre de 2015" . 12 de noviembre de 2015.
- ↑ "Entrando en la beta pública – Let's Encrypt – Certificados SSL/TLS gratuitos" . Let's Encrypt. 3 de diciembre de 2015. Consultado el 6 de enero de 2016 .
- ↑ "Let's Encrypt abandona la fase beta" . LinuxFoundation.org . Archivado del original el 15 de abril de 2016. Consultado el 17 de abril de 2016 .
- ↑ Josh Aas; Director Ejecutivo de ISRG (12 de abril de 2016). "Abandonando la versión beta, nuevos patrocinadores" . EFF . Consultado el 12 de abril de 2016 .
- ↑ Catalin Cimpanu (12 de abril de 2016). "Let's Encrypt se lanza hoy y actualmente protege 3,8 millones de dominios" . Softpedia News . Consultado el 12 de abril de 2016 .
- ↑ "Revocación de ciertos certificados el 4 de marzo" . 3 de marzo de 2020. Consultado el 4 de marzo de 2020 .
- ↑ Barrett, Brian (9 de marzo de 2020). "Internet evitó un pequeño desastre la semana pasada" . Wired . Conde Nast . Consultado el 12 de mayo de 2020 .
- ↑ Korzhitskii, Nikita; Carlsson, Niklas (2021). "Estados de revocación en Internet". arXiv : 2102.04288 [ cs.NI ].
- ↑ Let's Encrypt, Jim Meyering y Clarissa Lima Borges reciben los premios Free Software Awards 2019 de la FSF (Free Software Foundation, 2020).
- ↑ "Let's Encrypt ha emitido mil millones de certificados - Let's Encrypt - Certificados SSL/TLS gratuitos" . letsencrypt.org . 27 de febrero de 2020. Consultado el 3 de abril de 2021 .
- ↑ "El Premio Levchin de Criptografía en el Mundo Real" . Simposio de Criptografía en el Mundo Real . Asociación Internacional para la Investigación Criptológica . Consultado el 9 de abril de 2024 .
- ↑ Powar, Rahul (22 de enero de 2025). "Red Sift se convierte en el servicio de monitoreo de certificados recomendado por Let's Encrypt" . Blog de Red Sift . Consultado el 12 de junio de 2025 .
- ↑ "Let's Encrypt recomienda Red Sift como su servicio de monitoreo de certificados" . redsift.com . Consultado el 12 de junio de 2025 .
- 1 2 3 4 Aas, Josh (4 de junio de 2015). "Certificados raíz e intermedios de Let's Encrypt" . Let's Encrypt .
- ↑ Reiko Kaps (17 de junio de 2015). "SSL-Zertifizierungsstelle Lets Encrypt se publicará en septiembre de 2015 öffnen" (en alemán). heise.de.
- ↑ Gable, Aaron (17 de septiembre de 2020). "Nuevos certificados raíz e intermedios de Let's Encrypt" . Let's Encrypt . Consultado el 22 de septiembre de 2020 .
- 1 2 Brook, Chris (18 de noviembre de 2014). "EFF y otros planean hacer que el cifrado de la web sea más fácil en 2015" . Threatpost: El servicio de noticias de seguridad de Kaspersky Lab .
- ↑ R. Barnes, J. Hoffman-Andrews, D. McCarney y J. Kasten (marzo de 2019). "Entorno de gestión automática de certificados (ACME)" . RFC 8555 .
{{cite web}}: CS1 maint: varios nombres: lista de autores ( enlace ) - ↑ "Plan de fin de vida útil para ACMEv1" . Soporte de la comunidad de Let's Encrypt . 11 de marzo de 2019. Consultado el 20 de agosto de 2020 .
- ↑ "Plan de fin de vida útil para ACMEv1 - Anuncios de API" . Soporte de la comunidad de Let's Encrypt . 5 de mayo de 2021. Consultado el 12 de mayo de 2021 .
- ↑ letsencrypt. "boulder/LICENSE.txt en master · letsencrypt/boulder · GitHub" . Github.com . Consultado el 6 de enero de 2016 .
- ↑ letsencrypt (23 de noviembre de 2015). "letsencrypt/LICENSE.txt en master · letsencrypt/letsencrypt · GitHub" . Github.com . Consultado el 6 de enero de 2016 .
- ↑ Sanders, James (25 de noviembre de 2014). "La iniciativa Let's Encrypt proporcionará certificados de cifrado gratuitos" . TechRepublic . CBS Interactive.
- ↑ Aas, Josh (9 de noviembre de 2015). "¿Por qué noventa días de validez para los certificados?" . Let's Encrypt . Consultado el 26 de junio de 2016 .
- ↑ "Implementaciones de cliente ACME - Let's Encrypt - Certificados SSL/TLS gratuitos" . letsencrypt.org . Consultado el 20 de agosto de 2020 .
Enlaces externos
- Sitio web oficial
- Certbot
- Let's Encrypt en GitHub
- Conferencia de Seth Schoen en Libre Planet 2015 sobre Let's Encrypt
- Charla de Peter Eckersley sobre Let's Encrypt en CCCamp 2015.
- Lista de certificados emitidos por Let's Encrypt
- Estadísticas de Let's Encrypt : gráficos interactivos de los certificados Let's Encrypt emitidos por día.
- Propiedades de Internet establecidas en 2014
- Autoridades certificadoras
- Seguridad de la capa de transporte
- Proyectos de la Fundación Linux
- Comunicación segura
- Mozilla