Los certificados SSL/TLS mantienen seguros tu sitio web y tus servicios, pero gestionarlos manualmente es tedioso y arriesgado. Ahí es donde entra en juego el protocolo ACME.
Abreviatura de Entorno Automatizado de Gestión de Certificados, ACME automatiza la emisión, renovación y revocación de certificados, eliminando el trabajo manual y reduciendo la posibilidad de que los certificados caducados desconecten tu sitio.

Desarrollado originalmente por el Grupo de Investigación sobre Seguridad en Internet (ISRG) para Let’s Encrypt, ACME se ha convertido en una norma del sector que funciona con múltiples autoridades de certificación y que ahora utilizan organizaciones de todo el mundo.
Este cambio es cada vez más importante, ya que la duración de los certificados sigue reduciéndose. La validez máxima pasó a 200 días a partir de marzo de 2026, baja a 100 días a partir de marzo de 2027, y llega a sólo 47 días a partir del 15 de marzo de 2029. En ese momento, la gestión manual de certificados ya no es práctica a ninguna escala.
Índice
- ¿Qué es ACME?
- Cómo funciona el Protocolo ACME
- Tipos de certificado admitidos por ACME
- Ventajas de utilizar ACME
- Configurar un cliente ACME
- ACME frente a otros protocolos de inscripción
¡Ahorra un 10% en Certificados SSL al hacer tu pedido en SSL Dragon hoy mismo!
Emisión rápida, encriptación fuerte, 99,99% de confianza del navegador, soporte dedicado y garantía de devolución del dinero en 25 días. Código del cupón: AHORRA10
¿Qué es el Protocolo ACME?
El protocolo ACME, o Entorno Automatizado de Gestión de Certificados, automatiza el ciclo de vida completo de los certificados SSL/TLS. Elimina los pasos manuales utilizando una comunicación estandarizada entre los clientes ACME y las autoridades de certificación para gestionar la emisión, validación, instalación, renovación y revocación.
El protocolo utiliza una arquitectura cliente-servidor en la que un cliente ACME (instalado en tu servidor) se comunica con un servidor ACME (operado por una autoridad de certificación) para solicitar, validar y gestionar certificados sin intervención humana. Esta automatización evita que caduquen los certificados, reduce los riesgos de seguridad y libera a los equipos informáticos de tareas manuales repetitivas.
Evolución del Protocolo ACME
El Grupo de Investigación sobre Seguridad en Internet creó ACME específicamente para Let’s Encrypt, la autoridad de certificación pública gratuita que se lanzó en 2015. La primera versión, ACME v1, salió en 2016 y demostró que el concepto funcionaba a escala.
En 2018, ACME v2 llegó con importantes mejoras. Añadió compatibilidad con certificados comodín (que cubren todos los subdominios de un dominio) e introdujo la validación DNS TXT para reforzar la seguridad. ACME v2 se convirtió en la norma oficial cuando el IETF publicó el RFC 8555, y ACME v1 se eliminó gradualmente en 2021.
Como ACME es de código abierto, ha sido adoptado por autoridades públicas de certificación y proveedores de PKI de todo el sector. No estás atado a una sola CA: puedes elegir entre varios proveedores o cambiar de uno a otro según cambien tus necesidades. Esta flexibilidad es una de las razones por las que ACME se ha convertido en el protocolo de referencia para la gestión automatizada de certificados.
Cómo funciona el Protocolo ACME
ACME utiliza un modelo cliente-servidor. Un cliente ACME se ejecuta en tu servidor o dispositivo y se comunica con un servidor ACME operado por una autoridad de certificación. Todo el intercambio utiliza mensajes JSON enviados a través de HTTPS, por lo que es seguro y normalizado.
Éste es el flujo de trabajo básico:
- Selecciona tu agente y dominio. Instala un cliente ACME (como Certbot o Caddy) en tu servidor e indícale qué dominio quieres asegurar.
- Elige una CA. Dirige a tu cliente a una autoridad de certificación compatible con ACME: DigiCert, Sectigo o cualquier otra CA que admita el protocolo.
- Genera un par de claves y una CSR. El cliente crea una clave privada y una solicitud de firma de certificado (CSR) con la información de tu dominio.
- Demostrar el control del dominio. La AC te reta a demostrar que controlas el dominio. Puedes responder con una impugnación HTTP-01 (colocando un archivo en tu servidor web) o una impugnación DNS-01 (añadiendo un registro TXT a tus DNS).
- Firma un nonce. El cliente firma un nonce único (un valor aleatorio de un solo uso) con tu clave privada para demostrar la autenticidad.
- Recibe tu certificado. La CA lo verifica todo y emite tu certificado X.509. El certificado se entrega al cliente ACME y se instala automáticamente.
La renovación y la revocación siguen el mismo proceso. El cliente puede solicitar un nuevo certificado antes de que caduque el antiguo, o revocar un certificado comprometido, todo ello sin intervención manual.
Tipos de certificado admitidos por ACME
ACME emite principalmente certificados de dominio validado (DV), que sólo verifican que controlas el dominio. Son los más rápidos de emitir y funcionan bien para la mayoría de sitios web y servicios.
Los certificados con validación de organización (OV) y con validación ampliada (EV) requieren pruebas adicionales -como documentación empresarial- para confirmar la identidad de tu organización. ACME puede admitir certificados OV y EV, pero tendrás que añadir pasos de verificación manual porque el propio protocolo no gestiona la validación empresarial. Algunas CA ofrecen flujos de trabajo híbridos que combinan la automatización de ACME con la revisión humana para obtener certificados de mayor garantía.
Mención especial merecen los certificados comodín. ACME v2 añadió soporte nativo para comodines, que aseguran todos los subdominios bajo un dominio (como *.ejemplo.com). Para emitir un certificado comodín, debes completar una impugnación DNS-01 -añadiendo un registro TXT a tu zona DNS- porque las impugnaciones HTTP no pueden demostrar el control sobre todos los subdominios posibles. Esta validación DNS añade una capa de seguridad y hace que los certificados comodín sean más fiables.
¡Ahorra un 10% en Certificados SSL al hacer tu pedido en SSL Dragon hoy mismo!
Emisión rápida, encriptación fuerte, 99,99% de confianza del navegador, soporte dedicado y garantía de devolución del dinero en 25 días. Código del cupón: AHORRA10
Ventajas de utilizar ACME
- La automatización elimina el trabajo manual. La gestión manual de certificados es lenta y propensa a errores. ACME automatiza cada paso -emisión, instalación, renovación y revocación- para que no tengas que generar CSR, copiar y pegar certificados ACME o establecer recordatorios de calendario. Esta automatización reduce los errores humanos y libera a tu equipo para que se centre en tareas más importantes.
- Seguridad mejorada mediante la renovación automática. Los certificados caducados provocan interrupciones y advertencias de seguridad. ACME proporciona seguridad mejorada renovando automáticamente los certificados antes de que caduquen, para que no tengas que preocuparte de olvidar una fecha límite de renovación. Esto mantiene tus servicios en línea y a tus usuarios seguros.
- Ahorro de costes y mejor visibilidad. Muchas CA compatibles con ACME, como Let’s Encrypt, ofrecen certificados DV gratuitos. Incluso si utilizas una CA comercial, la automatización reduce el coste laboral de gestionar los certificados ACME. Además, cuando integras ACME con una plataforma de gestión de certificados, obtienes una visión centralizada de todos tus certificados -fechas de caducidad, estado de emisión y eventos del ciclo de vida- para que nada se te escape.
- Agilidad CA. El estándar abierto de ACME significa que no estás atado a un proveedor. Si tu CA tiene una interrupción o quieres cambiar de proveedor, puedes dirigir tu cliente ACME a una CA diferente sin reescribir tu automatización. Este enfoque agnóstico de las CA te da flexibilidad y te ayuda a evitar la dependencia de un proveedor.
- De código abierto y accesible. ACME es un protocolo abierto sin costes de licencia. Cualquiera puede implementar un cliente o servidor ACME, y existe un próspero ecosistema de herramientas. Esta apertura fomenta la innovación y pone la gestión automatizada de certificados al alcance de organizaciones de todos los tamaños.
Todas estas ventajas se traducen en menos interrupciones, mejor cumplimiento y una infraestructura más segura. ACME convierte la gestión de certificados de un dolor de cabeza recurrente en una tarea de fondo que simplemente funciona.
Configurar un cliente ACME
Empezar a utilizar ACME es muy sencillo. Aquí tienes una guía paso a paso:
1. Elige un cliente ACME compatible y especifica tu dominio.
Elige un cliente ACME que funcione con tu entorno. Las opciones más populares son:
- Certbot – el cliente más utilizado, mantenido por la Electronic Frontier Foundation
- Caddy – un servidor web con soporte ACME integrado
- ACMESharp – un módulo PowerShell para entornos Windows
- GetSSL – un sencillo script bash para sistemas tipo Unix
- Posh-ACME – otra opción de PowerShell con funciones avanzadas
Dile al cliente qué dominio (o dominios) quieres asegurar.
2. Selecciona una CA compatible con tu cliente.
Apunta tu cliente a un servidor ACME. Let’s Encrypt es la opción más común, pero Sectigo, Keyfactor y otras CA comerciales también ofrecen puntos finales ACME. Asegúrate de que utilizas un servidor compatible con ACME v2: ACME v1 está obsoleto.
3. Genera un par de claves de autorización.
El cliente crea una clave privada y la utiliza para generar una solicitud de firma de certificado. Este proceso de generación del par de claves lo gestiona automáticamente el cliente ACME. Mantén segura tu clave privada:es la base de la fiabilidad de tu certificado.
4. Resuelve un desafío para demostrar el control del dominio.
Dependiendo de tu configuración, completarás un desafío HTTP-01 (alojar un archivo en tu servidor web) o un desafío DNS-01 (añadir un registro TXT a tu DNS). Para los certificados comodín, se requiere DNS-01. El cliente suele encargarse de ello automáticamente si tiene acceso API a tu proveedor de DNS.
5. Firma el nonce con tu clave privada.
La CA envía un nonce único, y el cliente lo firma con tu clave privada. Esto demuestra que controlas el par de claves y evita los ataques de repetición.
6. Comienza a emitir, renovar y revocar certificados automáticamente.
Una vez que la CA verifica tus respuestas, emite tu certificado ACME. El cliente lo instala y configura la renovación automática. A partir de este momento, los certificados se renuevan en segundo plano sin intervención manual.
Consejo: Sigue con ACME v2. Es el estándar actual y ofrece mejor seguridad y prestaciones. ACME v1 ya no es compatible con la mayoría de las CA.
ACME frente a otros protocolos de inscripción
ACME no es el único protocolo para automatizar la inscripción de certificados. También existen dos protocolos más antiguos: Simple Certificate Enrollment Protocol (SCEP ) y Enrollment over Secure Transport (EST ), pero cada uno tiene sus limitaciones.
SCEP automatiza la emisión inicial de certificados y se utiliza ampliamente para la inscripción de dispositivos en entornos empresariales. Pero SCEP no gestiona bien la revocación ni la renovación, por lo que necesitas herramientas adicionales o procesos manuales para gestionar el ciclo de vida completo del certificado. Es un protocolo antiguo, anterior a las necesidades modernas de automatización.
EST es una norma más reciente que automatiza la inscripción y la renovación, pero no ha alcanzado el mismo nivel de adopción que ACME. Son menos las CA y los clientes que admiten EST, lo que limita su utilidad en las implantaciones del mundo real.
ACME destaca porque gestiona el ciclo de vida completo -emisión, renovación y revocación- en un solo protocolo. Está impulsado por la comunidad, documentado abiertamente en la RFC 8555 y respaldado por una amplia gama de autoridades de certificación y herramientas de código abierto. Para la mayoría de las organizaciones, la combinación de automatización, flexibilidad y compatibilidad con el ecosistema de ACME la convierte en la opción preferida.
Buenas prácticas y consideraciones
- Utiliza ACME v2 y mantente al día con la RFC 8555. ACME v1 está obsoleto. Asegúrate de que tus clientes y servidores son compatibles con ACME v2, y mantén tus herramientas actualizadas para beneficiarte de las mejoras de seguridad y las nuevas funciones.
- Prefiere las impugnaciones DNS-01 para los certificados comodín. Si necesitas proteger todos los subdominios de un dominio, utiliza un certificado comodín con validación DNS-01. Las impugnaciones HTTP-01 no pueden demostrar el control sobre todos los subdominios posibles, por lo que el DNS es la única opción. Automatiza esto dando a la API de tu cliente ACME acceso a tu proveedor de DNS.
- Mantén una copia de seguridad de la AC para resistir. La agilidad de ACME es uno de sus puntos fuertes. Configura tu automatización para que conmute por error a una CA secundaria si tu CA principal sufre una interrupción. Esto garantiza la emisión continua de certificados incluso si un proveedor tiene problemas.
- Integra ACME con una plataforma de gestión de certificados. Para despliegues más grandes, conecta tu automatización ACME a una plataforma como Keyfactor, AppViewX o CyberArk. Estas herramientas te dan visibilidad de todos tus certificados, te ayudan a aplicar políticas y facilitan la auditoría de tu infraestructura.
- Protege tus claves privadas. Incluso con la automatización, la seguridad es importante. Almacena claves privadas en módulos de seguridad de hardware (HSM) o utiliza métodos de atestación de dispositivos (como Secure Enclave de Apple) para entornos de alta seguridad. Herramientas como Dynamic PKI with Cloud RADIUS de SecureW2 pueden ayudarte a integrar la identidad del dispositivo en tus flujos de trabajo de certificados.
- Controla las fechas de caducidad de los certificados. La automatización es fiable, pero no es infalible. Configura alertas para que te avisen si un certificado se acerca a su fecha de caducidad sin haber sido renovado. Esto te proporciona una red de seguridad en caso de que algo vaya mal con tu automatización.
¿Estás preparado para automatizar el ciclo de vida de tus certificados?
Deja de preocuparte por certificados caducados y renovaciones manuales. SSL Dragon ofrece certificados SSL compatibles con ACME de autoridades de confianza como Sectigo y DigiCert, a partir desólo 25 $/año. Obtén emisión, renovación y gestión automáticas con reemisiones ilimitadas, cobertura de garantía de más de 500.000 $ y asistencia técnica 24 horas al día, 7 días a la semana.
Tanto si necesitas certificados validados por dominio (DV), validados por organización (OV) o con validación ampliada (EV), nuestras soluciones ACME se integran perfectamente con clientes populares como Certbot, acme.sh, etc.
Explorar los certificados SSL de ACME
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10






