
Cuando estás configurando o renovando certificados SSL mediante el protocolo ACME, no es raro encontrarse con errores crípticos que detienen el proceso en seco. Esta guía te guía a través de los problemas más comunes relacionados con ACME, te explica qué significan realmente y te muestra exactamente cómo solucionarlos. Tanto si estás instalando un nuevo certificado, automatizando renovaciones o depurando una validación fallida, éste es el lugar por donde empezar.
Falta la vinculación de la cuenta externa o no es válida
Este error aparece cuando el servidor ACME requiere la vinculación de cuenta externa (EAB), pero tu cliente no envió credenciales válidas o las omitió por completo. EAB es una forma de demostrar que tienes permiso para utilizar un servidor ACME concreto.
Cómo solucionarlo:
- Comprueba dos veces tu ID de clave y tu clave HMAC: Asegúrate de que ambos son correctos y exactamente como se han proporcionado. Sin espacios ocultos ni saltos de línea.
- Utiliza la URL correcta del Directorio ACME: Algunos clientes te permiten pasar –servidor. No confundas las URL de producción con las de ensayo.
- Añade las banderas EAB: Si utilizas
acme.sh, las banderas deben tener este aspecto: –eab-kid –eab-hmac-key - Actualiza tu cliente ACME: Si el cliente está anticuado, actualízalo. Las versiones más recientes son más compatibles con EAB.
La cuenta no existe
El error urn :ietf:params:acme:error:accountDoesNotExist aparece cuando tu cliente ACME intenta utilizar una clave de cuenta local (la almacenada en su carpeta de configuración) que la CA no reconoce.
En términos sencillos, tu cliente ACME está haciendo referencia a una cuenta que no existe o que se ha eliminado en la CA. Es habitual cuando reinstalas el cliente, mueves servidores o cambias entre puntos finales de ensayo y de producción.
Cómo solucionarlo:
1. Vuelve a registrar tu cuenta ACME: Utiliza tus credenciales correctas de vinculación de cuenta externa (EAB) al registrarte.
Ejemplo para acme.sh:
acme.sh --register-account \
--server https://acme.your-ca.com/v2/DV \
--eab-kid YOUR_EAB_KID \
--eab-hmac-key YOUR_EAB_HMAC_KEY \
--accountemail [email protected]
2. Comprueba la URL del servidor ACME: Asegúrate de que te estás registrando en el punto final correcto que coincide con tu pedido.
3. Evita reutilizar archivos de cuenta: No traslades account.conf o claves de cuenta entre servidores o clientes a menos que estés 100% seguro de que son válidos para la misma CA y entorno.
Nonce incorrecto o error antirrepetición
Tu cliente ACME envió una solicitud utilizando un nonce (un token de un solo uso de la CA) que ya se había utilizado, había caducado o no era válido. El servidor la bloquea para evitar ataques de repetición. El urn :ietf:params:acme:error:badNonce suele ser un problema temporal causado por una mala sincronización, un retraso en las solicitudes o un desajuste del reloj.
Cómo solucionarlo:
1. Simplemente reintenta la solicitud: La mayoría de los clientes ACME (como acme.sh) reintentarán automáticamente cuando obtengan un error badNonce. Si no es así, vuelve a ejecutar tu último comando manualmente. Debería funcionar en el segundo intento.
2. Sincroniza el reloj de tu servidor: Una hora del sistema desajustada puede provocar errores de repetición. Corre:
timedatectl status
timedatectl set-ntp true
O asegúrate de que ntpd o chronyd funcionan correctamente.
3. Comprueba si hay retrasos de proxy o CDN: Si estás detrás de Cloudflare, un equilibrador de carga o un proxy lento, podría retrasar tus peticiones lo suficiente como para invalidar el nonce. Intenta evitarlo temporalmente.
No se ha delegado un identificador solicitado
Cuando aparece el error urn :ietf:params:acme:error:rejectedIdentifier, el servidor ACME rechazó uno o varios de los nombres de dominio que intentaste validar. Normalmente se debe a que
- El dominio no existe en el DNS público
- No hay ningún registro DNS que apunte a tu servidor
- El dominio no está autorizado para la emisión de certificados
En pocas palabras, la CA no puede verificar que eres el propietario o controlas ese dominio.
Cómo solucionarlo:
1. Utiliza el formato correcto en tu comando: Incluye sólo el nombre del dominio, sin protocolo, barras ni URL completas.
- Correcto: -d ejemplo.com
- Incorrecto: -d http://example.com
2. Comprueba que el dominio existe y se resuelve. Corre:
dig example.com +short
Si no hay salida, tu dominio aún no está activo, arregla primero tu configuración DNS.
2. Haz coincidir tu pedido ACME: Si utilizas un certificado ACME comercial, asegúrate de que el dominio para el que lo emites figura en el pedido original. No puedes añadir dominios sobre la marcha. Tiene que estar preaprobado.
3. Cuidado con las erratas y las confusiones de subdominio: Comprueba dos veces cosas como www.example.com frente a ejemplo.com. Se tratan como entradas separadas.
Respuesta no autorizada o no válida
La autoridad de certificación no pudo verificar la propiedad de tu dominio. Lo más frecuente es que no pudiera acceder al archivo de impugnación ACME que tu cliente colocó en el servidor. Se trata de un problema de validación HTTP: la CA intentó acceder a tu sitio, pero no pudo encontrar o leer la impugnación.
El mensaje de error exacto es urn :ietf:params:acme:error:no autorizado. También puede aparecer como «Respuesta no válida de http://yourdomain.com/.well-known/acme-challenge/…».
Cómo solucionarlo:
- Asegúrate de que tu servidor es accesible en el puerto 80 (aunque tu sitio redirija normalmente a HTTPS).
- Comprueba de nuevo la ruta webroot en la configuración de tu cliente ACME. Los archivos de desafío deben escribirse en /.well-known/acme-challenge/.
- Si tu servidor fuerza las redirecciones HTTPS, permite temporalmente las peticiones HTTP simples para esa ruta.
- Desactiva CDNs, proxies inversos o cortafuegos que puedan interferir con la validación HTTP externa desde la CA.
- Comprueba los permisos del archivo y confirma que el archivo de impugnación se está creando realmente y es accesible públicamente.
Token no encontrado o archivo no accesible (404 o 403)
El servidor ACME intentó obtener el archivo de desafío HTTP, pero obtuvo una respuesta 404 (No encontrado) o 403 (Prohibido). Esto significa que el archivo no se ha colocado correctamente, no es accesible públicamente o tu servidor web está bloqueando el acceso.
Los mensajes de error exactos pueden variar. Esto es lo que puedes esperar ver:
- Respuesta no válida de http://yourdomain.com/.well-known/acme-challenge/… [404]
- Respuesta no válida… [403 Prohibido]
- urn:ietf:params:acme:error:no autorizado
Cómo solucionarlo:
Comprueba la raíz del documento del dominio y asegúrate de que coincide con el lugar donde el cliente ACME está colocando el archivo: /.well-known/acme-challenge/
Confirma que el archivo del token existe y es accesible desde un navegador. Deberías poder abrir la URL del reto directamente en tu navegador y ver el contenido del token.
Establece los permisos de archivo correctos: el archivo de impugnación ACME y sus carpetas principales deben ser legibles por todo el mundo.
Si utilizas reglas .htaccess, cortafuegos o plugins de seguridad (como en WordPress), asegúrate de que no bloquean el acceso a la ruta /.well-known/.
Si obtienes un 403, comprueba también la propiedad de los archivos y las restricciones SELinux/AppArmor, si procede.
El registro CAA prohíbe la emisión
Tu DNS tiene un registro CAA que restringe qué autoridades de certificación pueden emitir certificados para tu dominio. Si la CA que intentas utilizar no aparece en la lista, está bloqueada por defecto. Es posible que veas el siguiente mensaje de error: urn :ietf:params:acme:error:caa
Se trata de una política a nivel de DNS, no de un problema del servidor. Las CA están obligadas a comprobar la CAA antes de emitir cualquier cert.
Cómo solucionarlo:
Comprueba si hay registros CAA en la zona DNS de tu dominio. Puedes utilizar herramientas online o el comando dig:
dig CAA yourdomain.com
Si no hay registro de CAA, cualquier CA puede emitirlo. Pero si lo hay, asegúrate de que incluye el nombre exacto de tu proveedor de certificados, por ejemplo
- 0 emisión «sectigo.com»
- 0 emisión «digicert.com»
Si utilizas un certificado comodín, añade también la línea issuewild: 0 issuewild «sectigo.com»
Espera unos minutos a que se propague el DNS y vuelve a intentar la orden ACME. Si no estás seguro, elimina temporalmente el registro CAA para probar la emisión, pero sólo si gestionas el DNS de forma segura.
Registro TXT no encontrado (para certificados Wildcard)
Los certificados comodín (como *.ejemplo.com) requieren la validación DNS-01, el único método permitido por todas las CA para los dominios comodín.
DNS-01 funciona pidiéndote que crees un registro TXT especial en DNS: _acme-reto.ejemplo.com
Si falta este registro o aún no se ha propagado, obtendrás este error.
Ejemplos de error:
- urn:ietf:params:acme:error:dns :: Problema DNS: NXDOMAIN buscando TXT para _acme-desafío.ejemplo.com
- Registro TXT no encontrado para _acme-challenge.example.com
Cómo solucionarlo:
En tu proveedor de DNS, crea un registro TXT:
- Nombre: _acme-desafío.ejemplo.com
- Valor: (el token que te da tu cliente ACME; único por solicitud)
Espera de 1 a 10 minutos a que se propague el DNS. Algunos proveedores tardan más. Confírmalo con el siguiente comando.
dig TXT _acme-challenge.example.com
También puedes utilizar una herramienta de búsqueda de DNS online. Una vez visible, vuelve a intentar la validación.
Demasiadas solicitudes o límite de tarifa superado
El error aparece como urn :ietf:params:acme:error:rateLimited o 429 Demasiadas solicitudes cuando el servidor ACME se niega a procesar tu solicitud porque has alcanzado un límite de velocidad.
Esto suele ocurrir cuando solicitas demasiados certificados para el mismo dominio(s) en un corto periodo de tiempo o envías demasiadas solicitudes fallidas seguidas.
Cómo solucionarlo:
La mayoría de los límites de velocidad se restablecen automáticamente al cabo de una hora, un día o una semana, según lo que hayas alcanzado. Si utilizas un script, comprueba los registros y corrige los errores antes de volver a intentarlo. No hagas fuerza bruta a ciegas, sólo empeorará el bloqueo.
Para las validaciones DNS-01, evita las repeticiones rápidas tras pequeños errores de registro TXT. Espera a la propagación del DNS. Si tu CA proporciona una página o cabeceras de estado de límite de velocidad, compruébalas para conocer tiempos de restablecimiento más precisos.
Errores de DNS o fallos de búsqueda
Si recibes mensajes como«Problema DNS: NXDOMAIN buscando A para ejemplo.com» o«Fallo temporal en la resolución de nombres«, significa que el servidor ACME no ha podido resolver tu nombre de dominio, bien porque el dominio no existe, aún no se ha propagado o no tiene registros IP válidos.
La autoridad de certificación se basa en el DNS para verificar que tu dominio existe y apunta a algún lugar real. Si no puede llegar a tus registros A (IPv4) o AAAA (IPv6), detendrá el proceso de validación.
Esto puede ocurrir si:
- Tu dominio es nuevo y las DNS no se han propagado completamente
- Has olvidado añadir los registros DNS correctos
- Trabajas en una red local o interna sin visibilidad pública de DNS
- Hay un error tipográfico en el nombre de dominio que has enviado
Cómo solucionarlo:
- Comprueba que tu dominio tiene registros A o AAAA válidos que apuntan a tu servidor activo.
- Utiliza herramientas como dig, nslookup o comprobadores online (por ejemplo, whatsmydns.net) para confirmar la propagación.
- Asegúrate de que no estás utilizando un dominio privado o sólo interno. La validación ACME sólo funciona con nombres públicamente resolubles.
- Espera unos minutos tras los cambios de DNS; no siempre se activan al instante.
No se pudo conectar al servidor ACME
Este error aparece cuando tu servidor no puede alcanzar el punto final de la API ACME. Puede aparecer como Conexión denegada, Tiempo de espera durante la conexión, No se pudo conectar, o mensajes similares dependiendo del cliente ACME.
Cómo solucionarlo:
- Asegúrate de que tu servidor permite conexiones HTTPS salientes en el puerto 443.
- Comprueba la configuración del cortafuegos o las reglas de red de salida (especialmente en configuraciones de nube/VPS).
- Si utilizas un proxy, permite el tráfico al dominio del servidor ACME de la CA.
- Confirma que tu servidor tiene un resolver DNS que funciona.
- Prueba la conectividad con: curl https://acme.example.com (sustitúyelo por el punto final real de tu CA).
- Reinicia tu cliente ACME después de resolver los problemas de red.
Falló el script de post-renovación
Este error aparece tras una renovación correcta del certificado cuando el script de seguimiento destinado a recargar tu servidor o servicio web no se ejecutó correctamente. Dependiendo de tu cliente ACME, es posible que veas mensajes como «error post-hook», «script de despliegue fallido» o «comando no encontrado».
Cómo solucionarlo:
- Ejecuta manualmente tu script post-renovación para ver qué se rompe.
- Comprueba las rutas de los archivos, especialmente para el nuevo cert y la nueva clave.
- Asegúrate de que el script tiene permisos de ejecución (por ejemplo, chmod +x script.sh).
- Busca errores tipográficos, dependencias que falten o sintaxis de comandos incorrecta.
- Si utilizas un gancho de despliegue o un gancho posterior, confirma que el cliente lo admite y que está configurado correctamente.
Palabras finales
Hemos cubierto los errores de certificado SSL ACMS más comunes y hemos dado soluciones rápidas. Si ninguno de ellos resuelve tu problema, ejecuta tu cliente ACME en modo depuración. La mayoría de los clientes darán una salida más detallada cuando actives el registro. Esa información puede ayudar a identificar la causa real y hacer que tu SSL vuelva a funcionar.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

