Renovación de certificado Let's Encrypt
renovación lets encrypt · acme ssl renew · comprobar certbot auto renew
Cómo renuevan los certificados de 90 días de Let's Encrypt, ACME HTTP-01 vs DNS-01, verificar renovación con SSL checker y corregir trabajos auto-renew fallidos.
Por Equipo de red DN01
Let's Encrypt emite certificados DV gratuitos válidos 90 días, asumiendo renovación automatizada. El seguimiento manual falla rápido a escala — trate el éxito ACME como trabajo monitorizado, no como nota de calendario.
Tras cada despliegue de renovación, confirme el hostname público en vivo con el SSL Certificate Checker y compruebe que notAfter avance ~90 días.
Tipos de challenge ACME
HTTP-01: el cliente ACME sirve un token en `http://hostname/.well-known/acme-challenge/...` — requiere puerto 80 accesible desde internet.
DNS-01: registro TXT en `_acme-challenge.example.com` — funciona para wildcards y cuando HTTP está bloqueado; automatice vía API DNS cuando sea posible.
TLS-ALPN-01: menos común, usado en puerto 443 con negociación ALPN específica.
Cuando falla la renovación
Revise logs de certbot o ingress controller por 403/timeout en la URL del challenge.
Confirme que registros CAA permiten `letsencrypt.org` si CAA está publicado.
Rate limits: demasiados pedidos fallidos o certs duplicados por semana — espere o use staging endpoint al depurar.
Tras corregir, vuelva a ejecutar SSL Checker — certs edge CDN obsoletos pueden cachear caducidad antigua hasta purge.
Preguntas frecuentes
- ¿Cuántos días antes de caducar renovar?
Automatice a los 30 días; alerta a los 14. LE recomienda renovar con 1/3 de vida restante (~30 días).
- ¿Los wildcards necesitan DNS-01?
Sí para clientes ACME estándar — la emisión wildcard requiere validación DNS-01.
- ¿La renovación cambia el fingerprint del certificado?
Normalmente sí — cert nuevo, serial nuevo. Apps con pinning deben actualizar pins o evitar pin de certs LE públicos.