Let’s Encrypt se ha convertido en casi un estándar para certificados TLS gratuitos: los certificados se emiten automáticamente, funcionan mediante el protocolo ACME, son adecuados para la mayoría de los sitios y no requieren correspondencia manual con la autoridad de certificación. En la descripción del proyecto Let’s Encrypt se define directamente como una autoridad de certificación que emite certificados TLS gratuitos y ayuda a habilitar HTTPS en los sitios.
Se necesita una alternativa no por desconfianza hacia Let’s Encrypt. Las razones suelen ser más prácticas: límites de emisión, fallos en la automatización, requisitos de infraestructura, el deseo de no depender de un solo proveedor o la necesidad de una autoridad de certificación europea. En la documentación de ACME el proyecto explica el modelo básico: el cliente ACME demuestra el control del dominio y solicita el certificado sin verificación manual de la solicitud.
No hay muchos análogos directos de Let’s Encrypt. Por «análogo» es razonable entender no a cualquier autoridad de certificación de pago, sino a un servicio que emite certificados DV públicamente confiables, admite emisión y renovación automáticas vía ACME y, en el escenario básico, no requiere pago. Según ese criterio, las opciones prácticas incluyen ZeroSSL, Google Trust Services Public CA, SSL.com Free DV y Actalis. Buypass solía aparecer en esas listas con frecuencia, pero la empresa dejó de emitir certificados TLS/SSL, por lo que ya no sirve como sustituto actual.
Cómo elegir un análogo de Let’s Encrypt para un sitio
Una autoridad de certificación emite un certificado digital que permite al navegador entender que la conexión con el sitio se puede cifrar y que el dominio ha sido verificado. En el caso de un certificado DV se comprueba el control del dominio, no la empresa, la marca ni el propietario del negocio. Para un sitio habitual, un blog, un panel de administración, el escaparate de un proyecto o un servidor de pruebas, ese nivel suele ser suficiente.
Al elegir conviene fijarse no solo en el precio. Es mucho más importante la compatibilidad con ACME en su cliente, los límites, la emisión de certificados wildcard, el trabajo con la verificación por DNS, los requisitos de la cuenta y el comportamiento del servicio ante emisiones masivas. Let’s Encrypt tiene sus propios límites de emisión, por lo que con un gran número de dominios es mejor comprobar la arquitectura de renovación y no activar todos los certificados el mismo día.
Un factor aparte es la duración del certificado. Let’s Encrypt anunció una reducción escalonada de la vigencia de los certificados: primero a 64 días y luego a 45 días para 2028. Los detalles se publicaron en el plan de transición. Para el administrador la conclusión es simple: la renovación manual deja de ser una buena idea y un cliente ACME fiable se convierte en una parte obligatoria de la infraestructura.
El mejor análogo de Let’s Encrypt no es el que tenga un panel más bonito, sino el que renueve certificados de forma estable sin intervención del administrador.
Análogos gratuitos de Let’s Encrypt con soporte ACME
ZeroSSL probablemente sea el análogo comercial más visible de Let’s Encrypt para propietarios de sitios pequeños. El servicio emite certificados gratuitos de 90 días, admite ACME, API REST y emisión manual a través de la interfaz web. En la documentación ACME de ZeroSSL se indica que, mediante ACME, se pueden emitir certificados de 90 días sin pago, incluidos certificados multidominio y wildcard. Para quienes no quieran configurar de inmediato un cliente de consola, el panel puede ser una ventaja. Para un hosting con muchos dominios conviene comprobar por separado los límites y las condiciones del plan.
Google Trust Services Public CA conviene a quienes ya usan Google Cloud o no tienen inconveniente en vincular la emisión de certificados a un proyecto en la nube de Google. En Public CA se indica que para funcionar se necesita External Account Binding: la cuenta ACME se vincula a un proyecto concreto de Google Cloud. Ese camino es más complejo que la combinación estándar de Let’s Encrypt y Certbot, pero tiene sentido en infraestructuras donde ya se usa Google Cloud. Para un sitio privado la configuración puede resultar excesiva.
SSL.com ofrece certificados DV TLS gratuitos de 90 días. En la página Free DV la empresa indica que esos certificados se pueden solicitar vía ACME y que la renovación sigue siendo gratuita. En la guía ACME SSL.com muestra la emisión y la revocación de certificados mediante Certbot. En esencia la opción es similar a Let’s Encrypt, pero antes de un despliegue masivo conviene comprobar el panel, las limitaciones de la emisión gratuita y el escenario de renovación automática.
Actalis, una autoridad de certificación italiana del grupo Aruba, anunció en 2025 certificados DV gratuitos mediante ACME. En la nota de Actalis se habla de certificados DV gratuitos e ilimitados, disponibles a través del protocolo ACME. Para proyectos europeos esa opción resulta especialmente interesante. Sin embargo, en la instrucción de Actalis se indica por separado que ACME se habilita para determinados tipos de certificados DV, por lo que antes de migrar dominios hay que comprobar el plan, el tipo de certificado, los dominios SAN y los wildcard.
| Autoridad de certificación | Certificado DV gratuito | ACME | Validez | Wildcard | Principal ventaja | Principal limitación | Cuándo elegir |
|---|---|---|---|---|---|---|---|
| Let’s Encrypt | Sí | Sí | Actualmente 90 días, luego transición a 64 y 45 días | Sí, mediante verificación DNS | La opción más simple y extendida para HTTPS automático | Tiene límites de emisión; la renovación manual pronto se vuelve arriesgada | Para la mayoría de sitios, blogs, paneles y servidores |
| ZeroSSL | Sí | Sí | 90 días | Sí | Cuenta con interfaz web, API REST y automatización ACME habitual | Conviene comprobar las condiciones del plan gratuito y los límites antes de una emisión masiva | Cuando se necesita un análogo cercano a Let’s Encrypt con panel de usuario |
| Google Trust Services Public CA | Sí | Sí | Depende de la emisión a través de Public CA | Depende del escenario de verificación y del cliente | Se integra bien en infraestructuras de Google Cloud | Requiere un proyecto de Google Cloud y External Account Binding | Para proyectos que ya usan Google Cloud |
| SSL.com Free DV | Sí | Sí | 90 días | Depende del producto y del escenario de emisión | Puede usarse como fuente de respaldo de certificados DV gratuitos | Hay que comprobar las limitaciones de emisión gratuita antes de implementarlo | Para pruebas, sitios pequeños y escenarios de respaldo |
| Actalis | Sí | Sí | 90 días | Hay que comprobarlo según el tipo de certificado y el plan | Autoridad de certificación europea con emisión ACME gratuita | ACME no está disponible para todos los tipos de certificados DV | Para proyectos europeos y quienes necesiten una CA alternativa |
| Buypass Go SSL | No, emisión interrumpida | Anteriormente soportado | No aplicable | No aplicable | Anteriormente fue una alternativa destacada | No se pueden solicitar, renovar ni reemplazar certificados | No elegir para proyectos nuevos |
| Cloudflare Origin CA | Sí, pero solo para la conexión con el servidor de origen | No en el sentido de un reemplazo directo de una CA pública con ACME | Depende de la configuración en Cloudflare | Sí, dentro de Cloudflare | Útil para proteger el canal entre Cloudflare y el servidor de origen | No es un certificado públicamente confiable para abrir el sitio directamente | Solo si el sitio funciona a través de Cloudflare |
Buypass ya no puede considerarse un reemplazo operativo de Let’s Encrypt. La empresa anunció en 2025 que, a partir del 15 de octubre de 2025, deja de ofrecer certificados TLS/SSL. En la página de la solución Buypass se indica que la interrupción está relacionada con la evaluación del mercado y los requisitos para la emisión de certificados TLS/SSL. En la página de Go SSL también se explica que ya no es posible solicitar, renovar ni reemplazar certificados. Las instrucciones antiguas de Buypass Go SSL es mejor no usarlas como plan vigente.
Cloudflare Origin CA a menudo se confunde con un reemplazo completo de una autoridad de certificación pública, pero su objetivo es distinto. En Origin CA Cloudflare explica que esos certificados cifran la conexión entre Cloudflare y el servidor de origen. Para un sitio que se abre directamente sin proxy de Cloudflare, ese certificado no sustituye a Let’s Encrypt, porque los navegadores no lo tratarán como un certificado públicamente confiable.
Las autoridades de certificación internas, por ejemplo para una red corporativa, un laboratorio o Kubernetes, tampoco son análogos directos de Let’s Encrypt. Son útiles para servicios cerrados donde el administrador gestiona la confianza de los clientes. Para un sitio público ese enfoque no sirve si el certificado raíz no forma parte de los almacenes de confianza de navegadores y sistemas operativos.
Antes de cambiar de autoridad de certificación conviene comprobar los registros CAA en DNS. Si el dominio solo permite la emisión por Let’s Encrypt, el nuevo proveedor no podrá emitir el certificado hasta que en el DNS se añada el permiso correspondiente. Al migrar a ZeroSSL, Google Trust Services, SSL.com o Actalis, es mejor probar primero un dominio de ensayo, comprobar la renovación y solo después trasladar el resto de sitios.
Let’s Encrypt sigue siendo la opción más simple para la mayoría de sitios; ZeroSSL resulta cómodo como sustituto cercano con interfaz web, Google Trust Services tiene sentido para Google Cloud, SSL.com Free DV sirve como fuente de respaldo y Actalis destaca por su origen europeo y el soporte de ACME.
Preguntas y respuestas
¿Qué análogo de Let’s Encrypt elegir para un sitio habitual?
Para un sitio habitual, lo más frecuente es que Let’s Encrypt sea suficiente. Si se necesita una alternativa, lo primero que conviene comprobar es ZeroSSL: el servicio soporta certificados gratuitos de 90 días, ACME y un panel web. Antes de trasladar el dominio hay que verificar los límites del plan y la renovación automática.
¿Se puede reemplazar Let’s Encrypt por Google Trust Services?
Sí, Google Trust Services Public CA admite la emisión de certificados vía ACME. Pero para su uso se necesita un proyecto de Google Cloud y la vinculación de la cuenta ACME mediante External Account Binding, por lo que la configuración es más compleja que con Let’s Encrypt.
¿Sirve Cloudflare Origin CA como análogo de Let’s Encrypt?
No, si el sitio debe abrirse directamente en el navegador. Cloudflare Origin CA sirve para la conexión entre Cloudflare y el servidor de origen, pero no reemplaza un certificado públicamente confiable para visitantes sin proxy de Cloudflare.
¿Por qué los certificados gratuitos suelen tener validez corta?
La vigencia corta reduce el riesgo en caso de fuga de clave y empuja a los administradores hacia la renovación automática. Para que un sitio funcione de forma fiable, los certificados deben renovarse no manualmente, sino mediante un cliente ACME.
Let’s Encrypt sigue siendo la principal autoridad de certificación gratuita para sitios públicos, pero existen alternativas. ZeroSSL, Google Trust Services Public CA, SSL.com Free DV y Actalis cubren tareas similares, aunque difieren en la configuración, los límites y los requisitos de cuenta. Para un proyecto serio conviene tener no solo el certificado en funcionamiento, sino también un escenario de respaldo verificado, de modo que la caída de una autoridad de certificación no provoque la indisponibilidad del sitio.
La información tiene carácter informativo. Al configurar certificados TLS, emisión automática, registros DNS y autoridades de certificación internas hay que respetar la legislación de la Federación de Rusia, las normas de los propietarios de dominios, los requisitos del hosting y las políticas de la autoridad de certificación elegida. No emita certificados para dominios ajenos ni eluda las comprobaciones de control del dominio.
