TheVortiq
Automatización

AWS Certificate Manager integra ACME para automatizar certificados TLS

La compatibilidad con el protocolo ACME en ACM permite gestionar certificados públicos de forma centralizada, reduciendo la carga operativa y preparando a las organizaciones para la reducción de vigencia a 100 días en 2027.

2 de julio de 2026 · 4 min de lectura

turned on monitoring screen
Foto de Stephen Dawson en Unsplash

¿Qué ha ocurrido?

El 9 de junio de 2026, AWS anunció que AWS Certificate Manager (ACM) ahora soporta el protocolo ACME (Automatic Certificate Management Environment) para la emisión y renovación automatizada de certificados TLS públicos. ACME es el estándar abierto utilizado por Let's Encrypt y otros proveedores, y permite a los clientes como Certbot, cert-manager y acme.sh solicitar certificados sin intervención humana. Este movimiento marca un hito en la evolución de la gestión de certificados en la nube, ya que integra un protocolo universalmente aceptado dentro del ecosistema de AWS, eliminando la necesidad de recurrir a autoridades certificadoras externas para la automatización.

Anteriormente, los usuarios que deseaban automatizar la gestión de certificados con ACME debían recurrir a autoridades certificadoras externas, lo que fragmentaba la visibilidad y el control. Los certificados emitidos por ACM y los externos coexistían sin un panel centralizado, dificultando la supervisión. Con el nuevo endpoint ACME gestionado, ACM emite certificados de Amazon Trust Services, integrando la automatización con las capacidades de monitoreo y seguridad de AWS, como CloudTrail y CloudWatch. Esto permite a los administradores de PKI tener un control granular sobre qué dominios pueden solicitar certificados y quién puede hacerlo, mediante External Account Binding (EAB) y la vinculación con roles de IAM.

¿Por qué es importante?

La industria se dirige hacia certificados de corta duración. El CA/Browser Forum ha mandatado una vigencia máxima de 100 días a partir de marzo de 2027, y de 47 días para 2029. Esto hace que la renovación manual sea inviable. Con ACME en ACM, las organizaciones pueden automatizar completamente el ciclo de vida de los certificados, reduciendo el riesgo de errores humanos y caídas de servicio. Según el anuncio oficial, "si gestionas certificados TLS para tus aplicaciones, conoces el desafío: los certificados caducan y cuando lo hacen, tus clientes ven errores o tu servicio se cae". La automatización ya no es opcional, sino una necesidad operativa.

Además, ACME en ACM ofrece un control granular mediante External Account Binding (EAB). Los administradores de PKI pueden validar dominios una vez a nivel de endpoint y luego delegar la solicitud de certificados a equipos de aplicaciones sin compartir credenciales DNS. Esto mejora la seguridad y la gobernanza. Como señala el anuncio, "con ACME en ACM, los administradores pueden distribuir la automatización de certificados en toda la organización sin distribuir las claves DNS".

Consecuencias para el mercado

Esta integración simplifica la gestión de certificados en entornos multicloud o híbridos, ya que ACME es un estándar universal. Las empresas que ya usan ACME con Let's Encrypt pueden migrar fácilmente a ACM sin cambiar sus clientes ACMEv2. También compite directamente con soluciones como cert-manager para Kubernetes y HashiCorp Vault, aunque ACM se beneficia de la integración nativa con CloudTrail, CloudWatch y el ecosistema AWS. Para los usuarios, el cambio clave es que ahora pueden centralizar en ACM la gestión de todos los certificados, tanto los emitidos por ACM como los importados, y obtener visibilidad unificada. Los administradores de PKI ganan control sobre qué dominios pueden solicitar certificados y quién puede hacerlo.

El impacto en el mercado es significativo: AWS democratiza el acceso a la automatización de certificados, reduciendo la dependencia de Let's Encrypt y otros proveedores gratuitos. Sin embargo, Let's Encrypt sigue siendo una opción válida para quienes no están en AWS o prefieren una CA independiente. La competencia se intensificará, pero la integración nativa con servicios AWS (como CloudFront, ALB, API Gateway) da a ACM una ventaja para los clientes cautivos de AWS.

Qué deben saber los lectores

  • El servicio está disponible en todas las regiones de AWS de forma inmediata.
  • Se requiere configurar un endpoint ACME, definir los dominios permitidos y crear credenciales EAB para los clientes.
  • Los clientes ACME existentes (Certbot, acme.sh, cert-manager) pueden apuntar al nuevo endpoint sin modificaciones.
  • La validación de dominio se realiza mediante DNS o HTTP, y ACM maneja la renovación automática.
  • No hay costos adicionales por el uso de ACME; solo se paga por los certificados emitidos (los públicos son gratuitos).
  • CloudTrail registra cada solicitud de certificado, proporcionando auditoría completa.

"Con ACME en ACM, los administradores pueden distribuir la automatización de certificados en toda la organización sin distribuir las claves DNS", señala el anuncio oficial.

Preparación para el futuro

Con la reducción de vigencia a 100 días, la automatización ya no es opcional. ACME en ACM ofrece una ruta de adopción sencilla para empresas que ya están en AWS, y sienta las bases para cumplir con los requisitos del CA/Browser Forum. Se recomienda a los equipos de infraestructura comenzar a planificar la migración de sus procesos manuales a ACME. La integración con IAM permite un control de acceso detallado, y la capacidad de definir ámbitos de dominio a nivel de endpoint facilita la aplicación de políticas organizativas. Este movimiento de AWS no solo resuelve un problema técnico, sino que también anticipa un futuro donde la gestión de certificados será completamente automatizada y centralizada.

Puntos clave

  • ACM ahora funciona como servidor ACME, compatible con clientes como Certbot y cert-manager.
  • Permite delegar la solicitud de certificados sin compartir credenciales DNS mediante EAB.
  • Prepara a las organizaciones para la vigencia máxima de 100 días a partir de marzo de 2027.
  • Ofrece visibilidad centralizada con CloudTrail y CloudWatch.
  • Los certificados públicos emitidos por ACME son gratuitos.

Preguntas frecuentes

¿Qué es ACME y por qué es relevante para ACM?

ACME es un protocolo estándar para automatizar la emisión, renovación y revocación de certificados TLS. Su integración en ACM permite a los clientes usar cualquier cliente ACMEv2 para obtener certificados de Amazon Trust Services, simplificando la automatización y centralizando la gestión.

¿Cómo se configura ACME en ACM?

Se crea un endpoint ACME en la consola de ACM, se definen los dominios permitidos, se generan credenciales EAB para los clientes, y se configura el cliente ACME (ej. Certbot) para que use el endpoint.

¿Tiene costo adicional usar ACME en ACM?

No. El uso del endpoint ACME no tiene costo adicional. Solo se paga por los certificados emitidos, y los certificados públicos TLS de ACM son gratuitos.

¿Qué clientes ACME son compatibles?

Cualquier cliente que implemente ACMEv2, como Certbot, acme.sh, cert-manager para Kubernetes, y muchos otros.

Fuentes utilizadas

Comentarios

Sé el primero en comentar.

Deja tu comentario