¿Por qué toda la web depende de Let’s Encrypt?
Let’s Encrypt, el proyecto sin fines de lucro respaldado por Mozilla, Google y Facebook, emite certificados SSL/TLS para más de 700 millones de sitios web. Aunque fue diseñado como solución democrática para la encriptación, su dominio global generó una dependencia concentrada: si Let’s Encrypt fallara, miles de millones de conexiones HTTPS se romperían. En 2026, cambios en su cadena de confianza (Generación Y) plantean riesgos reales para dispositivos antiguos y sistemas legacy.
En 30 segundos
- Let’s Encrypt asegura más del 48% de todos los certificados HTTPS del mundo; es la autoridad de certificación más grande por volumen.
- Depende de una sola raíz (ISRG Root X1) controlada por una organización estadounidense sin fines de lucro, creando un punto único de fallo global.
- Alternativas existen (ZeroSSL, Cloudflare, AWS ACM) pero tienen limitaciones: duraciones cortas, restricciones geográficas o disponibilidad solo para clientes.
- El impacto es desigual: grandes empresas tienen opciones; startups en Latinoamérica dependen 100% de Let’s Encrypt.
- Cambios previstos para 2026 (Generación Y) pueden romper compatibilidad en dispositivos antiguos sin actualizar.
Quién es Let’s Encrypt: la autoridad de certificación que asegura cientos de millones de webs
Let’s Encrypt es un proyecto de la Internet Security Research Group (ISRG), organización sin fines de lucro fundada en 2015 con respaldo de Mozilla, Google, Facebook, Amazon y la Electronic Frontier Foundation (EFF). Su misión original era simple: eliminar la barrera económica que impedía que pequeños sitios tuvieran HTTPS. Antes de Let’s Encrypt, un certificado SSL costaba entre USD 50 y USD 200 por año. Hoy, Let’s Encrypt lo regala.
Eso sí, el modelo funcionó. Tanto que ahora es un problema.
Ponele que vos armás un sitio web hoy. Necesitás HTTPS para que los navegadores no te marquen como inseguro. Tenés dos opciones: pagás una CA comercial o usás Let’s Encrypt gratis, automático, renovación sin intervención. ¿Adivinas cuál elige el 90% de los sitios pequeños? Exacto, Let’s Encrypt. Y el 80% de los sitios medianos también.
El resultado: más de 700 millones de dominios dependen de Let’s Encrypt para que sus conexiones HTTPS funcionen todos los días.
La cifra que explica la dependencia global: 700 millones de dominios en HTTPS
Según los datos públicos de Let’s Encrypt, la organización ha emitido certificados para más de 700 millones de dominios únicos. Eso representa aproximadamente el 48% de todos los certificados HTTPS activos en Internet. No es la mayoría, pero es lo suficientemente grande como para que el internet público dependa de una sola organización.
Comparado con otras autoridades de certificación:
- Comodo/Sectigo: alrededor del 25% del mercado, pero con modelo de pago.
- DigiCert: alrededor del 15%, también comercial.
- GoDaddy: 10%, enfocado en dominios.
- Todas las demás CAs: menos del 2% cada una.
Lo que ves acá es concentración. Y la concentración en criptografía es peligrosa.
La pregunta obvia: ¿qué pasaría si Let’s Encrypt se cae? No me refiero a un outage temporal. Hablo de que la organización desaparezca, pierda credibilidad, sus sistemas sean comprometidos, o enfrente presión legal que la obligue a revocar certificados masivamente.
Respuesta corta: internet se rompe, al menos el 48% que depende de ellos.
Cómo funciona la cadena de confianza y por qué necesita una raíz estadounidense
La criptografía de internet usa lo que se llama “Infraestructura de Clave Pública” (PKI). Funciona así: existe una autoridad raíz (la que todos los navegadores confían por defecto), esa autoridad emite certificados intermedios, y esos intermedios firman los certificados de dominio que vos usás en tu sitio. Tema relacionado: ejecutar servicios sin depender de externos.
Let’s Encrypt usa ISRG Root X1 como autoridad raíz. Ese certificado raíz está precargado en todos los navegadores modernos. Cuando accedés a un sitio con certificado de Let’s Encrypt, el navegador verifica que el certificado fue firmado (indirectamente) por ISRG Root X1, ve que confía en esa raíz, y valida la conexión.
El dato importante: ISRG Root X1 es propiedad de una organización estadounidense. Eso significa que está sujeto a leyes estadounidenses, regulaciones de exportación, y potencialmente presión del gobierno federal. Si mañana el Departamento de Justicia de EE.UU. decide que es un riesgo para la seguridad nacional, puede obligar a ISRG a cambiar cosas radicales.
Históricamente, Let’s Encrypt usaba una firma cruzada con IdenTrust (DST Root CA X3, una entidad con sede en EE.UU. también) como respaldo de compatibilidad con dispositivos antiguos. Esa firma cruzada expiró en 2024, creando ya el primer problema: cualquier dispositivo que NO actualice su lista de raíces de confianza después de 2024 no puede validar certificados de Let’s Encrypt nuevos.
El problema: concentración de poder en una sola organización sin fines de lucro
Una organización sin fines de lucro no tiene shareholder que exija retorno de inversión. Eso suena bien en teoría. En práctica, significa que Let’s Encrypt opera con presupuesto limitado, equipo pequeño, y vulnerabilidad a cambios en financiamiento.
Ojo con el siguiente dato: ISRG depende de donaciones. Su presupuesto es público. Si mañana los sponsors se retiran (Mozilla pierde poder en el navegador, Google decide no financiar más, Amazon gira a soluciones propias), Let’s Encrypt enfrenta crisis financiera. Y cuando una organización crítica de infraestructura enfrenta crisis, el riesgo escalala rápido.
Además, si Let’s Encrypt quisiera cambiar su modelo (empezar a cobrar, crear tiers premium, cambiar políticas de emisión), no puede hacerlo sin romper 700 millones de sitios que dependen de sus certificados gratuitos. Está atrapada en su propio éxito.
El otro riesgo: transparencia falsa. Let’s Encrypt se promociona como “democrática” y “abierta”, pero al final es una autoridad centralizada. Si decide revocar certificados masivamente, nadie puede detenerla. Si sus sistemas son hackeados, millones de certificados pueden ser falsos. Si enfrenta presión legal para poner backdoors en certificados, está sola.
Alternativas existentes: por qué no son verdadera solución
Existen otras CAs gratuitas o económicas. Pero cada una tiene limitaciones que explican por qué Let’s Encrypt dominó. Esto se conecta con lo que analizamos en cómo evaluar seguridad y privacidad.
ZeroSSL
ZeroSSL es compatible con ACME (el protocolo automático de Let’s Encrypt), emite certificados gratis, y funciona bien. El problema: certificados válidos solo 90 días (igual que Let’s Encrypt) y requiere verificación de dominio más estricta. Para startups que necesitan escala rápida, ZeroSSL agrega fricción.
Cloudflare
Cloudflare ofrece certificados SSL/TLS automáticos, pero solo si usás su CDN. Si tu sitio no está en Cloudflare, no tiene acceso. Es una solución prisionera: cambiás de infraestructura, perdés los beneficios.
AWS Certificate Manager (ACM)
Genera certificados gratis pero SOLO para recursos dentro de AWS (ELB, CloudFront, API Gateway). Si tu sitio está en un servidor VPS independiente, no sirve. Y si algún día dejás AWS, tus certificados mueren con la cuenta.
Otras: Buypass, SSL.com, Acme.sh
Buypass ofrece un certificado gratis por dominio cada 180 días (mejor que 90), pero tiene límites de tasa muy bajos. SSL.com cobra (aunque son baratos). Acme.sh es una herramienta, no una CA.
La realidad es que ninguna alternativa combina lo que Let’s Encrypt logró: gratis, automático, ACME, renovación sin intervención, y sin estar atado a un proveedor.
Impacto desigual: países ricos vs. regiones económicamente desfavorecidas
Las grandes empresas de tech (Google, Amazon, Meta, Microsoft) pueden emitir sus propios certificados, usar CAs caras, o auditar la seguridad de la cadena. Tienen recursos.
Las PyMEs, startups, y desarrolladores independientes en Latinoamérica (Argentina, México, Colombia, Perú, Brasil) NO tienen esos recursos. Si Let’s Encrypt desaparece, ellos quedan expuestos. No pueden pagar USD 200/año por certificado, no pueden cambiar de infraestructura rápidamente, no tienen equipo de seguridad. Lo explicamos a fondo en herramientas modernas de infraestructura.
Eso crea un riesgo sistémico para economías emergentes. El internet local que armamos (ecommerce, blogs, SaaS, startups) depende ciento por ciento de una organización estadounidense que puede cambiar de un día para otro.
Cambios críticos en 2026: Generación Y y riesgos de compatibilidad
Let’s Encrypt anunció cambios significativos en su cadena de certificación para 2026, denominados “Generación Y”. El cambio no es cosmético: afecta cómo validan los navegadores y dispositivos los certificados.
El riesgo específico: dispositivos antiguos (teléfonos con Android 4.4, iPhones iOS 9, routers embebidos, sistemas POS, servidores legacy que no actualizan) pueden dejar de validar certificados de Let’s Encrypt después de 2026. Los usuarios de esos dispositivos no podrán acceder a sitios con certificados nuevos de Let’s Encrypt, aunque el sitio esté funcionando perfectamente.
¿Quién sufre? Nuevamente, regiones donde hay alto porcentaje de dispositivos antiguos (países en desarrollo, conexiones por datos prepago donde actualizaciones son lentas).
Tabla comparativa: alternativas a Let’s Encrypt
| CA | Costo | Duración certificado | Automatización (ACME) | Limitaciones |
|---|---|---|---|---|
| Let’s Encrypt | Gratis | 90 días | Sí, automática | Dependencia de una sola raíz, cambios 2026 pueden romper compatibilidad antigua |
| ZeroSSL | Gratis | 90 días | Sí, ACME | Verificación más estricta, menos adopción que Let’s Encrypt |
| Cloudflare | Gratis (con CDN) | 1 año | No, automático en Cloudflare | Solo para clientes Cloudflare; aprisionado en plataforma |
| AWS ACM | Gratis (con AWS) | 1 año | No, automático en AWS | Solo para recursos dentro de AWS; aprisionado en plataforma |
| Comodo/Sectigo | USD 50-150/año | 1-2 años | Sí, pero requiere setup | Costo; menor penetración en startups |
| Buypass | Gratis (1 cert/180 días) | 180 días | Sí, ACME | Límites de tasa bajos; pocos conocen la alternativa |
Errores comunes en relación a Let’s Encrypt
“Let’s Encrypt no es tan importante, podría dejar de existir sin problema”
Falso. Si Let’s Encrypt desaparece mañana, el 48% del internet HTTPS se cae. No es que los sitios se vuelvan inseguros, es que directamente fallan. Los navegadores creen que son fraudulentos porque no pueden validar el certificado.
“Las autoridades de certificación (CAs) son todas iguales”
No. Las CAs tienen raíces diferentes, jurisdicciones diferentes, modelos de negocio diferentes. Let’s Encrypt es sin fines de lucro con raíz estadounidense. Comodo es comercial. Digicert es comercial. La elección de raíz importa para seguridad, ubicación geográfica, regulación y gobernanza.
“Puedo ignorar los cambios 2026 de Let’s Encrypt”
No, si tu sitio usa dispositivos legacy para acceso o si tu audiencia tiene mucho tráfico desde países en desarrollo. Los cambios de Generación Y pueden romper compatibilidad silenciosamente. No habrá error, el navegador simplemente dirá “sitio no seguro” sin explicar por qué. Relacionado: alternativas tecnológicas con independencia real.
Qué está confirmado y qué no sobre Let’s Encrypt
Confirmado
- Let’s Encrypt emite certificados para más de 700 millones de dominios (dato público de Let’s Encrypt).
- ISRG Root X1 es la raíz de Let’s Encrypt y está controlada por ISRG, organización estadounidense sin fines de lucro.
- La firma cruzada con IdenTrust (DST Root CA X3) expiró en 2024.
- Cambios en jerarquía de certificación está planeado para 2026 (Generación Y).
- Los certificados de Let’s Encrypt tienen duración de 90 días y renovación automática.
- Let’s Encrypt usa protocolo ACME para automatización.
Pendiente de confirmación o especulativo
- Impacto exacto de Generación Y en dispositivos legacy (dependerá de las actualizaciones que haga cada fabricante).
- Si Let’s Encrypt será capaz de mantener su modelo sin fines de lucro en los próximos 5 años.
- Si habrá presión regulatoria futura sobre Let’s Encrypt desde gobiernos.
- Cuántos sitios realmente entrarán en crisis si Let’s Encrypt desaparece (el 48% que depende directamente, pero otros podrían ser afectados indirectamente).
Preguntas Frecuentes
¿Por qué Let’s Encrypt es tan importante para la encriptación web?
Porque es gratuita, automática y no requiere intervención manual. Antes de Let’s Encrypt, solo sitios con presupuesto para certificados pagos tenían HTTPS. Ahora, hasta un blog personal puede tener encriptación. Eso democratizó la seguridad web pero creó dependencia.
¿Qué pasaría si Let’s Encrypt dejara de funcionar?
El 48% de los sitios HTTPS existentes (aproximadamente 700 millones de dominios) no podrían validar sus certificados. Los navegadores marcarían esos sitios como inseguros. El tráfico caería drásticamente. A diferencia de una falla de DNS o CDN, esta fallaría afectaría la criptografía misma, no solo la disponibilidad.
¿Cuántos sitios web usan Let’s Encrypt?
Más de 700 millones de dominios únicos tienen certificados de Let’s Encrypt emitidos. Eso representa aproximadamente el 48% de todos los certificados HTTPS activos en internet. Es la CA más grande por volumen de certificados emitidos.
¿Existen alternativas gratuitas a Let’s Encrypt?
Sí: ZeroSSL (ACME, 90 días), Buypass (ACME, 180 días), Acme.sh (herramienta, no CA). También hay alternativas atadas a proveedores: Cloudflare (si usás su CDN), AWS ACM (si usás AWS). Pero ninguna combina la facilidad, automatización y cero fricción de Let’s Encrypt.
¿Por qué una organización sin fines de lucro controla la seguridad web mundial?
Por accidente histórico y ventaja de primer movedor. Let’s Encrypt fue la primera CA que ofreció certificados gratis y automatizados (2015/2016). Creció tan rápido que dominó antes de que otros comprendieran el mercado. Ahora está tan integrada en la infraestructura que cambiar sería catastrófico. Nadie planeó que fuera tan crítica.
Conclusión
Let’s Encrypt hizo algo admirable: encriptación asequible para todos. Pero eso mismo creó un riesgo sistémico que el internet no puede ignorar.
Hoy, si vos sos startup en Argentina, PyME en Colombia, o freelancer en Perú que armó un sitio web, tu encriptación depende de una organización estadounidense sin fines de lucro que opera con presupuesto limitado. No tenés alternativa real a un costo razonable. Y si esa organización enfrenta crisis financiera, regulatoria o técnica, tu sitio cae con ella.
Los cambios de 2026 (Generación Y) van a empeorar esto. Dispositivos antiguos que aún usan millones de personas en regiones menos desarrolladas no podrán validar nuevos certificados de Let’s Encrypt. Nadie los obligará a actualizar. Simplemente, su acceso se degradará silenciosamente.
¿Qué hacer? Si sos que operás infraestructura crítica, empieza a evaluar alternativas. Si dependés de Let’s Encrypt, documentá un plan B (aunque sea Buypass o Cloudflare). Si operás una plataforma que emite certificados (como donweb.com), asegurate de ofrecer opciones múltiples de CAs, no solo Let’s Encrypt.
Let’s Encrypt es brillante, pero no debe ser el único. Internet no puede permitirse otro punto único de fallo en criptografía.
Fuentes
- Let’s Encrypt – sitio oficial — Autoridad de certificación, recursos técnicos, estadísticas de certificados emitidos.
- Let’s Encrypt – Acerca de (ES) — Historia, misión, respaldo de ISRG y sponsors.
- Let’s Encrypt – Certificados — Información sobre ISRG Root X1, Generación Y, cambios de compatibilidad.
- Linux Foundation – Case Study: Let’s Encrypt — Impacto técnico y organizacional de Let’s Encrypt en infraestructura abierta.
- Fortinet – Public Key Infrastructure (PKI) — Explicación técnica de autoridades de certificación y cadena de confianza.
