Let’s Encrypt limita peligrosamente los errores de validación

Escrito por Rubén Velasco
Redes
2

Cada vez más páginas web utilizan conexiones seguras a través del protocolo HTTPS, y todo es, en gran parte, gracias a Let’s Encrypt, una plataforma que permite a los usuarios crear sus propios certificados HTTPS de forma totalmente gratuita (cuando, hasta ahora, había que pagar por ello) e implementarlos en las páginas web fácilmente. Sin embargo, debemos tener mucho cuidado al utilizar esta plataforma, ya que una mala configuración puede hacer que nuestra web se quede sin certificado, especialmente con el nuevo límite que ha entrado en vigor este mes.

Para evitar abusos y poder poner en peligro a los usuarios, esta plataforma cuenta con una serie de limitaciones que, si no se tienen en cuenta, pueden suponer un peligro para las webs ya que, de llegar al límite, es posible hasta que nuestra web se quede sin certificado durante un tiempo considerable, según el tipo de límite, hasta una semana.

Esta plataforma cuenta desde sus inicios con estas limitaciones, limitaciones que, la verdad, son bastante amplias y no deberían suponer ningún peligro para los usuarios, sin embargo, desde este mes ha entrado en vigor un nuevo límite en Let’s Encrypt, el límite de errores de validación.

A partir de ahora, estos certificados solo permiten un máximo de 5 errores de validación por cuenta, nombre de host y por hora. En caso de alcanzar este límite, el certificado quedará bloqueado y la página web podría quedar desprotegida durante una semana, hasta que los límites se restablezcan.

Como es muy fácil alcanzar este límite durante el desarrollo de una web y la configuración de un servidor, para evitar que esto ocurra, si estamos realizando pruebas es recomendable no utilizar la API directa de la plataforma, sino utilizar el propio entorno de pruebas que ofrece a los desarrolladores y administradores Let’s Encrypt, el cual tiene unos límites bastante superiores a los establecidos por defecto.

Los otros límites de Let’s Encrypt

Además del límite anterior, que puede llegar a ser muy peligroso si no se tiene en cuenta, esta plataforma también cuenta con otras limitaciones para evitar todo tipo de abusos. El principal límite de la plataforma es que solo se pueden registrar 20 dominios por semana, por ello, los responsables de la plataforma recomiendan a los usuarios que tengan varios subdominios que los agrupen todos en un único dominio y utilicen el mismo certificado para ellos.

Además, cada certificado puede ser utilizado hasta para 100 nombres, por lo que, junto al límite anterior, vamos a poder registrar un total de 2000 dominios únicos a la semana. A la semana siguiente se pueden registrar hasta otros 20 dominios diferentes sin que eso interfiera en los dominios ya registrados.

El duplicado de certificados también está limitado por la plataforma, y es que solo se pueden emitir 5 duplicados a la semana. Las renovaciones de un mismo certificado están aplicadas por esta misma norma.

Además, existen dos límites más difíciles de alcanzar, el límite de crear 500 IPs cada 3 horas y acumular 300 autorizaciones pendientes en una cuenta.

Igual que con el primer límite, en caso de alcanzar alguno de ellos, por el momento, no hay forma de restablecerlo, por lo que no nos quedará otra que esperar a que se agote el tiempo del límite.

¿Crees que los límites de Let’s Encrypt son correctos o demasiado estrictos?


Continúa leyendo
  • Trocotronic

    Según la web que habéis puesto:

    Rate Limits

    The staging environment uses the same rate limits as described for the production environment with the following exceptions:

    The Certificates per Registered Domain limit is 30,000 per week.
    The Duplicate Certificate limit is 30,000 per week.
    The Failed Validations limit will be 60 per hour.

    Son muy diferentes a los que habéis escrito.

Últimos análisis

Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10