El chisme técnico (pero sin que te duermas)
El 17 de junio de 2025, AWS anunció una “pequeña mejora” a su servicio de certificados:
Ahora puedes exportar certificados públicos SSL/TLS desde ACM. 🎉
O sea, ya no estás limitado a usarlos solo dentro de la nube de AWS.
Ahora los puedes sacar con todo y llave privada, y usarlos donde quieras:
- en un servidor on-premise,
- en otra nube,
- en un Raspberry Pi con más parches que una chamarra punk (sin ofender),
- o donde se te antoje.
Y tú dices:
“¡Uf, libertad! Gracias, Amazon.”
Pero espérate…
Y entonces pasó...
Yo, muy contento, genero un certificado wildcard (porque tengo varios subdominios regados por ahí).
Después, el certificado base. Todo fluye. Todo calladito.
Y uno, acostumbrado a que los certificados de ACM son gratis, pues... le da aceptar.
Y entonces, la cachetada:
- $149 USD por el wildcard
- $15 USD por el certificado base
Total: $164 USD por asegurar un solo dominio. 😭
Así, sin vaselina.
OJO: lo gratis sigue existiendo
Antes de que entres en pánico, respira hondo:
Los certificados de siempre, los que no se exportan y solo se usan dentro de AWS (ELB, CloudFront, API Gateway, etc.),
siguen siendo totalmente gratis.
Sí, gratis de verdad. Sin trampa.
Los puedes seguir usando para tus servicios dentro de AWS sin pagar un solo centavo.
Pero si quieres el certificado para llevártelo fuera, ahí sí: pásale con la tarjeta. 💳
¿Vale la pena?
Como siempre, depende.
Si estás en una empresa que maneja infraestructura híbrida, microservicios, servidores en varias nubes o alguna cosa rara…
tener certificados exportables sí es útil.
Puedes automatizar, renovar sin drama, moverlos donde necesites y seguir usando la robustez de ACM.
Pero si solo estás en AWS y no necesitas mover nada, sigue con los certificados gratuitos de siempre y tan amigos.
¿Y Let’s Encrypt?
Ahhh, el buen Let’s Encrypt.
Nuestro héroe de código abierto.
Ese que no te cobra, no te juzga, y siempre está disponible.
Sí, también puedes generar certificados wildcard con Let’s Encrypt.
Solo necesitas hacer el famoso DNS-01 challenge (meter un TXT en tu DNS para validar que el dominio es tuyo).
¿Gratis? Totalmente.
¿Automatizable? Sí.
¿Dura solo 90 días? Sí, pero eso lo resuelves con un buen cron job.
¿Más técnico? Un poquito, pero nada que un developer con café no pueda manejar.
En resumen, sin pelos en la consola
- ¿Infraestructura compleja, necesitas mover certificados por todos lados?
→ ACM Exportable (prepárate para pagar) - ¿Solo usas servicios dentro de AWS?
→ Sigue con ACM normal (gratis, gracias a los dioses del cloud) - ¿Tienes tiempo, presupuesto ajustado, y ganas de ahorrarte $164 USD?
→ Let’s Encrypt es tu pana - ¿Ya pagaste sin saber y estás llorando como yo?
→ Bienvenido al club, tenemos galletas… y cargos no autorizados.
Moraleja del día
Esta función salió en junio de 2025. AWS no la gritó. No te puso una advertencia grande. Y si no andabas al tiro, te caía el cobro sin anestesia.
Así que ya sabes:
Antes de generar un certificado en ACM, averigua si es de los gratis o de los que te vacían la billetera.
Porque en la nube, nadie puede oír tus gritos…
pero sí pueden cobrarte sin preguntarte nada. 💸
Gracias por pasar a este momento de desahogo técnico.
Nos leemos en la próxima historia de “cosas que no sabías que AWS cobraba”.
Y recuerda:
Si algo en AWS suena demasiado bueno para ser gratis... probablemente no lo sea.
¡Nos vemos pronto, cloud warriors! 🚀