Si alojas aplicaciones como Jellyfin, Home Assistant o tu blog personal con Docker y quieres el candado HTTPS, Lets Encrypt es la opción gratuita más popular para obtener certificados SSL.
El método por defecto de Lets Encrypt llamado HTTP-01 funciona pidiendo a sus servidores que descarguen un archivo especial desde tu servidor a través del puerto 80 para comprobar que controlas el dominio.
El problema frecuente para usuarios residenciales es que el ISP bloquea las conexiones entrantes por el puerto 80, por lo que la verificación HTTP-01 nunca llega a tu servidor y la emisión del certificado falla.
La alternativa perfecta es el reto DNS-01. En lugar de comprobar un archivo por HTTP, Lets Encrypt pide demostrar la propiedad del dominio creando un registro DNS TXT con un valor concreto. La validación ocurre mediante consultas DNS, lo que evita por completo la limitación del puerto 80.
Para no tener que crear registros TXT a mano cada 90 días, combina Traefik con AWS Route 53. Traefik puede solicitar certificados mediante ACME usando el reto DNS-01 y Route 53 ofrece una API para gestionar registros DNS de forma programática.
El flujo es sencillo: Traefik solicita un certificado; Lets Encrypt indica el valor que debe publicarse como registro TXT; Traefik usa las credenciales AWS para pedir a Route 53 que cree ese TXT; Lets Encrypt valida el registro y Traefik solicita la emisión del certificado; finalmente Traefik borra el registro TXT. Para esto crea un usuario IAM con permisos mínimos para modificar la zona DNS y guarda las credenciales de forma segura, por ejemplo en un archivo .env o a través de variables de entorno gestionadas por tu orquestador.
En la práctica debes configurar en Traefik un certificatesresolver que active dnschallenge y establezca provider route53 y un almacenamiento ACME para persistir acme.json. A nivel operativo recuerda proteger las claves AWS y aplicar el principio de privilegios mínimos al usuario IAM que permita a Traefik crear y borrar registros TXT en la zona DNS correspondiente.
Las ventajas son evidentes: renovaciones automáticas sin necesidad de abrir el puerto 80, compatibilidad con entornos residenciales donde los ISPs bloquean puertos y una integración fiable para entornos Docker y orquestados con Traefik y Route 53.
En Q2BSTUDIO somos una empresa de desarrollo de software que ayuda a empresas a desplegar soluciones seguras y automatizadas para su infraestructura. Ofrecemos aplicaciones a medida y software a medida, así como servicios cloud aws y azure, y contamos con experiencia en ciberseguridad e inteligencia artificial para empresas.
Nuestros servicios incluyen implementación de proxies como Traefik, automatización de certificados Lets Encrypt mediante DNS-01 con Route 53, y arquitecturas seguras que integran servicios cloud aws y azure. También desarrollamos soluciones de servicios inteligencia de negocio y power bi, agentes IA y proyectos de inteligencia artificial orientados a casos reales de negocio.
Si necesitas ayuda para habilitar HTTPS automático en tus servicios self hosted, integrar soluciones de ciberseguridad o desarrollar software a medida con capacidades de inteligencia artificial y analítica avanzada, Q2BSTUDIO puede acompañarte desde el diseño hasta la operación. Contacta con nosotros para evaluar tu caso y diseñar una solución que incluya buenas prácticas de seguridad, automatización y optimización en la nube.
Resumen práctico: usar DNS-01 con Traefik y AWS Route 53 evita el bloqueo del puerto 80, automatiza renovaciones, y es ideal para despliegues domésticos y profesionales. En Q2BSTUDIO combinamos estas prácticas con desarrollo de aplicaciones a medida, software a medida, inteligencia artificial, ia para empresas, agentes IA, ciberseguridad, servicios intelligence de negocio y power bi para ofrecer soluciones completas y seguras.