soporte / caas

Soporte de Certificados Raíz y Cadena para CaaS

1. ¿Cómo funciona la validación de certificados?

Cuando un cliente (navegador, sistema operativo o aplicación) valida un certificado TLS, construye una cadena de confianza. 

Certificado del servidor
        ↓
CA Intermedia
        ↓
Certificado Raíz (en el trust store del sistema)

El servidor solo debe enviar el certificado del servidor y la CA intermedia. El certificado raíz no se envía, ya que debe estar previamente instalado y confiado por el sistema cliente.

2. Instalación automática mediante ACME

Los clientes ACME como acme.sh, winacme, Certbot o lego siguen las mejores prácticas actuales del modelo de confianza TLS.

  • Instalan el certificado del servidor (end-entity)
  • Instalan la CA intermedia emisora
  • No instalan certificados raíz

Este comportamiento genera una cadena mínima y correcta, optimizada para entornos modernos.

La validación final depende del trust store del sistema donde se consume el certificado.

3. ¿Por qué puede fallar la validación?

Aunque el certificado esté correctamente emitido e instalado, algunos sistemas pueden rechazarlo.

  • Sistemas operativos antiguos sin raíces actualizadas
  • Aplicaciones que usan trust stores propios (Java, librerías internas)
  • Contenedores o imágenes base desactualizadas
  • Dispositivos embebidos o appliances legacy

En estos casos, el problema no está en el certificado, sino en que el sistema cliente no reconoce la autoridad raíz, como la nueva Public Server Authentication Root R46 de Sectigo.

4. Diferencia entre cadena ACME y bundle manual

Cadena instalada por ACME
  • Incluye solo lo necesario (certificado + intermedia)
  • No incluye certificados raíz
  • Alineado con estándares modernos
Bundle descargado manualmente
  • Incluye certificado del servidor
  • Incluye CA intermedia
  • Incluye certificado raíz
  • Puede incluir raíces legacy y certificados cross-signed

El bundle manual está diseñado para maximizar compatibilidad, especialmente en entornos antiguos o restringidos.

5. Compatibilidad con sistemas legacy

Algunas plataformas no confían automáticamente en nuevas autoridades raíz. Para estos casos, autoridades certificantes como Sectigo proveen certificados cross-signed.

  • Permiten validar una raíz nueva usando una raíz antigua
  • Se incluyen en bundles manuales
  • No suelen ser utilizados automáticamente por ACME

6. Soluciones recomendadas

Opción 1 (Recomendada):

  • Actualizar el sistema operativo o plataforma
  • Actualizar el trust store

Esta opción garantiza compatibilidad a largo plazo y cumple con las mejores prácticas de seguridad.

Opción 2:

  • Descargar el bundle oficial de certificados
  • Instalar manualmente certificados intermedios y raíz

Esta alternativa es útil en entornos legacy donde no es posible actualizar el sistema.

Ver certificados ↓

Certificados disponibles

A continuación se listan los certificados intermedios y raíz necesarios para instalación manual en entornos legacy.

Tabla para descarga de Certificados Intermedios y Raíz:

Certificado Archivos Cadena de certificación RSA Cadena de certificación ECC
EV
Certificados EV
EV SSL
EV Multidominio SSL
  • Raíz
  • Intermedio 1
  • Intermedio 2
  • CA-Bundle
  • Su certificado
USERTrustRSACertificationAuthority.crt
SectigoPublicServerAuthenticationRootR46.crt
SectigoPublicServerAuthenticationCAEVR36.crt
CA-Bundle
Certificado de Dominio
↓ Descargar EV RSA
USERTrustECCCertificationAuthority.crt
SectigoPublicServerAuthenticationRootE46.crt
SectigoPublicServerAuthenticationCAEVE36.crt
CA-Bundle
Certificado de Dominio
↓ Descargar EV ECC
OV
Certificados OV
Instant SSL
SSL UCC
Multidominio
Wildcard Premium
  • Raíz
  • Intermedio 1
  • Intermedio 2
  • CA-Bundle
  • Su certificado
USERTrustRSACertificationAuthority.crt
SectigoPublicServerAuthenticationRootR46.crt
SectigoPublicServerAuthenticationCAOVR36.crt
CA-Bundle
Certificado de Dominio
↓ Descargar OV RSA
USERTrustECCCertificationAuthority.crt
SectigoPublicServerAuthenticationRootE46.crt
SectigoPublicServerAuthenticationCAOVE36.crt
CA-Bundle
Certificado de Dominio
↓ Descargar OV ECC
DV
Certificados DV
PositiveSSL
Wildcard
Free
  • Raíz
  • Intermedio 1
  • Intermedio 2
  • CA-Bundle
  • Su certificado
USERTrustRSACertificationAuthority.crt
SectigoPublicServerAuthenticationRootR46.crt
SectigoPublicServerAuthenticationCADVR36.crt
CA-Bundle
Certificado de Dominio
↓ Descargar DV RSA
USERTrustECCCertificationAuthority.crt
SectigoPublicServerAuthenticationRootE46.crt
SectigoPublicServerAuthenticationCADVE36.crt
CA-Bundle
Certificado de Dominio
↓ Descargar DV ECC

7. Consideraciones técnicas importantes

  • No se recomienda instalar certificados raíz en el servidor
  • La cadena debe enviarse en el orden correcto
  • Errores comunes incluyen cadenas incompletas o mal configuradas
  • El trust store del cliente es el factor determinante en la validación
Nuestro servicio CaaS sigue estándares modernos de la industria para la gestión automática de certificados. En la mayoría de los entornos, los certificados funcionan sin configuración adicional. Si se utilizan plataformas legacy, puede ser necesario actualizar el trust store o instalar manualmente el bundle de certificados.