Comparación de los protocolos ACME, EST, SCEP y CMPv2 para la obtención de certificados.
25/6/2025 | Jindřich Zechmeister
La automatización de la gestión de certificados digitales es clave para los entornos de TI modernos, desde servidores web y dispositivos móviles hasta infraestructuras PKI empresariales. Existen varios protocolos utilizados para obtener certificados de las autoridades certificadoras (CA). En este artículo comparamos los cuatro protocolos más comunes: ACME, EST, SCEP y CMPv2.
Comparación de protocolos para la automatización de certificados
El tema de la automatización de certificados TLS está revolucionando el mundo de TI actual, motivado por su reducción de la validez a 47 días. Vamos a explorar juntos los protocolos más extendidos para obtener certificados TLS y cómo pueden ser utilizados. Todos los protocolos listados permiten la obtención automatizada de certificados, ya sea mediante despliegue web simple con ACME, administración de dispositivos a través de SCEP o EST, o escenarios empresariales con control total mediante CMPv2.
Vamos a ver juntos cada uno de los protocolos.
ACME – Entorno de Gestión Automática de Certificados
ACME es un protocolo moderno que automatiza la obtención y renovación de certificados; es compatible con grandes CA como DigiCert. Se comunica a través de HTTPS y utiliza validación de dominio (DNS o HTTP).
- Ventajas: simplicidad, soporte extendido, automatización completa
- Desventajas: uso limitado fuera de los certificados TLS/web
EST – Inscripción sobre Transporte Seguro
EST es un sucesor más seguro de SCEP. Usa HTTPS y permite verificación mediante certificados de cliente TLS o códigos de inscripción. Se utiliza frecuentemente en IoT y redes empresariales.
- Ventajas: cifrado fuerte, soporte para autenticación mutua
- Desventajas: implementación más complicada, menos extendido
SCEP – Protocolo Simple de Inscripción de Certificados
SCEP es un protocolo más antiguo y simple ampliamente utilizado en dispositivos de red (p.ej. Cisco) y soluciones MDM. La autenticación se realiza mediante una contraseña estática conocida como contraseña de desafío.
- Ventajas: soporte amplio, simplicidad
- Desventajas: seguridad más débil, funcionalidad limitada
CMPv2 – Protocolo de Gestión de Certificados v2
CMPv2 es un protocolo complejo para la gestión de certificados a lo largo de su ciclo de vida completo, incluida la emisión, renovación, revocación y actualización de claves. Está destinado principalmente a entornos empresariales y telecomunicaciones.
- Ventajas: robusto, flexible, soporte PKI completo
- Desventajas: mayor complejidad, despliegue más complicado
Tabla comparativa
| Característica / Protocolo | ACME | EST | SCEP | CMPv2 |
|---|---|---|---|---|
| Uso principal | Certificados Web/TLS | IoT, dispositivos | MDM, redes | PKI Empresarial |
| Transporte | HTTPS (REST) | HTTPS | HTTP | HTTP(S), TCP |
| Autenticación | Validación DNS/HTTP | Cert. TLS, código de inscripción | Contraseña de desafío | Flexible (PKI) |
| Renovación de certificado | ✅ Sí | ✅ Sí | ⚠️ Limitada | ✅ Completa |
| Revocación de certificado | ⚠️ Limitada | ⚠️ Posible | ❌ No | ✅ Sí |
| Soporte de cifrado | Moderno | Moderno | Obsoleto | Moderno |
| Simplicidad | ✅ Simple | ⚠️ Medio | ✅ Simple | ❌ Complejo |
| Estandarización | RFC 8555 | RFC 7030 | Draft de Cisco/IETF | RFC 4210 |
| Automatización de certificados | ✅ Automatización completa | ✅ Automatización parcial | ✅ Automatización básica | ✅ Automatización completa |
¿Cómo utilizar estos protocolos?
El protocolo ACME está disponible de forma gratuita para todos los clientes en SSLmarket. Esto le permite automatizar la emisión y renovación de certificados TLS sin costos adicionales y configuraciones complicadas. Simplemente inicie sesión en su administración de clientes y haga clic en el enlace ACME en el menú superior. Luego, cree acceso a EAB ACME DigiCert de forma gratuita.
Los cuatro protocolos mencionados – ACME, EST, SCEP y CMPv2 – son compatibles con la solución DigiCert Trust Lifecycle Manager, que sirve como plataforma central para la gestión de certificados y material clave en toda la organización. Permite el despliegue seguro y automatizado de certificados en diferentes entornos (on-premise, cloud, híbrido) y admite la integración con MDM, DevOps y la infraestructura de red. Más información sobre DigiCert Trust Lifecycle Manager se puede encontrar en su página de producto.
Conclusión
La elección del protocolo adecuado depende del escenario específico. ACME es ideal para la automatización de certificados TLS, EST para IoT y dispositivos modernos, SCEP para infraestructuras más antiguas y CMPv2 para PKI completamente gestionados en entornos empresariales. La integración adecuada de estos protocolos puede simplificar significativamente la gestión de certificados y aumentar la seguridad de toda la infraestructura.
ACME puede ser utilizado gratuitamente por cada cliente de SSLmarket; para una solución integral recomendamos DigiCert Trust Lifecycle Manager. Estaremos encantados de mostrárselo.
Especialista en los certificados SSL de seguridad
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz
