Certificados SSL gratuitos con AWS Certificate Manager

Clase 31 de 36 • Curso Práctico de AWS Cloud

Resumen

Aprovecha certificados SSL gratuitos en AWS y activa HTTPS en minutos. Con AWS Certificate Manager y Route 53, la validación por DNS simplifica la renovación automática. Además, con GuardDuty visualizas intentos de ataque para tomar acción rápida. Todo sin costos extra por certificado y con soporte en navegadores modernos.

¿Qué ofrece AWS para seguridad y ahorro con certificados SSL?

AWS permite emitir certificados Secure Socket Layer para tu dominio sin costo adicional cuando el dominio está en AWS o fue transferido. Esos certificados comerciales suelen costar quinientos dólares o más, por lo que el ahorro es significativo. Funcionan en Internet Explorer, Firefox, Chrome, Windows, Mac y Linux.

¿Por qué usar certificados SSL gratuitos en AWS?

Ahorro inmediato frente a certificados de pago.
Renovación automática con validación por DNS.
Compatibilidad con navegadores y sistemas comunes.
Integración nativa con Elastic Load Balancer y Elastic Beanstalk.

¿Qué es GuardDuty y qué información muestra?

Servicio que lista intentos de ataque a servidores.
Alerta cuando un intento tiene éxito.
Indica cómo fue, quién fue y desde dónde.
Ayuda a tomar precauciones y mitigar riesgos.

¿Cómo crear y validar un certificado en Certificate Manager?

El flujo en consola es directo: buscar Certificate Manager, provisionar un certificado público, indicar el dominio y validar por DNS. Con Route 53 crearás un registro CNAME con el nombre y valor que muestra la consola, esperarás la propagación y el certificado quedará en estado listo para usar.

¿Qué pasos seguir en Certificate Manager?

Ir a provisionar certificados y elegir certificado público.
Escribir el nombre de dominio registrado en AWS o transferido.
Seleccionar validación por DNS y presionar review.
Copiar el registro CNAME sugerido: nombre y valor.
Crear el CNAME en Route 53 y guardar.
Refrescar hasta ver el estado listo y el emisor: Amazon.

¿Qué diferencia hay entre validación por DNS y por correo?

Por correo: requiere buzón configurado en el dominio. cada renovación exige responder un enlace.
Por DNS: basta con mantener el CNAME. en renovaciones, AWS verifica DNS y renueva sin interacción.

Además, es posible importar un certificado existente de otro proveedor pegando tres piezas: cuerpo del certificado, llave privada y cadena del certificado. Replicarlo en AWS es útil para automatizar renovaciones, aunque AWS no expone la llave privada ni el cuerpo de los certificados que emite.

¿Cómo activar HTTPS en Elastic Beanstalk con tu certificado?

Con el certificado listo, ajusta el Elastic Load Balancer del ambiente en Elastic Beanstalk. Si hoy solo atiende el puerto 80, agrega el puerto 443 con protocolo HTTPS y selecciona el certificado. Recuerda aplicar los cambios para que la consola actualice el balanceador.

¿Cómo adjuntar el certificado al Elastic Load Balancer?

Abrir el ambiente de Elastic Beanstalk que corre tu app, por ejemplo en Python.
Ir a configuración del balanceador: hoy puede estar en 80 para HTTP.
Añadir escucha 443: protocolo HTTPS y seleccionar el certificado.
Guardar y presionar apply para modificar el balanceador.

¿Qué verificar tras aplicar los cambios?

Eventos recientes con estado de actualización: por ejemplo, head okay.
Acceso a la URL con HTTPS: candado y “verificado por Amazon”.
Detalles del certificado en el navegador: dominio correcto y fecha de expiración.

¿Tienes dudas sobre validación por DNS, CNAME o la integración con Elastic Beanstalk? Comparte tu caso en los comentarios y con gusto te ayudo a resolverlo.

Marconi Poveda

company_admin•

Es muy importante aclarar que los certificados que genera ACM (AWS Certificate Manager) son gratuitos solo bajo ciertas condiciones. NO es cierto que son gratuitos.

Con AWS Certificate Manager, no se aplican cargos adicionales por el aprovisionamiento de los certificados SSL/TLS públicos o privados que utiliza con los servicios integrados con ACM, como Elastic Load Balancing y API Gateway.

Y cuales son estos servicios integrados:

Elastic Load Balancing
Amazon CloudFront
AWS Elastic Beanstalk
Amazon API Gateway
AWS CloudFormation

Si el certificado no se le asocia a alguno de esos servicios, entonces el certificado tiene costo.

https://aws.amazon.com/es/certificate-manager/pricing/?nc=sn&loc=3

Ulises Jimenez Rosas

student•

Información que cura.

LUIS ARTURO ZARATE AYALA

student•

buen dato

Juan David Cajamarca Acuña

student•

Herramientas de seguridad Existen varias herramientas de seguridad en AWS, dos de ellas son: Certificate Manager y GuardDuty Certificate Manager AWS permite crear nuevos certificados SSL cuando se necesiten (o importar uno que ya se tenga). Normalmente, estos certificados tienen un precio muy elevado en el mercado (>USD$500); sin embargo, una vez tenga un dominio registrado en AWS, se pueden crear certificados para ese dominio de manera gratuita. GuardDuty AWS permite hacer una auditoría constante de todos los intentos de conexiones (ataques) que tienen los equipos de cómputo, y en caso de que algún intento haya tenido éxito, AWS te advertirá dándose información (cómo, quién, de dónde) con el fin de que el usuario pueda tomar las medidas necesarias.

Daniel Buitrago

student•

Excelente aporte

Breider Alexander Santacruz Reinoso

student•

Por defecto el Load Balancer siempre me va a reescribir todo el tráfico HTTP por HTTPS?

Diego Forero

Team Platzi•

El load balancer recibe tanto trafico http como https, tu servidor web que tengas instalado en las intancias de EC2 es el que se encarga de hacer la redirección de http a https. Este articulo te puede ayudar a entender mejor https://aws.amazon.com/premiumsupport/knowledge-center/redirect-http-https-elb/

Wigilabs SAS

student•

¿Se puede generar igualmente un certificado para un subdominio, o los certificados que emite aws para los dominios ya son del tipo wildcard?

Edwar Baron

Team Platzi•

Depende como lo quieras, si se puede generar un certificado para un subdominio.

Si quieres ver un poco mas alla, te recomiendo ver esto letsencrypt

Alan Riveros

student•

Si let'sEncrypt rulea. La herramienta para generar certificados es MUY intuitiva.

Bob Code

student•

Hola a todos! Como sería la configuración en una instancia que no usa balanceadores de carga?? Sigue siendo gratuito? Por cuanto tiempo es gratuito? También es gratis si la instancia es de LIGHTSAIL?

Saludos

Carlos Alberto Arévalo Aguillón

student•

Tengo una aplicación echa en laravel y la estoy corriendo en un entorno elastic beanstalk segui los pasos de mauro , pero cuando abro mi aplicacion me sigue diciendo sitio inseguro, en este caso que se puede hacer

Diego Forero

Team Platzi•

Es extraño, si hiciste los pasos y asignaste el certificado al load balancer no deberías tener problema, probaste entrando con otro navegador o en una sesión de incognito, puede ser cache del navegador que no esta actualizando la información del certificado.

Darvin Orozco

student•

¿Funcionaría borrar la memoria caché, cookies, etc?

Miriam Jannet Ortega Moreno

student•

Actualmente tengo un sitio web en una compañia de hosting y me dan el certificado gratis, ¿que pasa si yo al migrar mi sitio con AWS pierdo ese certificado?

Diego Forero

Team Platzi•

Hola, debes comprar o adquirir otro certificado y lo configuras en aws, los certificados que regalan son certificados genéricos y no de Validación extendida (no muestran el nombre de tu sitio en la barra de navegador)

Nicolas Perez

student•

AWS cuenta con algunos certificados que puedes usar en la capa gratuita sin ningún costo, sin embargo depende de la necesidad que tengas en tu sitio, como procesar pagos o guardar datos sensibles etc. en ese caso sería mejor que compraras algún certificado que te permita garantizar un mayor nivel de seguridad en tu sitio.

john ct

student•

Cuidado en la opcion de Free Trial se tiene 30 dias free, luego de esto pueden haber cobros. asi que es mejor suspendera o deshabilitarla cuando no se necesite.

Gilberto Pérez Garrido

student•

Clase tediosa, no dice o recalca el costo de prácticar esto. Sólo a grandes razgos, da por hecho que todos sabemos de todos los acrónimos.

Gabriela Tinoco

student•

Hola actualmente tengo un sitio web estático en S3, le coloque un certificado con cloudfront. Ahora en EC2, tengo un sitio web no estático y quiero colocarle un certificado ¿Qué me recomiendan?

Javier Sepúlveda

student•

Let'sencrypt

Lorenzo Enrique Piñango Cerezo

student•

AWS Certificate Manager es un servicio que le permite aprovisionar, administrar e implementar con facilidad certificados de capa de conexión segura/seguridad de la capa de transporte (SSL/TLS) públicos y privados para su uso con servicios de AWS y recursos internos conectados.

Patricia suarez

student•

Hola, estaba realizando pruebas con Certificate Manager hacia el fin de mes y me han cobrado por el certicado 62 dolares correpondientes a 3 dias de uso. Cree el dominio en amazon y para generar el certificado y no saber oprimi en el boton cliente de R53. Parece que esto genero factura. Como puedo cancelar este servicio..o me continuan cobrando...Gracias

José Flores

student•

borra todo y pide reversión al equipo de soporte de AWS,

Yanys Leon

student•

Sin duda lo mejor es autenticar vía DNS y así lo garantizamos en el tiempo sin necesidad de validar nuevamente por correo.

Jefferson Toapanta

student•

Un certificado se puede usar con un dominio y subdominios a la vez, o el certificado es único.

Franco Fuentes

student•

Tengo un Ec2 que lo uso para correr una página web de moodle, lo que estoy haciendo ahora es conectarme a la página con el número IP pero tendría que migrar un dominio que ya tengo y configurarlo en el Ec2. Ahora el problema es como hago para configurar los certificados HTTPS.

Carlos Alberto Balbuena Martínez

company_admin•

Puedo generar certificados de https para una instancia de Ligthsail de Amazon?

Carlos Andrés Zambrano Barrera

teacher•

Si puedes hacerlo, pero te toca todo por la consola de lightsail.

Bob Code

student•

Sigue siendo gratuito si quiero el certificado para una instancia de LIGHTSAIL, pero sin usar el balanceador de cargas??

Bryan Condor

student•

¿ como puedo poner un dominio personalzado si mi ElasticBeanstalk no tiene balanceador de Carga ?

Javier Alberto Perez Valdez

student•

Si tienes un dominio registrado en Amazon, puedes entrar al servicio de Route 53. Allí debes ingresar a la zona que corresponde a tu dominio y crear un record de tipo A, como valor le asignas el IP publico que tiene tu ElasticBeanstalk, Si tu dominio no esta registrado en Amazon, dependiendo del proveedor solo tendría que crear un record A con el valor del IP público. Lo recomendable es usar un balanceador para que puedas hacer gestionar el escalamiento y asignar un certificado a tu dominio y de esa forma proteger la comunicación de tu aplicación

Claudio Anibal Morales Pérez

student•

Cuál es el costo del certificado si lo adquiero con CERTIFICATE MANAGER?

Santiago Palacios

student•

Los certificados son free, algunas cosas no te las cobran ejemplo Security group, Target Group, etc.

"Los certificados SSL/TLS públicos aprovisionados mediante AWS Certificate Manager son gratuitos. Solo ha de pagar por los recursos de AWS que cree para ejecutar su aplicación."

AWS - Certificate Manager

Mario Alexander Vargas Celis

student•

Aquí tienes una guía clara y concisa sobre Certificación SSL y el uso de Amazon GuardDuty para mejorar la seguridad en AWS:

🔐 Certificación SSL en AWS

¿Qué es una Certificación SSL?

SSL (Secure Sockets Layer) o TLS (su sucesor) es un protocolo de seguridad que cifra la comunicación entre el navegador del usuario y el servidor web. En AWS, puedes usar certificados SSL para proteger sitios web, aplicaciones y APIs.

Opciones en AWS:

ServicioDescripción**AWS Certificate Manager (ACM)**Provisión y administración gratuita de certificados SSL públicos para dominios verificados.**Certificados privados (ACM PCA)**Crear una Autoridad Certificadora Privada (CA) para certificados internos.Importar certificadosPuedes cargar certificados SSL/TLS propios desde otras autoridades.

Usos comunes:

Elastic Load Balancer (ELB)
CloudFront
API Gateway
AWS Amplify / App Runner
Custom Domains con ACM

¿Cómo obtener un certificado SSL con ACM?

Ve a AWS Certificate Manager > Request certificate
Elige Public certificate
Ingresa tu dominio (ej. example.com, *.example.com)
Verifica el dominio (DNS o Email)
Usa el certificado en CloudFront, ELB, etc.

🛡️ Amazon GuardDuty: Detección Inteligente de Amenazas

¿Qué es Amazon GuardDuty?

Es un servicio de detección continua de amenazas que analiza logs de seguridad para identificar comportamientos maliciosos o no autorizados en tu cuenta de AWS.

¿Qué analiza GuardDuty?

Fuente de datosEjemplos analizadosVPC Flow LogsTráfico de red sospechosoAWS CloudTrailAcciones API no autorizadas o inusualesDNS LogsConsultas DNS maliciosas o inesperadas**EKS Audit Logs (opcional)**Actividades sospechosas en clústeres Kubernetes

🔎 Ejemplos de amenazas detectadas

Tipo de amenazaDescripciónUnauthorizedAccess:IAMUser/ConsoleLoginIntento de inicio de sesión sospechosoRecon:EC2/PortProbeUnprotectedPortEscaneo de puertos en instancias EC2CryptoCurrency:EC2/BitcoinTool.B!DNSMinería de criptomonedas detectada en EC2Persistence:EC2/MetadataDNSRebindTécnica para acceder a metadatos EC2 mediante ataques DNS

🚀 ¿Cómo habilitar GuardDuty?

Ve a Amazon GuardDuty > Enable GuardDuty
Selecciona la región o activa en todas las regiones
(Opcional) Integra con AWS Organizations para múltiples cuentas
Visualiza los hallazgos en el panel

🧠 Buenas prácticas combinadas

PrácticaAcción recomendadaSeguridad SSLUsa ACM para emitir certificados y habilita HTTPS en servicios públicosMonitoreo continuoHabilita GuardDuty y configura notificaciones vía Amazon SNSAutomatizaciónCrea reglas que activen AWS Lambda ante hallazgos críticosCumplimientoGuarda certificados y eventos de GuardDuty en S3 con cifrado y acceso restringido

📦 Extra: Integración con otros servicios

AWS Security Hub: Agrega hallazgos de GuardDuty con otros servicios de seguridad.
Amazon Detective: Investiga hallazgos de GuardDuty en profundidad.
AWS Config: Audita configuraciones que puedan afectar la seguridad SSL.

Jeisson Espinosa

student•

Información resumida de esta clase #EstudiantesDePlatzi

Luego de tener un dominio dentro de AWS puedo crear certificados para ellos
Crear un certificado es muy fácil
Es importante configurar los registros DNS para que funcionen correctamente
Podemos importar certificados si ya los poseemos
Es buena idea replicar los certificados

Certificados SSL gratuitos con AWS Certificate Manager

Introducción al cómputo en la nube

Qué hace AWS diferente al hosting tradicional

Crear cuenta de AWS paso a paso

Servicios AWS: qué es cada uno y cuándo usarlo

Introducción a la oferta de AWS y sus interacciones

Elastic Beanstalk: arquitectura escalable en AWS

EC2: conceptos clave y configuración básica

Crear instancia EC2 en AWS gratuita

Conectarse por SSH a instancias EC2 desde Windows

Conectar a instancia S2 desde Linux con SSH

Conectar Mac a instancia EC2 con Terminal

Proyecto Flask en EC2 con GitHub

Cómo desplegar Flask en AWS con puertos y dependencias

Qué es Lambda de Amazon y por qué es serverless

Función AWS Lambda en Python desde la consola

Elastic Beanstalk

AWS Elastic Beanstalk: escalado automático

Desplegar Flask en Elastic Beanstalk

S3 vs Glaciar: cómo elegir almacenamiento AWS

Cómo publicar un sitio estático en S3

Cuándo usar AWS Glacier para archivos históricos

Bases de Datos

Amazon RDS: prestaciones enterprise sin data center

RDS Postgres: optimizaciones y respaldos AWS

Crear una base de datos PostgreSQL en AWS RDS

Importar dump de Postgres en AWS RDS

Aurora PG: 3x más rápido que RDS Postgres

Creando Aurora PostgreSQL en AWS

Respaldos en RDS Postgres: cuándo y cómo

Redes

Route 53: DNS de AWS con cambios en segundos

Herramientas de administración

Herramientas AWS para control granular de accesos

Crear usuarios IAM con acceso programático

CloudWatch logs y métricas en AWS

Cómo CloudTrail rastrea actividad en AWS

Seguridad