# Resumen de "Acme.pdf"

Este PDF de 2 páginas explica el **protocolo ACME** para la gestión automatizada de certificados, métodos de validación de dominio y vulnerabilidades en versiones antiguas de SSL/TLS. Enfocado en seguridad web, enfatiza la importancia de actualizar protocolos para evitar riesgos. A continuación, un resumen estructurado y corregido para claridad (basado en estándares actuales como RFC 8555 para ACME y recomendaciones de NIST/OWASP).

## Protocolo ACME (Automated Certificate Management Environment)
- **Definición**: Permite a un servidor web, mediante un cliente ACME (ej. Certbot), comunicarse directamente con una CA (ej. Let's Encrypt) para solicitar, validar y obtener certificados automáticamente, sin intervención humana.
- **Beneficios**: Facilita HTTPS gratuito y renovaciones automáticas (certificados válidos por 90 días en Let's Encrypt).
- **Parte Crítica: Validación de Dominio** (para prevenir suplantaciones):
  - **Desafío HTTP-01**: La CA pide servir un archivo específico (nombre y contenido exactos) en una URL determinada del dominio (ej. `http://tudominio.com/.well-known/acme-challenge/token`).
  - **Desafío DNS-01**: La CA pide crear un registro TXT en DNS con nombre y valor específicos (útil para dominios sin web server o wildcards).

## Vulnerabilidades en Protocolos Antiguos
### SSL 2.0 y SSL 3.0
- **Problemas**: Fallos de diseño graves e irreversibles. Vulnerabilidad famosa: **POODLE** (Padding Oracle On Downgraded Legacy Encryption) en SSL 3.0, que explota debilidades en el padding de cifrado, permitiendo descifrar datos gradualmente bajo ciertas condiciones.
- **Conclusión**: Cualquier servicio que los soporte es un riesgo grave. Deben deshabilitarse completamente en configuraciones de servidores (ej. Nginx/Apache).

### TLS 1.0 y TLS 1.1
- **Problemas**: Vulnerabilidades como **BEAST** (Browser Exploit Against SSL/TLS) en TLS 1.0, que permite recuperar cookies/sesiones. Mitigaciones existieron, pero no resuelven fallos fundamentales.
- **Soporte Actual**: Desde 2020, navegadores principales (Chrome, Firefox, Safari, Edge) los deshabilitaron. No se recomiendan.

### TLS 1.2 y TLS 1.3
- **TLS 1.2**: Mejoras robustas en seguridad y algoritmos.
- **TLS 1.3**: Versión más reciente; simplifica handshake, elimina cifrados inseguros, mejora velocidad y seguridad.
- **Conclusión**: Servidores modernos deben usar al menos TLS 1.2, preferiblemente TLS 1.3 (obligatorio en muchos estándares como PCI DSS).

## Observaciones Generales
- El documento enfatiza prácticas profesionales: Automatizar con ACME para HTTPS, validar dominios correctamente y deshabilitar protocolos obsoletos para mitigar ataques (ej. downgrade attacks).
- Integra con temas previos tuyos (PKI, certificados, HTTPS handshake).

