TLS automático en *.dmzgate.com — cómo funciona Let's Encrypt + GoDaddy DNS-01 en bastidores

Cuando creas un túnel HTTP en el panel, ya nace con https://tu-tunnel.dmzgate.com sirviendo un certificado válido emitido por Let's Encrypt. Sin warning del browser, sin auto-firmado, sin tener que correr certbot. ¿Quién lo hizo?

Este post es algo interno — para quien se interesa por infra. Quien solo usa puede saltarlo.

El problema

Let's Encrypt emite certificados vía dos desafíos: HTTP-01 y DNS-01. HTTP-01 exige que el servidor responda en una URL específica del dominio — no puedes automatizarlo por subdominio dinámico (cada túnel es un subdominio distinto). DNS-01 exige crear un TXT en la zona DNS.

Para emitir un certificado wildcard (*.dmzgate.com), solo DNS-01 funciona.

La solución

El dominio dmzgate.com está hospedado en el DNS de GoDaddy, que tiene API. Cada nodo (spo1, usa1, eur1, asi1) tiene un hook automatizado:

/usr/local/bin/godaddy-auth.sh    # crea el TXT _acme-challenge
/usr/local/bin/godaddy-cleanup.sh  # lo elimina después

Cuando certbot va a renovar (60 días antes del vencimiento), llama el hook, GoDaddy recibe un PUT en la API, el TXT aparece, Let's Encrypt valida, certificado nuevo, hook limpia el TXT. Todo automatizado.

¿Por qué GoDaddy y no Cloudflare?

El dominio superdmz.com en sí usa DNS Cloudflare (con A records de los nodos). Pero dmzgate.com (subdominio de los clientes) está en GoDaddy porque era de otro registrar antes — y migrar significaría hacer que todos los clientes actualicen sus apuntamientos. No vale la pena.

Renovación

Cada nodo renueva de forma independiente, en su propio certbot.timer de systemd. El cert vence en 90 días y la renovación dispara a los 60. Hoy (junio 2026) el cert más antiguo de la flota tiene 18 días de uso — todos sincronizados durante el último deploy de paridad Linux/macOS.