Se produce otra reducción en la validez de los certificados TLS.

22/1/2025 | Jindřich Zechmeister

Las fechas de vencimiento de los certificados SSL/TLS se han acortado varias veces en los últimos 10 años. Ahora existe la posibilidad de acortarlo hasta 45 días, lo que significaría reemplazar el certificado TLS hasta 9 veces al año. Pero con nosotros no tienes que preocuparte por eso. En este artículo podrás aprender qué significa esto para ti y cómo afrontar esta situación.

Historia de la reducción de la validez de los certificados

En los inicios de los certificados SSL, faltaba un regulador claro de toda la industria, como es hoy el consorcio CA/Browser Forum. Este se formó en 2005 y el primer resultado de su actividad fueron las reglas para los certificados EV, que surgieron dos años después.

Poco después se comenzó a discutir la validez máxima de los certificados SSL, ya que un par de claves podía ser utilizado durante varios años sin cambios, lo que no contribuía a la seguridad de los usuarios. En 2015, la validez máxima se redujo a 3 años (39 meses); hasta entonces, se emitían certificados de 4-5 años. La siguiente reducción llegó en marzo de 2018, cuando la validez se limitó a 27 meses (825 días).

Desde septiembre de 2020, se llevó a cabo otra reducción. Las compañías Apple, Google y Mozilla impusieron que los navegadores consideren inválidos los certificados de más de 398 días de antigüedad, lo que efectivamente estableció la validez máxima en 1 año y algunos días adicionales. Este estado sigue vigente, pero los expertos esperaban que en el futuro ocurriese otra reducción.

Actualmente, Apple y Google están nuevamente a la cabeza de una nueva ola de reducción y sus propuestas se están debatiendo en el pleno del CA/Browser Forum. Hasta ahora no se ha decidido nada concluyentemente, pero la propuesta de Apple es aún más audaz que la de Google, que proponía una reducción a 90 días. Actualmente, la validez del certificado está limitada a 398 días.

Apple propone una reducción de los certificados a 47 días y pretende lograrlo gradualmente. Los nuevos certificados tendrían una validez máxima reducida en tres etapas:

• 200 días con efectividad desde marzo de 2026
• 100 días desde marzo de 2027
• 47 días desde marzo de 2028

Se espera que esta forma sea finalmente implementada. Anteriormente, ya sucedió que Apple impuso su posición, cuando su propuesta no fue aceptada; todos se adaptaron de todos modos, ya que su navegador tiene una participación de mercado significativa.

Cómo prepararse para la reducción

Automatiza el ciclo de vida de los certificados con anticipación: esa es la única recomendación que podemos darte. Implementar la automatización de certificados no tiene por qué ser complicado y todavía hay tiempo suficiente para hacerlo. Podemos ofrecerte varios métodos de automatización de certificados, todos probados y funcionales en la práctica.

Te recomendamos los siguientes métodos de automatización:

• Protocolo ACME - un protocolo estándar para obtener certificados, funciona mediante los denominados clientes ACME, de los cuales existe una amplia variedad en el mercado. El cliente generalmente no solo obtiene el certificado, sino que también lo instala en el servidor.
• DigiCert Automation Manager - automatización basada en agentes/sensores utilizando la interfaz de CertCentral. Tienes un control completo sobre los certificados en tus servidores y puedes gestionarlos a través de la interfaz. Los agentes los gestionan por ti en los servidores.
• Trust Lifecycle Manager dentro de DigiCert ONE es una herramienta completa y puede conectarse a herramientas y servicios populares de terceros, facilitando así la integración especialmente para grandes empresas.
• Servidor KeyTalk CKMS o servicio. Puede obtener y desplegar certificados por sí mismo en los dispositivos finales de tu empresa. Se puede utilizar para la automatización de certificados TLS, pero también S/MIME.
• Integración propia con nuestra API o la API de CA DigiCert.

Los primeros cuatro ejemplos pueden gestionar todo el ciclo de vida del certificado, desde la obtención del certificado, a su emisión, hasta la implementación (en un servidor compatible). Todo el proceso está cubierto, y no necesitas preocuparte por nada. Si desarrollas tu propia automatización e implementas nuestra API, puedes obtener el certificado, pero la implementación en el servidor sigue siendo tu responsabilidad.

No dudes en contactarnos lo antes posible y obtener asesoramiento sobre cómo automatizar tus certificados TLS hoy mismo sin costos adicionales.

¿Por qué está sucediendo la reducción?

Apple y Google están convencidos de que reducir la validez de los certificados ayudará en general a la seguridad en internet. A continuación se presentan algunos de los principales argumentos para la reducción; el beneficio más mencionado es el aumento de la seguridad para los usuarios gracias a la rotación más frecuente de las claves.

Ventajas de los certificados más cortos

Los certificados con una validez más corta contribuyen a mejorar la seguridad, ya que pueden traer nuevas tecnologías más rápidamente si es necesario. Un escenario de este tipo podría ser, por ejemplo, la transición a la criptografía post-cuántica (PQC) después de la ruptura del RSA por una computadora cuántica (esto sin duda nos espera en el futuro). La validez más corta del certificado asegura que los nuevos algoritmos lleguen a los servidores más rápidamente.

Otra razón podría ser la minimización de daños en caso de compromiso de las claves. Si se produce una fuga de la clave privada, la validez más corta limita el período de tiempo en el que un certificado comprometido puede ser explotado (la víctima generalmente no sabe que ha ocurrido un compromiso).

También es importante fomentar el desarrollo de la automatización del ciclo de vida de los certificados, que está siendo acelerado por esta considerable presión. Los administradores de certificados se ven obligados a utilizar la automatización de certificados, lo cual al final resulta en su beneficio.

Desventajas

Las principales desventajas incluyen una carga de gestión aumentada. Normalmente, la automatización lo resuelve, pero siempre habrá casos conocidos donde no es fácil ni posible. En los sistemas que actualmente no admiten automatización, será necesario esperar por la incorporación de soporte por parte del fabricante; los administradores gestionarán los certificados manualmente y tendrán más trabajo. Las organizaciones que no implementen la automatización de la gestión de certificados pueden verse abrumadas por renovaciones más frecuentes de certificados.

Seguramente también ocurrirá un problema con los dispositivos IoT, que no se fabricaron teniendo en cuenta un ciclo de vida más corto para los certificados. Si no se actualizan, probablemente colisionarán con los navegadores modernos.

No dudes en consultar con nosotros sobre automatización

La próxima reducción de certificados es un gran cambio, pero con nosotros no tiene por qué ser un problema. Contáctanos y comienza a automatizar tus certificados; ¡cuanto antes lo hagas, mejor para ti!