Todo lo que necesita saber sobre la nueva vida útil del certificado de 47 días

En agosto de 2024, Apple hizo una propuesta (CA/Browser Forum Ballot SC-081v3) para acortar drásticamente la vida útil de los certificados. Los principales fabricantes de navegadores web y autoridades de certificación respaldaron la medida. Después de meses de discusiones, la medida ahora es oficial. El Foro CA/Browser votó unánimemente para reducir la vida útil del certificado de 398 días a 47 días para 2029, con cambios significativos a partir de marzo de 2026.

Principales aspectos destacados de este anuncio

La medida pretende fortalecer el sistema WebPKI, reduciendo significativamente la validez de todos los certificados emitidos por las autoridades públicas de certificación y fomentando la adopción de la automatización en la gestión de certificados.

A partir de marzo de 2026, las organizaciones tendrán que adoptar gradualmente certificados de corta duración como parte de sus flujos de trabajo. Además de la reducción de la validez del certificado, el periodo de reutilización de la validación del control de dominio (DCV) también disminuirá de 398 días a 10 días para 2029.

He aquí un resumen general de los cambios y de la cronología involucrada:

Línea de tiempo de validez máxima para certificados SSL/TLS

La importancia de este anuncio

Si bien esto parece ser un cambio drástico, esto ha estado en proceso por un tiempo. Google propuso una vida útil del certificado de 90 días en 2023; la reciente propuesta de Apple solo llevó las cosas un poco más allá. Sin embargo, las organizaciones tendrán que lidiar con la realidad y la importancia de este movimiento ahora. Entonces, ¿qué cambió?

Prepárese para renovaciones frecuentes

Lo que era solo una consideración hasta hace unas semanas es ahora un mandato. A partir del 15 de marzo de 2026, las organizaciones deben prepararse para renovar sus certificados un mínimo de dos veces al año, y esto solo se vuelve progresivamente más difícil. Para poner las cosas en perspectiva, para el 15 de marzo de 2029, las organizaciones tendrán que renovar sus certificados un mínimo de ocho veces al año.

Adopte la automatización

Junto con este cambio, el periodo de reutilización del DCV también se está reduciendo a solo 10 días para el 15 de marzo de 2029. Esto significa que las organizaciones tendrán que pasar por todo el proceso de validación, validando su dominio o dirección IP con mucha más frecuencia. Dada la creciente frecuencia de DCV y la vida útil más corta de los certificados TLS, la automatización será aún más crítica para gestionar los certificados de manera eficiente y evitar la inactividad.

Sin cambios en los costos

A pesar de la frecuencia cada vez mayor de las renovaciones, el costo invertido en certificados debe seguir siendo el mismo. Varias autoridades de certificación ofrecen cobertura de uno o varios años para los certificados y los renuevan (reemiten) sin costo adicional. Esto significa que usted solo paga por el periodo de cobertura.

Cronología de las propuestas y votos de claves sobre SSL/TLS

¿Por qué se reduce la validez de los certificados?

Si se está preguntando por qué esto está sucediendo en primer lugar, es para garantizar que el WebPKI esté protegido y la automatización se adopte para hacer que todo el proceso sea eficiente y sin problemas.

Mejor seguridad

El principal factor de este cambio es mejorar la seguridad en línea, reduciendo la ventana de oportunidad para que los atacantes exploten certificados y claves privadas comprometidos. La duración más corta de los certificados limita la duración de una clave privada comprometida de la cual un atacante puede abusar durante ataques como manipulator-in-the-middle, minimizando el daño potencial.

Adopción de las mejores prácticas

Para adaptarse a un mundo en el que ocho renovaciones de certificados al año serán la norma, las organizaciones deben adoptar la gestión automatizada de certificados en forma de ACME para reducir los errores humanos y minimizar el tiempo de inactividad. Esta transición no solo facilitará la vida, sino que también inculcará las mejores prácticas de gestión de certificados a gran escala.

Reducir al mínimo la dependencia de los mecanismos de revocación

Las comprobaciones de revocación predeterminadas tienen problemas inherentes, como retrasos en la actualización de listas de revocación de certificados o respuestas de OCSP, aplicación inconsistente en la que los clientes pueden "fallar levemente" y aceptar certificados a pesar de las comprobaciones fallidas, y bloqueos de red que impiden el acceso a los servidores de revocación. Una validez más corta alivia la necesidad de confiar únicamente en dichos mecanismos y puede actuar como una opción fiable a prueba de fallos.

Revalidación frecuente

El Foro de CA/B sostiene que la información en los certificados se vuelve menos confiable con el tiempo, y que es necesaria una revalidación más frecuente para mantener la precisión. Al reducir la vida útil máxima del certificado a 47 días, los requisitos básicos obligarían intrínsecamente a los suscriptores a someterse a este proceso de validación con más frecuencia, lo que daría lugar a mayores garantías para las partes que confían en que la entidad que presenta el certificado controla actualmente el dominio.

Avance hacia la agilidad criptográfica

La gestión manual de certificados pronto quedará obsoleta, dada la frecuencia de las actualizaciones de certificados. A medida que las organizaciones fortalezcan sus sistemas de automatización y tales soluciones se conviertan en la norma, el ecosistema se volverá más ágil en respuesta a futuras vulnerabilidades criptográficas. La agilidad criptográfica garantizará transiciones frecuentes y sin complicaciones a nuevos algoritmos, una rotación de claves más rápida y una mejor gestión, todos los cuales son vitales en un mundo post cuántico.

Impactos de la adaptación a una vida útil del certificado más corta

Sobra decir que esta medida tendrá un impacto significativo en las organizaciones, especialmente las que dependen de prácticas manuales de gestión de certificados.

Aumento de la carga de trabajo

Los equipos de TI, seguridad, infraestructura de clave pública (PKI), DevOps y aplicaciones, así como cualquier otro equipo que se ocupe de certificados, enfrentarán una carga de trabajo sustancialmente mayor.

Interrupciones inesperadas

Las organizaciones con un gran número de sitios web y sistemas que se enfrentan al público y que dependen de certificados TLS podrían sufrir cada vez más interrupciones en el servicio e interrupciones inesperadas.

Implicaciones de gestión de cambios

Los procesos de gestión de cambios existentes para la renovación de certificados tendrán que adaptarse para manejar el volumen y la frecuencia mucho mayores de renovaciones de certificados.

Preparación para la validez del certificado de 47 días

La reducción de la validez del certificado TLS a 47 días para 2029 representa un cambio significativo, por decir lo menos. Las organizaciones deben comenzar hoy y planificar e implementar estrategias de automatización proactivamente para gestionar este cambio efectivamente.

01. Comience con políticas

Establecer políticas claras de KPI es el primer paso. Sin claridad interna, cualquier cambio tecnológico podría volverse caótico. Al tomar el control total de los certificados digitales que gobiernan y su ciclo de vida de la manera correcta, puede asignar roles y acciones en consecuencia dentro de su organización.

02. Audite su entorno

Sin conocer todos los certificados TLS/SSL empleados en su organización, la transición a certificados de corta duración podría ser una pesadilla. Comience contabilizando cada certificado gestionado en su empresa y administrándolo desde un repositorio central de certificados.

03. Alertas y monitoreo

Configure un monitoreo en tiempo real para verificar la expiración del certificado y garantizar que las alertas oportunas estén implementadas. Esto es tan crucial como tener un inventario de certificados.

04. La automatización es su amiga

Incluso dos renovaciones al año a partir de marzo de 2026 aumentarán la probabilidad de interrupciones y gastos administrativos generales. Prepárese para el cambio hoy adoptando soluciones de gestión del ciclo de vida de certificados. Automatizan cada paso de la gestión de PKI, desde el descubrimiento y la emisión hasta la renovación y el aprovisionamiento.

05. Utilice el protocolo ACME

Aunque pueden existir lagunas, el protocolo de Entorno de Gestión Automatizada de Certificados (ACME) potencia la gestión automatizada de certificados. Implemente el protocolo ACME para agilizar la emisión y renovación de certificados de diversas autoridades certificadoras.

06. Integre con su ecosistema

Amplíe aún más la automatización e integre la gestión de certificados en las canalizaciones de DevOps para garantizar que los certificados se gestionen eficientemente como parte de los procesos de desarrollo e implementación de software.

07. Traiga a todos a bordo

No hay nada como tener todos los departamentos cruciales a bordo cuando se adhieren al nuevo mandato. Los esfuerzos de todos en los equipos de TI, DevOps de seguridad, PKI y aplicaciones, así como otros equipos, son vitales. Eduque al personal sobre la importancia de este movimiento para hacer la transición sin problemas.