Por: Enrique Enciso, Regional Manager – LATAM de GlobalSign by GMO.
En los últimos años, la duración de los certificados SSL/TLS ha tendido a reducirse como parte de un esfuerzo de la industria por fortalecer la seguridad. Ahora, el Foro de Autoridades Certificadoras y Navegadores (CA/Browser Forum) ha aprobado una nueva normativa que reducirá el plazo máximo de validez de los certificados públicos a apenas 47 días para 2029, marcando un cambio profundo en cómo se administran y renuevan estos certificados a nivel global.
¿Qué implica la nueva normativa de validez de 47 días?
Actualmente, los certificados SSL/TLS públicos pueden emitirse con una validez máxima de 398 días. Desde 2025, esa duración comenzó a disminuir gradualmente hasta llegar a 47 días para 2029, conforme se apliquen las distintas fases del cronograma establecido por el CA/B Forum. Al mismo tiempo, el período durante el cual se puede reutilizar la prueba de que controlas un dominio (Validación de Control de Dominio o DCV) también se reducirá, llegando a tan solo 10 días para esa misma fecha límite.
¿Por qué se está haciendo este cambio?
Puede parecer que un número menor de días solo complica el trabajo de los equipos técnicos, pero hay razones sólidas detrás de esta decisión:
- Reducir los riesgos asociados a certificados comprometidos: cuanto más largo es el periodo de validez, más tiempo pueden un atacante y un certificado robado permanecer activos antes de ser reemplazados. Acortarlo limita esa ventana de exposición.
- Fomentar la automatización: con expiraciones tan frecuentes, los métodos manuales de gestión de certificados resultan impracticables. Esto acelera la adopción de flujos de trabajo automatizados y reduce errores humanos.
- Aumentar la agilidad de seguridad: períodos de validez más cortos permiten reaccionar más rápidamente ante incidentes y revocar o reemplazar certificados comprometidos con mayor rapidez.
- Prepararse para futuros estándares criptográficos: una cadencia más alta de renovación facilita la transición hacia nuevos algoritmos y protocolos, incluidos los que llegarán con la criptografía post-cuántica.
Detalles técnicos: validez vs. reutilización de DCV
Validez del certificado se refiere al tiempo durante el cual un certificado SSL/TLS se considera válido después de su emisión. Reutilización de la DCV (Validación de Control de Dominio) es el período máximo en que una CA (Autoridad Certificadora) puede volver a usar tu verificación de dominio al emitir un nuevo certificado sin requerir una nueva validación. Para 2029, esos tiempos se reducirán a 47 días y 10 días, respectivamente, lo que significa más eventos de validación y renovación a lo largo del año.
Impacto para las empresas
Este cambio no es solo un tema de seguridad: tiene implicaciones operativas importantes. Renovar certificados con tanta frecuencia supone una carga considerable si se hace de forma manual, incrementando el riesgo de errores, olvidos o interrupciones de servicio.
Algunas consecuencias clave:
- Renovaciones más frecuentes y demandas de automatización
- Mayor probabilidad de interrupciones por certificados olvidados
- Necesidad de herramientas y procesos que escalen con el número de certificados
- Relevancia para todo tipo de organizaciones, desde grandes corporativos hasta pequeñas empresas que dependen de servicios web protegidos
¿Qué se puede hacer?
La adaptación a esta tendencia debe comenzar hoy. Algunas estrategias incluyen:
- Auditar el inventario de certificados: saber exactamente qué certificados están en uso es el primer paso para planificar su gestión.
- Establecer políticas claras: definir procesos para emisión, renovación y revocación ayuda a coordinar a los equipos y reducir variaciones entre entornos.
- Adoptar herramientas de automatización: desde soluciones básicas como ACME hasta plataformas empresariales de gestión del ciclo de vida del certificado, la automatización es la clave para mantener el ritmo.
- Capacitar a los equipos: comprender las nuevas reglas y las herramientas disponibles reduce la probabilidad de errores y mejora la eficacia operativa.
¿Y qué pasa con los certificados OV y EV?
Los certificados de Validación de Organización (OV) y Validación Extendida (EV) también se verán afectados en cuanto a la frecuencia de la DCV, aunque sus procesos de verificación de identidad organizacional seguirán siendo más detallados y requerirán pasos manuales periódicos.
¿Los antiguos certificados dejarán de funcionar?
No. Los certificados emitidos bajo reglas antiguas seguirán siendo confiables hasta su fecha de expiración natural. Los nuevos límites solo se aplican a certificados emitidos después de que entren en vigor las etapas de reducción de validez.
Prepararse para el futuro
Aunque pueda parecer que el horizonte está distante, los cambios ya están en marcha. Prepararte ahora —implementando visibilidad, automatización y prácticas sólidas de gestión— te ayudará a evitar interrupciones y a garantizar que tu infraestructura de certificación esté lista para los nuevos requisitos de validez cada vez más cortos.
Para mayor información escribe a contacto@globalsign.com o visita www.globalsign.com/es
