Si mantienes sitios web y aplicaciones, sabes lo importantes que son los certificados SSL/TLS para que las conexiones sean seguras y para que tus usuarios confíen. Estos certificados validan la identidad de un sitio y cifran los datos que se envían y reciben. Son emitidos por una autoridad de certificación (CA) y tienen una vida útil limitada. Cuando un certificado caduca, el servidor web deja de poder establecer conexiones seguras, con caídas del servicio y pérdidas para la empresa. Por eso uno de las tareas más importantes a la hora de poner en producción una aplicación web es mantener al día el certificado del dominio.
Durante años, la vida útil máxima de un certificado TLS público ha ido reduciéndose. Hace no mucho se podían comprar y hacerlos válidos durante varios años. Hace unos años se redujo su vida máxima a solo 3 años, y actualmente el máximo es ligeramente más de 1 año. Ahora, el CA/Browser Forum, que es el grupo que establece las reglas para estos certificados, ha votado reducir su vida útil todavía más.
¿Cómo van a cambiar la duración de los certificados y cuándo?
Esta reducción no será de golpe, sino que se hará en fases. la decisión aprobada establece este calendario:
- Desde ahora hasta el 15 de marzo de 2026: la vida útil máxima sigue siendo de 398 días. la información de validación de dominio (DV) se puede reutilizar hasta 398 días.
- A partir del 15 de marzo de 2026: la vida útil máxima se reduce a 200 días. Esto permite una cadencia de renovación de seis meses. El periodo de reutilización de la validación de dominio también baja a 200 días.
- A partir del 15 de marzo de 2027: la vida útil máxima se reduce a 100 días. Esto permite una cadencia de renovación de tres meses. El periodo de reutilización de la validación de dominio baja a 100 días.
- A partir del 15 de marzo de 2029: la vida útil máxima se limita a solo 47 días. Esto te deja una cadencia de renovación en la práctica de un mes, para tener cierto margen de error. Además, el periodo máximo para reutilizar la información de validación de dominio se reduce a solo 10 días.
La Validación de Dominio (DV) es un tipo de validación cuyo objetivo principal es verificar que el solicitante tiene control sobre el dominio web para el cual se pide el certificado. Se suele realizar a través de un correo electrónico enviado a una dirección asociada al mismo (la menos frecuente y más propensa a errores), añadiendo un registro TXT específico en la configuración DNS del dominio, o subiendo un archivo determinado al servidor web del dominio.
¿Por qué este cambio en la validez de certificados HTTPS?
La razón principal detrás de esta decisión es hacer la Web más segura. Las vidas útiles más cortas reducen el tiempo que una clave privada está expuesta a posibles amenazas, limitando el riesgo de ataques o brechas de datos. Si un certificado se ve comprometido o hay que revocarlo por alguna razón, su validez caduca mucho antes. En esencia, los certificados comprometidos "caducan solos" más rápido, minimizando la ventana de riesgo si no descubrimos el problema.
Además, los sistemas actuales para revocar certificados, como las listas de revocación de certificados (CRL) o el protocolo de estado de certificado en línea (OCSP), tienen limitaciones:
- La CRL es una lista que hay que actualizar y comprobar "manualmente" con frecuencia, y puede volverse muy grande y lenta.
- El OCSP permite a los navegadores verificar el estado de un certificado en tiempo real con la CA, pero puede implicar problemas de privacidad al revelar qué sitios visitas.
Dado que ninguno de estos métodos es perfecto, reducir la vida útil del certificado limita cuánto tiempo podría estar activo un certificado que no debería serlo.
Este cambio también busca fomentar la automatización. La industria quiere dejar atrás los procesos manuales propensos a errores. La automatización permitirá adoptar más rápido nuevas capacidades de seguridad y cambios en algoritmos criptográficos. También es un paso para prepararse ante los desafíos de la computación cuántica, fomentando la agilidad criptográfica.
¿Cómo afectará la reducción de vida de los certificados a tu trabajo diario?
Si eres responsable de mantener sitios web y aplicaciones web, este cambio significa que tendrás que gestionar las renovaciones de certificados con mucha más frecuencia. Pasar de 398 días a 47 días implica, en la práctica, un aumento de ocho veces en la carga de trabajo de renovación de certificados.
El seguimiento manual, como usar hojas de cálculo o recordatorios de calendario, que quizás funcionaba para pocos certificados, dejará de ser viable. Se volverá ineficiente y arriesgado por la gran cantidad de certificados y la complejidad que aumenta con el tamaño de la infraestructura. Depender de procesos manuales aumenta la posibilidad de errores humanos, un riesgo que no puedes asumir.
Multiplicar el tiempo que lleva cada renovación manual (solicitud, aprobación, instalación, puesta en marcha) por decenas o cientos de certificados, y tener que hacerlo mucho más a menudo, simplemente no es sostenible. La carga de trabajo acumulada sería inmanejable sin cambios importantes en cómo se gestionan.
El riesgo de dejar que un certificado caduque accidentalmente aumenta drásticamente con vidas útiles más cortas.
La respuesta para manejar este cambio no es aumentar las horas de trabajo manual, sino automatizar. La gestión automatizada del ciclo de vida de los certificados es el camino a seguir.
La gestión automatizada utiliza herramientas y software para manejar todo el proceso de un certificado: desde su emisión hasta su renovación y revocación, sin intervención manual. Estos sistemas se integran con tu infraestructura de clave pública (PKI) y tus entornos de aplicaciones. El objetivo es asegurar que los certificados estén siempre válidos y actualizados.
Esto reduce drásticamente las posibilidades de caídas del servicio y aumenta la eficiencia operativa. Es una forma proactiva de asegurar tu infraestructura que puede escalar según tu organización crece.
¿Cómo empezar a prepararte para el gran cambio de reducción de ciclo de vida de certificados TLS?
Aunque parezca que falta mucho tiempo, los cambios empiezan ya. Adaptarse a vidas útiles más cortas es un camino que empieza ahora. No es algo que puedas solucionar de la noche a la mañana. el primer paso fundamental, incluso antes de automatizar, es tener visibilidad y gobierno.
Esto implica:
- Inventariar todo: saber dónde están todos tus certificados, quién es el responsable de ellos y cuándo caducan. Sin esta información, estás trabajando a ciegas.
- Asignar responsabilidades: definir claramente quién o qué equipo es responsable de cada certificado para que las renovaciones y aprobaciones no se olviden.
- Implementar alertas e informes: configurar sistemas para recibir avisos proactivos antes de que un certificado caduque inesperadamente. Esto es especialmente importante ahora que Let's Encrypt ha dejado de enviar avisos de certificados a punto de caducar para ahorrar costes.
- Optimizar flujos de trabajo: simplificar los procesos de solicitud y aprobación de certificados para eliminar cuellos de botella.
Una vez que tienes visibilidad y control sobre tus certificados, puedes empezar a automatizar y puedes expandir la automatización gradualmente usando una combinación de protocolos y herramientas.
Herramientas para automatización de certificados HTTPS / TLS
Hay tecnologías disponibles que te pueden ayudar.
El protocolo ACME (Automated Certificate Management Environment) es un ejemplo clave. Fue creado por Let's Encrypt expresamente para automatizar la verificación y emisión de certificados y ahora es un estándar IETF. Existen multitud de herramientas que lo implementan. La propia Let's Encrypt tiene una lista muy detallada de herramientas para automatizar certificados con ACME que te permite elegir el que quieras según el lenguaje o el servidor de aplicaciones que utilices.
Los proveedores de certificados también ofrecen sus propias herramientas. Soluciones como Keyfactor Command o Digicert Trust Lifecycle Manager y Sectigo Certificate Manager, están diseñadas para darte visibilidad, optimizar procesos y automatizar el ciclo completo del certificado.
En entornos específicos, como Azure Web Apps y Azure Functions puedes utilizar proyectos Open Source como Azure Web App SSL Manager o App Service Acmebot. En Google Cloud Platform (GCP), puedes usar herramientas populares como Certbot de la EEFF, junto con servicios como Cloud DNS para automatizar la obtención y renovación de certificados mediante trabajos programados (cron jobs) o integración con plataformas de orquestación como Kubernetes. por ejemplo, puedes configurar un script para que certbot renew se ejecute periódicamente y renueve automáticamente los certificados próximos a caducar.
En escenarios más complejos o con sistemas no estándar, puede ser necesario recurrir a scripting (por ejemplo, con PowerShell, Bash o Python), o a herramientas de automatización como Ansible que interactúan con las API de los dispositivos o servicios para subir y configurar los certificados.
No esperes, empieza ahora
La reducción de la vida útil de los certificados es un hecho aprobado, no una propuesta. Aunque 2029 parece lejano, los primeros cambios significativos (a 200 días) empiezan en marzo de 2026. Con vidas útiles de 100 días en 2027, los procedimientos manuales ya serán insostenibles.
Si tu empresa aún depende de procesos manuales, cada día sin automatización añade un riesgo innecesario.
Hacer nada ya no es una opción. El movimiento hacia los 47 días es una evolución necesaria para la seguridad de Internet. Preparando tus procesos ahora, no solo aseguras la continuidad operativa, sino que también mejoras la seguridad, cumples con las normativas y te posicionas mejor para el futuro de la confianza digital.