El futuro del SSL: el reto inminente y cómo prepararse para el futuro

En 2023, un certificado digital vencido causó una importante caída de los servicios de la constelación satelital Starlink, operados por SpaceX. Otro tanto sucedió en marzo de este año con los servicios de los Chromecast de Google. La gestión de este tipo de certificados —que son los que garantizan la seguridad del intercambio de información en las redes públicas, a través de comunicaciones encriptadas— se está volviendo un tema complejo y crítico, y lo será mucho más en los próximos años merced a las nuevas regulaciones y al acortamiento de los tiempos de vigencia. 

Por eso, la reciente decisión del CA/Browser Forum marca un antes y un después en la historia del ecosistema de confianza en internet. Por abrumadora mayoría, navegadores y autoridades certificantes acordaron reducir de forma progresiva la validez máxima de los certificados SSL/TLS hasta llegar a apenas 47 días en 2029.

CA/Browser Forum es una organización que agrupa autoridades certificantes y proveedores de los browser de Internet, como Google, Mozilla y Microsoft, y grandes empresas tecnológicas como Apple. Este foro creado en 2005 se encarga de establecer las normas que regulan los certificados digitales que se instalan en los servidores, y controla también (con gran rigor) su cumplimiento. 

Este es un proceso que ha comenzado lentamente con la paulatina reducción de la  validez de los certificados: plazo de 5 años en los primeros tiempos, luego a 3, a 2, y desde 2020, 1 año de vigencia como máximo. Esta evolución respondió a incidentes de seguridad, brechas en Autoridades Certificantes y la necesidad de evitar que un certificado comprometido permanezca activo por demasiado tiempo.

La lógica es clara: certificados más cortos implican menor ventana de exposición en caso de una clave comprometida. Pero este nuevo salto es de una magnitud inédita y establece un cronograma en tres etapas. 

• Marzo 2026: validez máxima de 200 días.
• Marzo 2027: se reduce a 100 días.
• Marzo 2029: el límite será de sólo 47 días.

¿Qué implican estos nuevos plazos?

Esto representa un cambio estructural en la forma en que las organizaciones gestionan su infraestructura de confianza digital y la principal consecuencia es clara: ya no será viable seguir renovando certificados de forma manual porque con decenas o cientos de certificados en una organización, ciclos de validez tan cortos harán inviable una gestión tradicional.

La única forma de adaptarse es mediante la automatización del ciclo de vida de los certificados: emisión, renovación, implementación y monitoreo y para eso, las empresas deben revisar sus políticas internas, auditar su parque de certificados y adoptar herramientas que permitan automatizar estas tareas de forma segura y confiable.

En este contexto, contar con un partner tecnológico confiable y con sólida experiencia en implementaciones similares es clave para garantizar el éxito del proyecto. La elección de un socio estratégico que comprenda la complejidad del ecosistema PKI, que cuente con soluciones robustas de discovery y automation, y que pueda acompañar la integración con los sistemas internos de la organización, puede marcar la diferencia entre una transición ordenada y un escenario lleno de riesgos operativos.

Ignorar este cambio no es una opción. Un certificado vencido implica la caída de servicios críticos, interrupciones operativas, pérdida de reputación y posibles sanciones regulatorias en sectores sensibles como finanzas o salud.